Quelles sont les différences techniques entre ces fameuses applications que je conseille pour protéger votre vie privée et/ou votre anonymat ?

Signal - Les précurseurs

Ils arrivent et fracassent techniquement le marché des communications en temps réel en sortant un protocole open-source réutilisable E2EE qui intègre des fonctionnalités avancées comme le Perfect Forward Secrecy, Double Ratchet, X3ECDH, Dénégation Plausible.

Ces technologies ne vous disent peut-être rien, donc je vais les expliquer rapidement.

E2EE, vous connaissez déjà, c'est l'acronyme de End to End Encryption.
Ça signifie que votre communication est chiffrée de bout en bout, aucun serveur ou fournisseur ne peut lire votre conversation, seuls l'émetteur et le récepteur du message. À l'inverse des emails, de vos DMs et des groupes Telegram.

En sachant que les conversations sont chiffrées avec des clés, la sécurité de ces clés est cruciale. Imaginons que toute votre conversation soit chiffrée avec une seule clé et qu'elle finisse par être récupérée par un attaquant, votre conversation sera déchiffrée et donc lisible par l'attaquant.
Pour réduire ce risque, Signal a intégré les notions de Perfect Forward Secrecy et l'algorithme de Double Ratchet. Cela permet d'avoir à chaque fois une nouvelle opération de chiffrement et donc de nouvelles clés pour chaque nouveau message envoyé/reçu. Si une des clés est récupérée, seul le message chiffré avec cette clé sera lisible, mais pas les anciens ni les nouveaux messages.

L'autre concept amené par Signal pour protéger votre vie privée, c'est la Dénégation Plausible ou Répudiation. Là où en sécurité nous sommes plutôt habitués à la non-répudiation, ici, c'est l'inverse qui s'applique.

En effet, la non-répudiation est très utile en sécurité pour permettre de certifier qu'un message a bien été envoyé par un certain interlocuteur et pas un autre.

Mais quand on veut protéger sa vie privée, on préfère que personne ne puisse certifier que nous sommes réellement l'auteur ou non d'un message. C'est là qu'intervient la Dénégation Plausible.

Elle permet de s'assurer techniquement que le message est bien de l'utilisateur et non d'un usurpateur, sans donner le pouvoir cryptographique au récepteur de prouver qu'un message provient de cet utilisateur. Ceci grâce à une signature différente pour chaque message envoyé.

Pour nous permettre d'avoir ces différentes protections et sur plusieurs équipements, les deux interlocuteurs doivent pouvoir s'échanger plusieurs clés (publiques, éphémères, partagées) avant la communication, via un canal non protégé, puisque pas encore chiffré de bout en bout. À cela s'ajoute la complexité que les utilisateurs ne sont pas forcément connectés en même temps au serveur.

C'est pour cela qu'existe le X3ECDH pour eXtended Triple Elliptic Curve Diffie Hellman.
Diffie Hellman (DH) est connu pour être le protocole d'échange de clés partagées sur un canal non protégé avant une communication chiffrée.

C'est là qu'Alice donne sa clé publique à Bob et inversement. C'est là aussi qu'ils décident des modalités de génération d'une clé partagée commune dérivée de leur clé privée respective. Ces fameuses modalités, qui auparavant n'étaient qu'un simple nombre premier et la racine primitive modulo ce nombre premier, sont maintenant remplacées par une courbe elliptique (EC) définie sur un corps fini.

On passera les détails, mais cette courbe permet de générer de plus petits nombres sans altérer la sécurité, et cela optimise les opérations d'échange de clés et de chiffrement/déchiffrement.

Ces avancées marquent un tournant dans les communications mobiles chiffrées, c'est pourquoi leur protocole est directement intégré à d'autres applications comme WhatsApp et Session.

Cependant, petit problème pour l'anonymat, Signal demande un numéro de téléphone pour s'inscrire. Ceci fâche la communauté anonyme qui, pour certains, va totalement boycotter l'application et pour d'autres, utiliser un numéro anonyme pour quand même profiter du protocole.

L'autre aspect qui refroidit la communauté, c'est la centralisation de leur plateforme. En effet, l'architecture de Signal repose sur la centralisation de ses serveurs qui, en plus, récoltent des informations comme l'adresse IP et des métadonnées sur les messages et contacts. Même si cela ne semble pas être leur business model, à la différence de WhatsApp, ils pourraient fournir ces informations.