Après le tollé suscité par la mise à jour des conditions d’utilisation de WhatsApp, beaucoup d’internautes se tournent vers des solutions alternatives. Mais les plus connues d’entre elles ne changent pas forcément le problème. Et si c’était l’occasion d’essayer des messageries instantanées d’un nouveau genre, plus anonymes et surtout résolument décentralisées ?
Tout commence début janvier, quand WhatsApp informe d’un changement de sa politique de confidentialité qui impliquerait un partage des données personnelles recueillies sur la messagerie avec Facebook.
L'éternel débat sur les données personnelles
L'annonce suscite un tsunami de protestations. Plusieurs pays, notamment la Turquie et l’Inde, menacent d’actions en justice pour violation du droit à la vie privée. Des influenceurs très en vue, comme Elon Musk et Edward Snowden, recommandent même ouvertement d’abandonner WhatsApp pour adopter Signal, une messagerie américaine réputée pour sa sécurité et sa protection des données.
On peut admettre que tout cela est un peu exagéré. Certes, comme nous l’avons déjà expliqué sur Clubic, la mise à jour des conditions d’utilisation de WhatsApp ne va pas forcément dans le bon sens. Mais, en réalité, la modification imposée par Facebook est mineure, a fortiori en Europe — RGPD oblige. En fait, elle concerne essentiellement les entreprises utilisant WhatsApp, et ne change pas grand chose, ni en matière de respect de la vie privée, ni quant aux pratiques déjà en vigueur sur WhatsApp.
Mais le mal est fait. Une communication maladroite, associée à une méfiance grandissante vis-à-vis de Facebook et ses pratiques en matière de données personnelles auront suffi a généré un tollé mondial. Devant la volée de bois vert, Facebook rétropédale d’ailleurs et annonce le 16 janvier, à peine 10 jours après sa décision initiale, décaler la mise à jour de sa nouvelle politique de confidentialité au mois de mai, tout en permettant aux utilisateurs d’ici là « d’examiner progressivement, à leur propre rythme, les options possibles ».
Un exode mobile qui profite aux challengers
Signal assure ainsi avoir enregistré près de 18 millions de téléchargements entre le 5 et le 12 janvier, contre moins de 300 000 la semaine précédente. L’entreprise avoue être submergée par ces nouveaux utilisateurs, au point d’engorger son système de vérification. Victime de son succès, la messagerie tombe même en panne le 16 janvier, ses serveurs étant totalement inaccessibles durant un peu plus de 24 heures.
Même punition pour Telegram, qui assure le 12 janvier avoir accueilli quelque « 25 millions de nouveaux usagers en 72 heures », ce qui lui permet d’ailleurs de franchir le cap des 500 millions d’utilisateurs dans le monde. Et Threema, une messagerie moins connue développée en Suisse, constate que son appli est « téléchargée 10 fois plus qu’auparavant, soit des centaines de milliers de nouveaux utilisateurs chaque jour ».
Si cet exode massif vers des messageries éprouvées peut se comprendre, il n’est pour autant pas forcément logique.
Tout ce bruit exprime avant tout l’inquiétude croissante des internautes en matière de données personnelles. Il y a d’abord le droit à l’anonymat, que beaucoup considèrent comme un droit fondamental, notamment aux Etats-Unis. Il y a ensuite la légitime volonté de protéger ses conversations privées (c’est le but du chiffrement de bout en bout, qui garantit en principe que personne ne peut voir vos échanges). Et il y a enfin, et peut-être surtout, l’impression diffuse que les géants du numérique centralisent trop de données personnelles. Or, on peut admettre que les alternatives à WhatsApp les plus plébiscitées ne résolvent pas tous les problèmes.
Il ne s’agit pas ici de minimiser la fiabilité, le sérieux et la qualité technique de ces messageries. Signal et Threema, notamment, ont fait leurs preuves et ont fait l’objet de plusieurs audits de sécurité indépendants montrant la solidité de leurs solutions : ici pour Signal, là pour Threema.
Mais utiliser Signal, par exemple, c’est commencer par fournir votre numéro de mobile, puis s’apercevoir que l’appli va elle-même chercher (sur Android) votre adresse Gmail pour en faire votre pseudonyme par défaut. On pourrait rêver mieux en matière d’anonymat. Et comme l’a rappelé la panne il y a quelques jours, Signal demeure une solution centralisée : quand ses serveurs tombent, son service ne fonctionne plus.
Autre exemple : Telegram propose bien du chiffrement de bout en bout, mais pas par défaut. Quitter une messagerie chiffrée par défaut, appartenant à une entreprise américaine ayant pignon sur rue, pour aller sur une messagerie au chiffrement optionnel, développée en Russie, puis à Berlin, Londres, Singapour et enfin Dubaï aujourd’hui, peut paraître un choix curieux.
On peut aussi s’interroger sur le modèle économique de ces entreprises. A part Threema, l’une des très rares applis payantes, la plupart des messageries sont d’usage gratuit. Or, on le sait, surtout en matière de services engrangeant des quantités massives (et précieuses) de données personnelles, la gratuité peut n’être qu’apparente. Avant le tollé de janvier 2021, WhatsApp semblait d’ailleurs décidée à utiliser son appli pour diffuser des messages publicitaires, et d’autres messageries gratuites pourraient suivre.
Du reste, avec toutes ces services, l’utilisateur n’a que peu de garantie quant à l’avenir. Que se passe-t-il (et que deviennent données et métadonnées) si ces entreprises sont absorbées par un géant du numérique, comme ce fut le cas pour WhatsApp (initialement une entreprise indépendante, achetée par Facebook en 2014) ? A tout le moins faut-il admettre que ce que l’on reproche à WhatsApp pourrait un jour apparaître sur des messageries qui adoptent, à peu de choses près, le même modèle.
Messageries décentralisées, une « autre » alternative
Pour toutes ces raisons, beaucoup estiment qu’il faut changer de modèle. Et depuis plusieurs années sont développées des messageries décentralisées, mettant l’accent sur l’anonymat et la protection des données de l’utilisateur, tout en cherchant à éviter les points de défaillance uniques.
L’une des solutions envisagées pour accroître la décentralisation est la blockchain, le principe de registre distribué popularisé par Bitcoin. Les crypto-monnaies sont par essence décentralisées : des transactions sont placées dans des blocs de données, validées selon différentes méthodes par des utilisateurs participant au réseau, puis inscrites de façon immuable sur un registre partagé (blockchain), lui-même répliqué sur tous les nœuds du réseau. Ajouté au fait que tout cela repose sur l’utilisation d’algorithmes de chiffrement, la connexité entre crypto-monnaies et messageries paraît évidente.
De fait, il existe déjà de multiples messageries cherchant à tirer parti des blockchains.
Sylo, la plus représentative du phénomène
Sylo est développée en Nouvelle Zélande depuis plusieurs années. Elle offre les mêmes fonctionnalités que WhatsApp (chat texte, audio et vidéo), utilise le chiffrement de bout en bout du protocole Signal, mais inclut également un porte-monnaie crypto en bonne et due forme (permettant de stocker, envoyer et recevoir des bitcoins ou d’autres crypto-monnaies). Et surtout, l’ensemble fonctionne via un réseau décentralisé formé par les utilisateurs : tout ordinateur peut devenir un noeud du réseau, et être rémunéré pour cela.
Status, l'atout de la polyvalence
Autre exemple, Status est à la fois une messagerie chiffrée (uniquement textuelle) et un moyen de stocker les tokens issus sur la blockchain Ethereum, tout en offrant l’accès aux applications décentralisées (dApps) développées sur cette même blockchain. La messagerie fonctionne selon un protocole peer-to-peer développé en OpenSource, et ne nécessite ni numéro de téléphone, ni email.
Adamant, la vie privée avant tout
Dans un genre un peu différent, Adamant, développé depuis 2017 sous la forme d’une appli Web progressive (donc accessible sur quasiment toutes les plate-formes, Web, Windows, Mac, Linux, Android, iOS), est construit dans une logique de protection de la vie privée particulièrement extrême : architecture décentralisée (chaque message est une transaction blockchain chiffrée), masquage des adresses IP de l’utilisateur, aucune géolocalisation, aucune historisation des messages sur l’appareil de l’usager... L’application intègre également un porte-monnaie crypto, simplifiant l’envoi d’argent à un correspondant distant. Le projet avance à son rythme (les appels vocaux sont prévus pour... 2022) mais il se distingue par sa grande cohérence — anonymat, sécurité et décentralisation avant tout.
Adamant est disponible sur Android, iOS, Windows, macOS et Linux.
Session, la chasse aux métadonnées
Session, disponible sur Android et iOS, est une autre messagerie chiffrée apportant un soin particulier à éliminer toutes les meta-données associées à l’utilisation des messageries. Elle est bâtie sur Oxen (anciennement Loki), une blockchain indépendante, et utilise en outre le “routage en oignon”, une technique pour garantir l’anonymat via des couches successives de chiffrement, décodées une à une au passage des noeuds du réseau (d’où le nom d’oignon). C’est le même procédé qui est utilisé sur le réseau Tor (Session n’utilise pas Tor mais simplement la même technique de onion routing). L’appli intègre son propre protocole de chiffrement de bout en bout (actuellement audité par un cabinet indépendant) et s’utilise sans email ou numéro de téléphone.
Hyper, celle qui s'annonce résolument peer-to-peer
On peut également citer Hyper, toujours en cours de développement, qui promet pour bientôt une appli de messagerie offrant beaucoup d’options et réellement peer-to-peer. Elle sera bâtie sur elastOS, un environnement reposant sur une blockchain indépendante, tandis que les grandes lignes du projet seront décidées par les utilisateurs eux-mêmes (via un token de gouvernance, lui-même adossé à une blockchain et permettant de voter).
Au-delà de la blockchain
Les blockchains ne sont toutefois pas la seule solution pour accroître la décentralisation des messageries.
Tox, la messagerie qui n'en est pas vraiment une
Tox est par exemple un projet FLOSS qui utilise lui aussi le routage en oignon et des registres distribués pour offrir un système de messageries peer-to-peer. L’ensemble repose sur des méthodes de sécurisation avancées, comme la confidentialité persistante (un principe selon lequel la découverte de la clé privée d'un utilisateur ne suffit pas à déchiffrer ses communications passées). Contrairement aux autres solutions, Tox lui-même n’est pas une messagerie clé en main, mais plutôt un ensemble de protocoles qui s’utilisent via des interfaces (clients) dédiées et indépendantes, également développées en Open Source. Il en existe une demie-douzaine pour différentes plate-formes, dont qTox (messagerie texte/audio/vidéo, seulement pour desktop Windows, Linux et Mac) ou aTox (seulement texte, Android).
Element, l'élue de l'administration française
Selon une approche différente mais visant au même but, Element (anciennement Riot.im) est une messagerie texte/audio/vidéo multi plate-formes (desktop et mobile), chiffrée de bout en bout et décentralisée, avec la promesse que l’utilisateur reste pour toujours propriétaire de ses données. Elle est développée par une entreprise privée mais repose sur Matrix, un réseau libre et ouvert développé depuis 2014 sous la supervision d’une fondation britannique à but non lucratif. Element, qui revendique plus de 20 millions d’utilisateurs, a été choisie par le ministère de l’éducation allemand ainsi que par l’administration française, qui a repris à son compte un fork de la messagerie baptisé Tchap.
Guide crypto : tout comprendre à la blockchain
Changement de paradigme
On le voit, il existe de nombreuses options pour sortir de la logique de messagerie centralisée.
Une des caractéristiques de ces outils est d’aller beaucoup plus loin qu’une messagerie habituelle. En fait, certaines de ces applis floutent les frontières entre plusieurs outils existants, en combinant des fonctionnalités multiples et parfois nouvelles : envoi simplifié de crypto-monnaies à un autre utilisateur depuis le chat, navigateur offrant l’accès à des applis tierces décentralisées, gestion avancée de groupes de collaborateurs, voire stockage de données (dans une logique de cloud décentralisé)...
Evidemment, utiliser ces applis est parfois moins immédiat qu’adopter WhatsApp ou Facebook. Beaucoup des interfaces sont uniquement en anglais et, au moins pour certaines, quelques notions en matière de blockchains et de crypto-monnaies sont indispensables.
Malgré tout, ces projets ont le mérite d’exister et peut-être de montrer la voie. A l’heure où l’on débat beaucoup du poids exagéré des GAFAM dans la vie publique, remplacer un géant du numérique par une entreprise plus petite mais adoptant des modèles similaires ne suffira peut-être pas à garantir la sérénité future des citoyens quant à leur communication numérique. Et démontrer que l’on peut développer des outils à la fois anonymes, sécurisés et décentralisés, laissant l’utilisateur pleinement maître de ses données personnelles, n’est sans doute pas dénué d’intérêt.
