Avertissement de sécurité concernant les communications chiffrées

Aucune application n'est a priori totalement exempte de failles. De plus votre appareil ou celui de votre correspondant peut être volé, et s'il n'est pas suffisamment protégé (chiffré) les messages encore stockés dessus peuvent y être lus. Enfin votre correspondant peut commettre des maladresses, être manipulé ou faire l'objet d'un chantage.
Aussi n'échangez pas d'informations d'importance vitale avec une simple application de ce type.

L'usage des communications ainsi chiffrées est néanmoins très efficace pour :

  • vous prémunir contre certaines formes d'arnaques (messages falsifiés, usurpation d'identité, etc.) ;
  • limiter la probabilité de recevoir des messages publicitaires ou d'arnaque ;
  • mettre en échec la surveillance de masse, anti-démocratique, par les États et les multinationales (le site socialcooling.com/fr présente un ensemble de conséquences dramatiques, individuelles et sociales, que cette surveillance entraîne).

1. Pré-requis

  • Disposer d'un numéro de téléphone.
  • Disposer d'un ordiphone ou d'une tablette, équipée de Android® ≥ 5 ou iOS® ≥ 13 (iPhone 6S et ultérieurs).
  • Disposer d'une connexion Internet, soit via Wifi, soit via un abonnement de téléphonie mobile incluant des données mobiles (data).

À noter : les messages textes consomment très peu de données mobiles. Un forfait avec 50 Mo de "data" par mois peu suffire.

2. Installation

Télécharger et installer "Signal Private Messenger"

Vous pouvez télécharger l'application depuis le magasin d'application officiel de votre appareil.

(Remarque : pour Android®, Signal n'est pas disponible dans le magasin F-Droid, mais vous pouvez y accéder via Aurora Store ce qui permet d'éviter d'avoir à créer un compte Google et d'avoir à utiliser le Google Play Store® - voir explication dans notre tutoriel pour libérer un appareil Android®).

Les liens vers les magasins officiels sont donnés sur le site officiel de l'application : https://signal.org

Vous y trouverez aussi le téléchargement de la version pour ordinateur "Signal Desktop" (sous GNU/Linux, installez-la plutôt depuis votre logithèque).

3. Configuration

Initialisation

Au premier lancement de l'application, celle-ci vous demande un numéro de téléphone (qui sera votre identifiant). Un appel automatique de vérification vous est alors adressé (inutile de répondre). À défaut un SMS vous est adressé avec un code d'activation.

Signal propose de gérer aussi les SMS. Nous déconseillons vivement de le faire car cela pourrait vous donner une fausse impression de sécurité : les SMS ne sont pas chiffrés par Signal. Si vous souhaitez chiffrez les SMS, utilisez l'application Silence. D'ailleurs Signal va cesser de gérer les SMS fin 2022. Si vous gériez vos SMS avec Signal vous serez prévénus et vous aurez la possibilité - si vous souhaitez les conserver - de les exporter pour pouvoir les ré-importer dans une autre application de SMS.

Vous pouvez dès lors ajouter manuellement Signal à votre écran d'accueil.

Options de configuration

Passez en revue les options du menu "paramètres". Parmi celles-ci nous suggérons :

  • pour plus de réactivité dans les conversations, dans "Confidentialité", section "Messagerie", activez les "accusés de lecture" et les "indicateurs de saisie" ;
  • pour plus de confidentialité, dans "Confidentialité", section "Avancés", puis "Expéditeur scellé", activez "afficher l'icône d'état" et "autoriser de n'importe qui".
  • pour plus de sécurité, dans "Comptes", section "NIP Signal", définissez un code PIN (NIP) pour empêcher un tiers de s'inscrire dans Signal avec votre numéro de téléphone (usurpation d'identité). Activez "blocage de l'inscription" et "rappels du NIP".

Pour protéger l'accès local à vos messages

Faute de quoi vos messages restent accessibles à une personne qui s'emparerait de votre appareil.

Si vous ne verrouillez pas systématiquement votre appareil dès que vous le reposez, verrouillez au moins l'accès à l'application Signal :

Menu "paramètres", rubrique "Confidentialité", section "Sécurité de l'appli" → Verrou d'écran.
À noter : si vous oubliez votre mot de passe, vous devrez désinstaller l'application puis la réinstaller (tous les messages seront perdus).

Vous pouvez aussi supprimer régulièrement ou automatiquement vos messages. Voir § utilisation.

3b. Exclure Signal des optimisations de batterie et de mémoire

Il est recommandé, comme pour toutes les applications de communication et de synchronisation, de permettre à Signal de rester active même lorsque les optimisations de batterie ou de mémoire se mettent en route. Sinon vous risquez de ne plus recevoir de notification lorsque de nouveaux messages arrivent.

Suivez notre tutoriel spécifique.

4. Utilisation

Signal s'utilise comme n'importe quelle application de messagerie instantanée. Elle permet notamment :

  • les échanges écrits, le transfert de contacts, fichiers, photos et vidéos ;
  • l'envoi de messages vocaux (dans une conversation écrite, maintenir appuyée l'icône du microphone) ;
  • le partage de position (nécessite le service Google Maps*) ;
  • les appels vocaux ("téléphoniques") et vidéo (visiophonie) chiffrés de bout en bout ;
  • les conversations de groupe chiffrées de bout en bout.
  • Nouveau à partir de la version 6.0 : les "stories" (lire la présentation, en anglais).

À noter : vous pouvez enregistrer des messages pour vous-même (comme dans un bloc notes), écrire à : "Note à mon intention".

Faites le tour des menus pour connaître les options disponibles.

* Le partage de position ne fonctionnera pas si les services mobiles Google (GMS) ne sont pas installé sur votre ordiphone, ce qui est le cas si vous utilisez un système d'exploitation libre (tel que Fairphone Open ou /e/OS). Dans ce cas, pour cette fonction, utilisez l'application équivalente Telegram dans sa version disponible sur F-Droid).

Si une personne qui ne se trouve pas dans le carnet d'adresse de votre appareil mobile vous contacte :

La conversation est mise en attente, le numéro de téléphone de la personne est affiché, ce qui vous permet de faire une vérification en cas de doute. Vous avez trois options : "Bloquer", "Supprimer" et "Accepter". S'il s'agit d'un message indésirable, choisissez "Bloquer".

Pour bloquer un contact indésirable avec lequel vous avez une conversation en cours :

Ouvrir la conversation, appuyer sur le nom de la personne, ceci ouvre les détails du contact, puis descendre tout en bas jusqu'à "Bloquer".

Pour accéder à la liste des contacts bloqués : menu "Paramètres", rubrique "Confidentialité", puis "Bloquée".

Pour supprimer des messages :

Sélectionner un message : appui long ; pour en sélectionner d'autres en plus : appuyer sur l'icône de liste apparue sur la barre du haut, puis taper sur chacun. Puis tapez sur l'icône de corbeille de la barre du haut.

Vous pouvez aussi supprimer une conversation entière : appui long sur l'une quelconque des conversations (ceci la sélectionne), dans la barre de menu qui apparaît en haut tapez sur l'icône de corbeille.

À noter : lorsque vous supprimez un ou plusieurs messages envoyés par vous et récents, vous avez le choix entre le supprimer uniquement de votre appareil ou le supprimer aussi de l'appareil de votre correspondant. Par contre si vous supprimez la conversation entière, celle-ci restera sur l'appareil de votre correspondant.

Si vous souhaitez que la suppression des messages soit automatique pour certaines de vos conversations, vous pouvez définir un délai d'auto-destruction des messages, pour une conversation donnée, via le menu "Messages éphémères". Dans ce cas les messages sont effacés pour tous les correspondants, sans laisser de traces.

Pour communiquer de façon chiffrée :

Dans Signal, toutes les conversations (texte, audio et vidéo) sont chiffrées de bout en bout, que ce soit des conversations à deux ou au sein d'un groupe.

Initialisation

- invitez votre correspondant à installer Signal (choisissez "inviter des amis" dans le menu pour envoyer un SMS contenant l'adresse du site officiel. Vous pouvez aussi lui transmettre l'adresse de ce billet) ;

- lorsque celui-ci a initialisé Signal, ouvrez une nouvelle conversation avec ce contact de la façon suivante : [Android®] tapez sur l'icône de crayon, la liste de vos contacts enregistrés sur Signal apparaît [iOS®] idem ?. Lorsque votre contact ouvre Signal, l'application procède alors automatiquement à l'échange des clés de chiffrement entre vous et votre correspondant. La conversation peut alors commencer ;

- (recommandé) vérifiez avec votre correspondant la clé de chiffrement : ouvrir la conversation, appuyer sur le nom de la personne, ceci ouvre les détails du contact, puis descendre jusqu'à "Afficher le numéro de sécurité". Procéder à la vérification du code - qui doit être identique chez votre correspondant -, de visu ou de vive voix.

Communiquer par écrit

Lorsque vous envoyez un message écrit, un rond gris clair avec une coche apparaît lorsqu'il a été envoyé. Un second rond s'ajoute lorsque le message est arrivé sur l'appareil de votre correspondant. Enfin les deux rond deviennent gris foncé lorsque votre correspondant a ouvert la conversation (donc en principe lu le message).
Vous pouvez définir un délai d'auto-destruction des messages, via le menu "Messages éphémères".

Communiquer par "téléphone" (VoIP) ou visuellement

Sélectionner un contact (ou une conversation déjà active avec ce contact), puis tapez sur l'icône représentant un combiné téléphonique ou celle représentant une caméra.

Lorsque vous êtes appelé en visio, vous pouvez répondre avec ou sans caméra. Lorsque l'appel est établi, vous pouvez allumer ou éteindre la caméra (icône vidéo).

Si vous ou votre interlocuteur changez d'ordiphone ou de tablette

Si l'un de vos interlocuteurs change d'appareil, vous aurez un message indiquant "Votre numéro de sécurité avec Untel a changé". Lorsque votre interlocuteur aura réinitialisé Signal sur son nouvel appareil il pourra poursuivre la conversation avec vous. Vous devriez revérifier avec lui de vive voix son numéro de sécurité, pour être sûr qu'il s'agit bien de lui.

Si vous aller vous-même changer d'ordiphone ou de tablette, prévenez vos interlocuteurs à l'avance pour qu'ils ne s'inquiètent pas.

Que faire en cas de vol de votre mobile ?

Muni de la nouvelle carte SIM envoyée par votre opérateur de réseau mobile, connectez-vous à votre compte Signal sur un nouvel appareil et mettez fin à la session de votre ancien appareil : menu "Paramètres" > "Appareils reliés" : le séléctionner et confirmer la suppression.

Plus de détails sur cette page du support officiel.

4b. Utilisation sur ordinateur

Signal peut aussi être utilisé depuis un ordinateur, en installant l'application pour ordinateur (desktop).

L'identification initiale se fait à l'aide de votre numéro de téléphone et d'un code expédié dans Signal sur votre ordiphone. Ou via un code barre que vous devez scanner avec l'application Signal de votre ordiphone (suivez les instructions données à l'écran).
L'application synchronise vos contacts et vos conversations (les messages antérieurs à l'installation ne sont pas affichés).

Sur ordinateur la fonctionnalité d'appel audio/vidéo (VoIP) est désormais disponible.

5. Problèmes connus

Notifications

Si vous ne recevez pas de notifications pour les nouveaux messages entrants, ceci est probablement du aux applications d'optimisation de batterie, de mémoire et de consommation des données mobiles. Selon la marque de votre ordiphone les dispositifs peuvent varier. Assurez-vous que toutes vos applications de communication et de synchronisation sont autorisées à démarrer automatiquement (autostart), à s'exécuter en arrière-plan, font parties des applications protégées (protected apps), ne sont pas "optimisées", etc.

Éviter l'optimisation du téléphone qui risque de ne plus permettre à certaines applications de recevoir des messages ou de se synchroniser. Voir notre tutoriel spécifique.

Voir aussi la section dépannage sur le site officiel de Signal.

Messages indésirables (spam)

Comme sur toute application de communication des messages indésirables peuvent vous être adressés. Néanmoins cela n'est possible que si votre numéro de téléphone est connu de l'expéditeur.

Lorsque vous recevez un message d'une personne inconnue (c'est à dire dont le numéro de téléphone ne figure pas dans votre carnet d'adresse) Signal vous demande si vous acceptez ce message. Dans le doute supprimez le message ou bloquez l'expéditeur.

En savoir plus : lisez cet article sur Numerama.

6. Liens utiles

Fiche de Signal dans l'annuaire Framalibre.

Descriptif de l'application sur Wikipedia.

Site officiel (lire en particulier les FAQ du SUPPORT) : signal.org

Pour convaincre vos correspondants de migrer de WhatsApp® vers Signal, lisez et transmettez notre argumentaire.

7. Contribuer et financer

Signal est une fondation sans but lucratif. Faire un don depuis le site officiel : https://signal.org/donate/

8. Alternatives libres

Il existe une application cliente alternative pour Signal : Molly.

Pour les communications écrites chiffrées de bout en bout :

  • (fédéré) diverses applications utilisant le protocole XMPP (Conversations, ChatSecure, etc.).
  • (pair-à-pair) applications communiquant de pair-à-pair et via le réseau TOR : Briar et Cwtch (lire cet article).
  • (centralisé) l'application Olvid. Non disponibles dans F-Droid. (Audio payant).

Pour les communications écrites + audio + visio chiffrées de bout en bout :

  • (fédéré) diverses applications utilisant le protocole Matrix (Riot.im, Librem Chat). Tutoriel.
  • (centralisé) l'application Telegram (à condition d'utiliser les "conversations secrètes"). Tutoriel.
  • (centralisé) l'application Wire. Tutoriel.

Voir le comparatif des messageries instantanées et ce tutoriel général pour plus de détails.