Analyse des Protocoles de Messagerie Sécurisée

De l'Email à Signal : L'évolution vers la souveraineté numérique

Telecom Nancy

Tom & Collaborateur

Rappel : Les piliers du protocole

Fondamentaux (C.I.D.A)

  • Confidentialité : Seul le destinataire lit le msg.
  • Intégrité : Le msg n'est pas modifié.
  • Authentification : Prouver l'identité de l'émetteur.
  • Disponibilité : Le service doit être accessible.

Modernes (Post-Snowden)

  • E2EE : Serveur totalement exclu.
  • Confidentialité Persistante (PFS) : Clés éphémères.
  • Auto-guérison : Réparation après compromission.
  • Déniabilité : Pas de preuve légale "statique".
  • Asynchronisme : Envoyer sans que l'autre soit en ligne.

L'ère du Transport (SMS / Email)

1982 - 1992

Email (SMTP) & SMS : Sécurité nulle par conception. Texte clair sur les serveurs (Orange, SFR, Google).

Années 2000

Sécurité de Transport (TLS) : Chiffrement entre tél et serveur. Mais le serveur possède les clés (Hop-by-Hop).

2008 - 2024

RCS (Google/GSMA) : Modernisation du SMS. E2EE imposé par Google en 2020.
Danger : Fallback SMS si mauvaise connexion = perte totale de sécurité.

Premières avancées : PGP & OTR

PGP (1991)

E2EE Asynchrone

  • Démocratisation de la crypto forte.
  • Rigide : Clés statiques.
  • Pas de PFS : Une clé volée déchiffre tout le passé.

OTR (2004)

E2EE PFS Déniabilité

  • Synchrone : Bob doit être en ligne.
  • Fragile : La session casse si l'IP change (4G/Wi-Fi).

2013 : La Révolution Signal

  • X3DH : Asynchronisme parfait (Pre-keys stockées sur serveur).
  • Double Ratchet : Renouvellement de clé à chaque message.
  • Auto-guérison : Compromission d'une clé n'affecte pas les futurs messages.

Adoption Massive :

✅ Protocole intégré dans WhatsApp (2016), Google Messages, Messenger et Skype.

2023 : Déploiement de PQXDH (Post-Quantique).

Comparaison Technique

Critère SMS/Email PGP OTR Signal
ConfidentialitéPartielle
Intégrité
Disponibilité❌ (Sync)
E2EE
PFS (Passé)
Auto-guérison

Cœur technique

Place à Tom & au tableau blanc

🦦

(Dessin de l'Axolotl)

Limitations & Défis

  • Menace Quantique : Risque "Harvest Now, Decrypt Later" (Algorithme de Shor).
  • Points d'extrémité : Le protocole est blindé, mais si l'OS est corrompu (Spyware Pegasus), la crypto est inutile.
  • Attaque MitM : Substitution de clés publiques sur le serveur (nécessite vérification manuelle des Safety Numbers).

Gouvernance & Souveraineté

Plateforme Réseau E2EE par défaut Métadonnées Souveraineté
SignalCentralisé✅ OuiMinimiséesMoyenne (USA)
DiscordCentralisé❌ (Sauf A/V)ExploitéesNulle
MatrixFédéré✅ OuiVariablesTotale

Discord : Priorité à la modération et l'UX communautaire.

Matrix : Standard ouvert décentralisé (Ex: Tchap pour l'État Français).

Conclusion

La sécurité ne se mesure plus seulement à la puissance du chiffrement,
mais à la maîtrise des métadonnées et à la souveraineté de l'infrastructure.

Merci de votre attention