Tout service qui ne montre pas comment il fonctionne dans le détail (logiciel libre) n’a pas reçu notre confiance.
Tout service qui fait passer nos échanges par ses serveurs court le risque que ceux-ci soient piratés ou rachetés un jour, donc n’a pas non plus toute notre confiance.
le plus sûr possible humainement et techniquement en terme de vie privée
le plus de fonctions possibles parmi celles qui nous permettent de communiquer aujourd’hui (texte, audio et vidéo, à deux ou en groupes, envoi de fichiers, voire partage d’écran)
la possibilité d’utiliser le service sur mobiles Android, Apple et Wind., et si possible sur ordinateur (Mac, Wind. et GNU/Linux)
la taille de la communauté d’utilisateurs reste un critère, mais secondaire
Les deux outils choisis envoient les messages d’un utilisateur à l’autre sans passer par un serveur susceptible de les stocker (ni en clair, ni chiffrés). Et ils ont été revus par des universitaires.
offre les meilleures garanties techniques et humaines pour la confidentialité des échanges entre utilisateurs. Mais la contre-partie est qu’il faut créer le lien avec chaque interlocuteur individuellement en échangeant un identifiant de son choix (nom réel ou pseudo). De plus, il lui manque encore quelques fonctions "de base" auxquelles nous sommes habitués : les groupes pour le chat et les conférences. C’est en cours de développement. Il n’y a pas plein d’autocollants et autres pour exprimer ses émotions. Et si on perd son mot de passe principal, comme personne d’autre ne l’a, le compte est perdu pour toujours. Par contre, on peut l’utiliser sur mobile et sur ordinateur (Mac, Wind. et GNU/Linux), et faire des sauvegardes.
Humainement, le service fait partie du Projet GNU, un projet au service de la communauté [humaine] depuis les années 80 porté par des idéalistes. C’est le courant du logiciel libre qui a inspiré Wikipedia.
Techniquement, il n’y a pas de serveur qui suive les échanges, et les utilisateurs sont « anonymes ». C’est un système décentralisé (distribué). Les échanges sont vraiment confidentiels et le resteront.
Commercialement, Jami est développé par une société de services en logiciels libres (SFL) qui vend son expertise à fournir un service de messagerie confidentielle.
Par ces raisons humaines et techniques, Jami ne pourra jamais être vendu à un GAFAM.
est plus proche de nos habitudes sur WhatsApp. Il est plus connu du grand public et sera d’autant plus facilement choisi par notre entourage.
Techniquement, il s’appuie sur les numéros de téléphones. Du coup, il est encore possible de suivre (chez signal) qui est en contact avec qui, bien qu’on soit assez certain qu’il n’y a pas de tel pistage. Mais les échanges ne passent pas par des serveurs centralisés. Les serveurs ne sont utilisés que pour la mise en relation des utilisateurs.
Le lanceur d’alerte Edward Snowden recommande l’application qui est, selon lui, l’un des meilleurs moyens d’échapper aux programmes de surveillance massive.
L’Electronic Frontier Foundation (EFF) a inclu Signal dans son guide d’auto-défense contre la surveillance.
Commercialement, Signal est à mi-chemin : il est développé par une société commerciale qui est financée par une fondation. L’avenir à moyen terme n’est pas garanti.
Tox, un peu le principe de Signal mais avec une circulation des messages encore plus dissimulée (routage en couches d’oignons). Pas encore abouti.
Session, est aussi très prometteur et issu d’une fondation mais ne fait encore que du texte, pas d’appels audio ou vidéo. Utilise aussi le routage en oignon.
Solutions XMPP, en fait, c’est aussi assez solide et intéressant, mais les programmes à installer ont un nom différent sur chaque appareil (selon qu’on est sur Android, Apple, Wind. etc.), avec parfois des fonctions différentes de l’un à l’autre, ce qui ne facilite pas la propagation par le bouche-à-oreille.
Silence, propose uniquement l’échange de SMS et MMS, de façon confidentielle (« cryptée »).
Commerciaux, donc susceptibles d’être revendus, d’ajouter de la pub, ou de brider les utilisations gratuites pour faire passer les utilisateurs en mode payant...
Olvid se démarque par un système très sécurisé en termes techniques, mais reste le produit phare d’une société qui cherche à vendre ses services aux entreprises.
Telegram, qui a annoncé commencer à "monétiser" l’application en 2021. Qui plus est, les programmes des serveurs ne sont pas connus. Il semblerait que le produit soit honnête car utilisé dans divers pays fortement censurés et réprimés, mais on ne peut pas savoir.
Citadel, FB Messenger, JioChat, Line, Skred, Skype, Threema, Viber, WhatsApp, Wire...
Comme il s’agit de logiciels libres, il est aussi possible de compiler soi-même les deux outils sélectionnés. De sorte que s’il y avait du pistage caché vers des serveurs, il serait relativement aisé de s’en libérer. Et dans les deux cas, le code a été révisé.
Le fonctionnement non centalisé de Jami évite la production de métadonnées qui pourraient être stockées, puis vendues, piratées ou requises par un gouvernement.
Le fonctionnement même de Signal requiert le minimum de métadonnées, à savoir : le numéro de téléphone de l’expéditeur, et la date et l’heure. Les développeurs assurent effacer ces données et ne conserver que deux horodatages, le premier pour la création du compte, le second pour la dernière connexion au service, essentielles pour assurer le service.
Signal est développé aux USA, donc est soumis aux lois qui permettent au renseignement états-unien (divers bureaux, voir « CLOUD Act ») d’avoir accès aux données stockées, mais ils ne stockent quasiment rien. Ce qui est mieux que la France où ils devraient stocker obligatoirement un certain nombre de données durant un an ou deux.
La société montre sur son site comment elle a déjà répondu à une telle requête en fournissant exactement deux dates pour un utilisateur.
Jami est développé au Canada, et n’est donc pas encore soumis aux contraintes US, mais des accords sont en discussion. D’un autre côté, de par leur conception, les serveurs n’ont vraiment pas grand chose à offrir au renseignement.