Comparaison sécurité Signal Olvid
| Aspecte | Signal | Olvid |
|---|---|---|
| Chiffrement | Protocole Signal pour E2EE sur messages, appels, groupes ; secret forward parfait. | E2EE pour textes et appels vocaux ; sans tiers de confiance, protection même si serveurs compromis. |
| Protection métadonnées | Minimale ; expose qui/avec qui/quand via numéros de téléphone. | Forte ; aucune donnée personnelle, pas d’annuaire central, pas d’accès contacts. |
| Identifiant requis | Numéro de téléphone obligatoire. | Aucun (pas de numéro, email, nom). |
| Open-source | Oui, clients et serveurs. | Oui, clients iOS/Android sur GitHub. |
| Audits | Audits indépendants ; protocole éprouvé. | Audité par experts gouvernementaux français (ANSSI). |
| Vulnérabilités connues (2025) | Fuites Signal (mars 2025) : avertissements NSA/Pentagone sur hacks russes ; risques identité. | Aucune spécifique rapportée. |
| Autres | Sauvegardes non chiffrées ; dépendance OS pour hacks. | Usabilité limitée par absence annuaire ; tiers payant pour multi-appareils. |
En mars 2025, des officiels de l’administration Trump, dont le secrétaire à la Défense Pete Hegseth, ont accidentellement inclus le journaliste Jeffrey Goldberg (The Atlantic) dans un chat de groupe Signal discutant de plans militaires secrets pour bombarder des sites houthistes au Yémen.
Goldberg a publié des extraits sans révéler l’intégralité, malgré les affirmations de Trump minimisant l’incident comme un “glitch” sans information classifiée partagée.
Avertissements de la NSA et du Pentagone
- NSA (février 2025) : Bulletin interne “Opsec Special” avertissant les employés de vulnérabilités dans Signal dues à des groupes de hackers russes professionnels exploitant la fonction “linked devices” via des QR codes malveillants intégrés dans des pages de phishing ou liens d’invitation de groupe. Cela permet d’accéder en temps réel aux conversations chiffrées en contournant le chiffrement de bout en bout (E2EE) par compromission d’appareil. Signal est qualifié de cible à haute valeur pour l’espionnage en raison de son usage par des personnes surveillées.
- Pentagone (18 mars 2025) : Bulletin OPSEC généralisé interdisant Signal même pour des informations non classifiées, citant les mêmes groupes russes utilisant “linked devices” pour espionner des conversations. Google a identifié ces hackers ciblant Signal pour surveiller des “personnes d’intérêt”.
La réponse de Signal
Les vulnérabilités concernent des attaques de phishing, non le cœur technologique de l’application. Des garde-fous supplémentaires et alertes en-app ont été implémentés plusieurs mois avant pour prévenir les victimes. Aucune brèche serveur n’a été rapportée ; l’incident principal résulte d’erreur humaine.
