Aller au contenu principal

Signal : La référence absolue de la messagerie chiffrée

Signal : chiffrement E2E de référence, métadonnées quasi nulles, entièrement open source, à but non lucratif. Ce qui le distingue et comment l'utiliser.

Dernière mise à jour : 21 avril 2026

TL;PL

  • Signal utilise un chiffrement de bout en bout que personne — pas même Signal — ne peut déchiffrer.
  • Géré par une organisation à but non lucratif (Signal Foundation), financée par des dons, sans publicité ni vente de données.
  • Open source sur toutes les plateformes — des chercheurs en sécurité auditent le code en permanence.
  • Stocke presque aucune métadonnée — même une assignation du FBI ne renvoie que la date de création du compte et l'heure de la dernière connexion.
  • Le Signal Protocol est si fiable que WhatsApp, Facebook Messenger et Google RCS l'ont tous licencié pour leur propre chiffrement E2E.

Qu'est-ce que Signal ?

Signal est une application de messagerie gratuite et open source qui vous permet d'envoyer des messages texte, vocaux, vidéo et des fichiers avec le chiffrement de bout en bout le plus robuste accessible aux particuliers. Elle est développée par la Signal Foundation, une organisation à but non lucratif américaine, et financée entièrement par des dons — sans publicité, sans vente de données, sans offre premium.

L'application est recommandée par toutes les grandes organisations de confidentialité (EFF, Tor Project, Privacy International), utilisée par des journalistes, des militants, des avocats et des chercheurs en sécurité du monde entier, et conseillée par Edward Snowden comme la messagerie qu'il utilise au quotidien.

Ce qui distingue Signal

La plupart des messageries « chiffrées » protègent votre message en transit, mais exposent de nombreuses informations vous concernant à leur entreprise :

Propriété Signal WhatsApp Telegram iMessage SMS
Chiffrement de bout en bout par défaut ❌ (uniquement les « Discussions secrètes ») ✅ (Apple↔Apple)
Clients open source ✅ toutes les plateformes partiel n/a
Serveur open source n/a
Minimisation des métadonnées ✅ agressive ❌ partagées avec Meta ❌ conservées partielle
Sealed Sender
Géré par une organisation à but non lucratif ❌ (Meta) ❌ (Apple) n/a
Financé par la publicité ou les données ❌ jamais ✅ (publicités Meta) partiel n/a n/a

C'est la combinaison de ces critères qui rend Signal unique. D'autres messageries peuvent égaler Signal en termes de robustesse du chiffrement, mais aucune alternative grand public n'offre le package complet : chiffrement fort, métadonnées minimales, code entièrement open source et modèle de financement structurellement aligné avec la confidentialité des utilisateurs.

Le chiffrement de bout en bout, correctement implémenté

Signal utilise le Signal Protocol (anciennement Axolotl), une conception de chiffrement en couches reposant sur trois primitives cryptographiques modernes :

  • Double Ratchet — génère une nouvelle clé de chiffrement pour chaque message, de sorte que même si une clé est compromise, seul ce message unique est exposé
  • Confidentialité persistante (forward secrecy) — les messages passés restent sécurisés même si votre clé actuelle est divulguée
  • Confidentialité future (post-compromise security) — si votre clé est divulguée, le système se régénère automatiquement afin que les messages futurs soient à nouveau sécurisés
  • Déniabilité — les messages prouvent cryptographiquement leur authenticité au destinataire, mais pas à un tiers, de sorte que personne ne peut prouver que vous avez envoyé un message particulier après coup

Le protocole est si bien conçu que WhatsApp, Facebook Messenger, Google Messages et Skype l'ont tous licencié pour leur propre chiffrement de bout en bout. Lorsque les plus grandes applications de messagerie au monde ont besoin d'un chiffrement de confiance, elles se tournent vers la conception de Signal.

L'implémentation cryptographique est publiée ouvertement et a été auditée par des chercheurs en sécurité indépendants — y compris des preuves mathématiques formelles des propriétés du protocole publiées dans des revues scientifiques à comité de lecture.

Les métadonnées : là où Signal s'impose vraiment

Le chiffrement protège le contenu des messages. Les métadonnées — avec qui vous avez communiqué, quand, à quelle fréquence, depuis où — sont souvent plus révélatrices que le contenu lui-même. Le conseiller juridique général de la NSA, Stewart Baker, a déclaré avec franchise : « Nous tuons des gens sur la base des métadonnées. »

La plupart des messageries conservent des métadonnées étendues. WhatsApp partage avec sa maison mère Meta :

  • Votre liste de contacts
  • Avec qui vous échangez et quand
  • Votre adresse IP au moment de l'envoi des messages
  • Vos appartenances à des groupes
  • Votre statut « Vu pour la dernière fois »

Signal, par conception, ne conserve presque rien :

  • ❌ aucune liste de contacts (mise en correspondance localement sur votre appareil par hachages cryptographiques)
  • ❌ aucun journal de routage des messages
  • ❌ aucun graphe des échanges entre utilisateurs
  • ❌ aucune liste de membres de groupes sur le serveur
  • ❌ aucun horodatage « Vu pour la dernière fois » stocké de manière centralisée
  • ✅ date de création du compte
  • ✅ horodatage de la dernière connexion (arrondi au jour)

Lorsque le FBI assigne Signal à comparaître — ce qui s'est produit à plusieurs reprises — il ne reçoit que ces deux derniers champs. Signal publie chaque demande gouvernementale et sa réponse à l'adresse https://signal.org/bigbrother/. L'écart entre ce qui est demandé et ce que Signal peut fournir est frappant.

Sealed Sender

Signal va encore plus loin avec une fonctionnalité appelée Sealed Sender. En temps normal, un serveur doit savoir qui envoie un message pour le distribuer. Sealed Sender utilise une enveloppe cryptographique afin que même le serveur de Signal ne puisse pas voir qui a envoyé le message — seulement à qui il est adressé. Le serveur se trouve ainsi réduit à un simple relais qui ne sait pas qui parle à qui.

Pourquoi l'open source est important

Signal publie l'intégralité du code source de chaque client (iOS, Android, Desktop, web) et du serveur. Cela signifie que :

  • Des chercheurs en sécurité indépendants peuvent auditer chaque ligne
  • Vous pouvez compiler Signal vous-même et vérifier que le binaire publié correspond
  • Les bugs et les portes dérobées peuvent être repérés par n'importe qui, pas seulement par l'entreprise
  • Des forks comme Molly (un client Signal Android renforcé) prouvent que la conception est solide

Comparez cela aux messageries à code source fermé où vous devez faire confiance aux affirmations de l'entreprise sur ce que fait son application. Le code de Signal est disponible sur https://github.com/signalapp et peut être inspecté par quiconque.

La question du numéro de téléphone

La principale critique en matière de confidentialité adressée à Signal a historiquement été qu'il exige un numéro de téléphone pour s'inscrire. Il s'agit d'un véritable compromis : les numéros de téléphone facilitent la découverte (« voir lesquels de mes contacts existants sont sur Signal »), mais ce sont aussi des informations permettant d'identifier personnellement quelqu'un.

La réponse de Signal, déployée en 2024 :

  • Noms d'utilisateur optionnels — vous pouvez échanger avec quelqu'un en utilisant un nom d'utilisateur plutôt qu'un numéro de téléphone, de sorte que le destinataire ne voit jamais votre numéro
  • Option de découvrabilité du numéro de téléphone — vous pouvez exiger un contact par nom d'utilisateur ou par lien, vous rendant invisible aux recherches « me trouver par numéro de téléphone »
  • Les numéros de téléphone restent liés au compte en coulisse — Signal les utilise toujours pour la vérification par SMS lors de l'inscription et des re-vérifications

Si votre numéro de téléphone est très sensible (vous êtes journaliste protégeant des sources, militant dans un environnement hostile, etc.), la pratique standard consiste à enregistrer Signal avec un numéro secondaire — Google Voice, Twilio, JMP.chat, ou une SIM dans un téléphone séparé — et à l'utiliser comme identité Signal. Le numéro secondaire doit rester accessible pour les re-vérifications périodiques.

Les fonctionnalités pratiques qui comptent

Au-delà du chiffrement, Signal intègre des fonctionnalités de confidentialité que d'autres messageries n'ont pas ou traitent comme secondaires :

Messages éphémères

Définissez une minuterie par conversation (de 5 secondes à 4 semaines) et les messages se suppriment automatiquement après leur lecture par le destinataire. Vous pouvez également définir une minuterie par défaut pour toutes les nouvelles conversations. Indispensable pour les échanges sensibles : si votre téléphone est ultérieurement saisi ou compromis, l'historique supprimé a disparu.

Verrouillage de l'écran

Verrouillez l'application Signal elle-même avec Face ID, Touch ID ou le code PIN de votre appareil — indépendamment du déverrouillage de l'appareil. Ainsi, un téléphone déverrouillé remis à quelqu'un n'expose toujours pas vos messages.

Note pour moi-même

Signal inclut une conversation « Note pour moi-même » qui sert de bloc-notes privé chiffré de bout en bout, synchronisé sur tous vos appareils. Utile pour stocker des codes 2FA, des liens à lire plus tard ou des notes courtes — le tout avec les mêmes garanties de sécurité que les messages envoyés à d'autres personnes.

Mises à jour sous forme de Stories

Les Stories Signal fonctionnent comme les Stories d'Instagram ou de WhatsApp, mais avec le même chiffrement E2E. Choisissez exactement quels contacts peuvent voir chaque story ; rien ne transite vers un fil d'actualité ou un système de recommandation.

Appels vocaux et vidéo

Les appels Signal sont chiffrés de bout en bout avec le même protocole, y compris les appels de groupe jusqu'à 50 participants. La qualité audio est bonne, et les appels transitent par les serveurs relais de Signal afin qu'aucun des participants n'ait à exposer son adresse IP à l'autre.

Synchronisation multi-appareils

Signal fonctionne sur plusieurs appareils liés au même compte — votre téléphone (l'appareil principal), ainsi que des applications de bureau pour macOS, Windows, Linux et une application iPad. Les appareils liés reçoivent les messages de manière indépendante ; votre téléphone n'a pas besoin d'être en ligne pour que le bureau fonctionne.

Les points faibles de Signal

Évaluation honnête des compromis :

  • Pas de repli sur SMS — l'application Signal pour Android a abandonné la prise en charge des SMS en 2023. Certains utilisateurs regrettent la boîte de réception unifiée.
  • Pas de sauvegardes cloud par défaut sur iOS — votre historique de messages réside sur votre appareil. Migrer vers un nouveau téléphone nécessite un processus de transfert ; si votre téléphone est perdu sans transfert préalable, votre historique de messages disparaît. (Il s'agit également d'une fonctionnalité de confidentialité : rien qu'un attaquant ne puisse assigner à comparaître depuis iCloud.)
  • Base d'utilisateurs plus restreinte que WhatsApp — vos contacts ne sont peut-être pas encore sur Signal. Il faut souvent un événement médiatique marquant (une violation de données majeure, un moment Apple-contre-FBI) pour que des vagues de nouveaux utilisateurs rejoignent la plateforme.
  • Les fonctionnalités de groupe sont basiques comparées aux immenses canaux publics de Telegram. Signal ne cherche délibérément pas à conquérir ce cas d'usage — il vise les conversations de groupe privées, non les plateformes de diffusion.
  • La recherche par nom d'utilisateur est exacte — vous ne pouvez pas rechercher « trouver des utilisateurs nommés Alice », seulement rechercher un nom d'utilisateur précis que quelqu'un vous a communiqué.

Qui devrait utiliser Signal

Réponse réaliste : toute personne qui échange des messages texte avec un autre être humain — même des messages anodins. Le coût marginal de passer à Signal pour un ami avec qui vous échangez déjà est pratiquement nul, et vous bénéficiez du chiffrement de bout en bout, de l'absence de publicité et d'une messagerie financée pour vous servir plutôt que pour vous monétiser.

L'argument est encore plus convaincant pour :

  • Les journalistes protégeant leurs sources
  • Les avocats et leurs clients ayant besoin d'une communication confidentielle
  • Les militants, dissidents et défenseurs des droits humains dans tout environnement
  • Quiconque discute de santé, de finances, de relations, de conflits familiaux — tout ce que vous ne voudriez pas voir figurer dans une future base de données divulguée
  • Les entreprises discutant de secrets commerciaux, de fusions-acquisitions, de décisions de recrutement — tout ce qui pourrait nuire à votre activité en cas d'exfiltration

Pour ces cas d'usage, Signal est le minimum requis. Si vous n'êtes pas sur Signal, vous diffusez effectivement vos conversations à travers l'infrastructure de journalisation d'une entreprise financée par la publicité.

Financement et pérennité

Signal est opéré par la Signal Foundation, une organisation à but non lucratif américaine 501(c)(3). Le financement provient de :

  • Dons individuels via signal.org/donate (la principale source de revenus)
  • Un don de 50 millions de dollars du cofondateur de WhatsApp, Brian Acton, en 2018
  • Des subventions plus modestes de fondations axées sur la confidentialité
  • Une réserve issue de la dotation de la fondation en 2018

Les coûts opérationnels sont réels — la PDG de Signal, Meredith Whittaker, a déclaré publiquement que la fondation a besoin d'environ 50 millions de dollars par an pour maintenir ses opérations actuelles. Si vous utilisez Signal régulièrement, faire un don finance directement les personnes qui écrivent le code. Il n'y a aucune publicité ni vente additionnelle à craindre ; le don constitue l'intégralité du modèle de revenus.

En résumé

Signal est ce à quoi ressemble une messagerie privée lorsqu'elle est conçue par des ingénieurs spécialisés en confidentialité, auditée ouvertement et gérée par une organisation qui n'a pas besoin de vous monétiser. Le chiffrement est de premier ordre, l'empreinte en métadonnées est quasi nulle, et le modèle de financement signifie qu'il n'y a aucune incitation à jamais changer cela. L'exigence d'un numéro de téléphone constitue un véritable compromis, mais qui a été considérablement réduit par l'ajout des noms d'utilisateur en 2024.

Si vous prenez la confidentialité au sérieux et que vous n'avez rien contre une installation de 30 secondes, Signal devrait être votre messagerie par défaut. Si vos contacts ne sont pas encore dessus, envoyez-leur une invitation — l'effet réseau est la seule chose qui sépare Signal de l'ubiquité, et chaque nouvel utilisateur fait avancer les choses.

Comment commencer à utiliser Signal de manière privée

Une liste de contrôle pratique pour configurer Signal dans le respect de la confidentialité en environ 10 minutes.

  1. Installer depuis la source officielle:Obtenez Signal depuis signal.org/download (ou la boutique officielle de votre plateforme — App Store, Google Play, F-Droid via le dépôt Signal). Évitez les sites APK tiers — ils distribuent parfois des clients modifiés contenant des portes dérobées.
  2. Utiliser un numéro de téléphone secondaire si votre numéro est sensible:Si vous avez besoin de préserver votre confidentialité vis-à-vis de vos contacts (par exemple, journalistes, militants, toute personne ne devant pas connaître votre vrai numéro), enregistrez Signal sur une tablette ou un ordinateur de bureau en utilisant un numéro Google Voice, Twilio ou un autre numéro VoIP. Gardez ce numéro actif et accessible, car Signal le re-vérifie périodiquement.
  3. Définir un nom d'utilisateur pour les nouveaux contacts:Paramètres → Profil → Nom d'utilisateur. Choisissez un nom d'utilisateur afin que les gens puissent vous écrire sans échanger de numéros de téléphone. Désactivez l'option « Découvrabilité du numéro de téléphone » pour n'autoriser le contact que par nom d'utilisateur ou par lien.
  4. Activer les messages éphémères par défaut:Paramètres → Confidentialité → Minuterie des messages éphémères par défaut. Une semaine est un paramètre raisonnable — assez long pour une conversation normale, assez court pour qu'un appareil volé ne divulgue pas des années d'historique. Vous pouvez également ajuster ce paramètre conversation par conversation.
  5. Verrouiller l'application avec la biométrie:Paramètres → Confidentialité → Verrouillage de l'écran. Exige Face ID, Touch ID ou le code PIN de votre appareil pour ouvrir Signal, même après que l'appareil a été déverrouillé. Indispensable pour les appareils partagés et face au risque réaliste que quelqu'un s'empare de votre téléphone déverrouillé.
  6. Masquer les aperçus de messages sur l'écran de verrouillage:Paramètres → Notifications → Afficher. Passez à « Nom uniquement » ou « Ni nom ni message » pour que les personnes à proximité ne puissent pas lire vos messages entrants depuis votre écran de verrouillage. Par défaut, l'aperçu du message est affiché, ce qui annule la moitié des avantages en matière de confidentialité.
  7. Vérifier les numéros de sécurité avec vos contacts importants:Ouvrez une conversation → appuyez sur le nom du contact → « Voir le numéro de sécurité ». Comparez le numéro à 60 chiffres avec votre contact (en personne ou via un canal vérifié) pour confirmer que personne n'intercepte votre conversation. Signal vous avertira si le numéro de sécurité d'un contact change — ce qui signifie généralement qu'il a réinstallé l'application, mais pourrait rarement indiquer une attaque.
  8. Définir un code PIN Signal et activer le verrouillage de l'enregistrement:Paramètres → Compte → Code PIN Signal. Active la sauvegarde chiffrée de vos contacts et paramètres (pas de l'historique des messages). Puis Paramètres → Compte → Verrouillage de l'enregistrement — empêche quiconque disposant de votre numéro de téléphone de ré-enregistrer Signal sur un nouvel appareil sans votre code PIN, ce qui constitue la protection standard contre les attaques par échange de SIM.

Questions fréquemment posées

Articles connexes

Guide de Protection Contre le Phishing