Alex et sa conjointe Marie-Ève s’écrivent sur Telegram depuis deux ans. Ils partagent des photos de famille, des plans de voyage, des conversations sur leur vie quotidienne.
Alex est convaincu que c’est chiffré. “C’est comme Signal”, dit-il quand quelqu’un lui pose la question. Il a vu le logo, il a lu “sécurisé” quelque part, il a entendu que “Telegram c’est pour les gens qui veulent pas être espionnés.”
Il a tort sur presque tout. Et Telegram le sait parfaitement.
Leurs conversations — deux ans de messages, de photos, de plans — sont stockées sur les serveurs de Telegram. En clair. Telegram peut les lire. Les gouvernements peuvent les demander. Et depuis 2024, Telegram coopère de plus en plus avec les autorités.
Ce n’est pas un problème si vous parlez de votre recette de pâtes. Ça devient un problème le jour où vous avez une bonne raison de vouloir que personne d’autre n’ait accès à vos messages.
C’est quoi le chiffrement bout en bout — l’analogie la plus simple
Imaginez que vous voulez envoyer une lettre à votre amie Sophie.
Option A — L’enveloppe normale. Vous mettez la lettre dans une enveloppe, vous la fermez, vous la postez. Le facteur ne l’ouvre pas normalement. Mais techniquement, il pourrait. La compagnie postale pourrait. Si quelqu’un avec assez d’autorité le demande, c’est possible.
C’est le chiffrement “en transit” — vos données sont protégées pendant le voyage sur le réseau, mais une fois arrivées chez le fournisseur, ce dernier peut y accéder. La plupart des services appellent ça “chiffrement” sans préciser.
Option B — Le coffre-fort personnel. Avant d’envoyer votre lettre, vous la mettez dans un coffre-fort. Vous envoyez le coffre-fort à Sophie. Seule Sophie a la clé — pas le facteur, pas la compagnie postale, pas le gouvernement, pas même l’entreprise qui a fabriqué le coffre. Si quelqu’un intercepte le colis, il voit un coffre-fort fermé. Inutilisable.
C’est le chiffrement “de bout en bout” — E2E dans le jargon. Les clés de déchiffrement n’existent que sur vos appareils et celui de Sophie. Personne au milieu ne peut lire le message.
La quasi-totalité des marketeurs tech utilisent le mot “chiffrement” sans dire lequel. C’est délibéré.
Telegram — le grand malentendu québécois
Telegram a une image de messagerie “pour les gens sérieux sur leur vie privée”. Cette réputation est en grande partie du marketing, et elle a causé beaucoup de dommages réels.
Voici les faits, tirés directement des conditions d’utilisation de Telegram.
Les conversations normales sur Telegram — les chats individuels habituels, les groupes, les canaux, les supergroups — sont stockées sur les serveurs de Telegram. Telegram utilise son propre système de chiffrement appelé MTProto, mais les clés de déchiffrement sont conservées par Telegram. Ce qui signifie : Telegram peut lire vos messages. Et des tiers avec une autorisation légale aussi.
Le vrai chiffrement bout en bout sur Telegram n’existe que dans les Secret Chats — une fonctionnalité distincte qu’il faut activer manuellement pour chaque conversation. Elle ne fonctionne pas dans les groupes. Elle ne fonctionne pas dans les canaux. Et selon les analyses d’utilisation, moins de 5% des conversations Telegram se font en Secret Chat.
Si vous utilisez Telegram pour vos conversations habituelles en pensant avoir le même niveau de protection que Signal, vous ne l’avez pas. La différence n’est pas subtile — c’est la différence entre l’enveloppe et le coffre-fort.
Ce qui s’est passé en 2024 : Pavel Durov, fondateur de Telegram, a été arrêté en France. Parmi les raisons invoquées : le refus de Telegram de coopérer avec des enquêtes judiciaires. Suite à cette arrestation, Telegram a changé sa politique et a commencé à remettre davantage de données aux autorités. Si vous croyiez que Telegram était “hors d’atteinte des gouvernements” — cette époque est révolue.
WhatsApp — chiffré, mais Meta collecte tout le reste
WhatsApp utilise le protocole Signal pour le chiffrement de vos messages. C’est le même protocole que Signal l’application — techniquement robuste, bien audité, reconnu comme le standard de l’industrie.
Le contenu de vos messages WhatsApp est chiffré de bout en bout. Meta ne peut techniquement pas lire ce que vous écrivez à votre sœur.
Mais Meta collecte vos métadonnées. Et les métadonnées, c’est presque aussi révélateur que le contenu.
Concrètement, Meta sait :
- Avec qui vous communiquez (tous vos contacts WhatsApp)
- À quelle fréquence vous leur écrivez
- À quelle heure vous êtes actif
- La durée de vos appels
- Votre localisation approximative au moment des échanges
- Si vous utilisez WhatsApp Business, des données supplémentaires
Voici un exemple concret avec Bob. Bob appelle son médecin trois fois en une semaine. Puis il appelle une clinique spécialisée en oncologie. Puis un groupe de soutien. Meta ne sait pas ce que Bob a dit dans ces appels. Mais Meta sait exactement qui Bob a appelé, quand, et combien de temps. Ces métadonnées racontent l’histoire d’un homme qui vient d’apprendre un diagnostic sérieux — sans qu’un seul mot de ses conversations soit lu.
C’est ce que les experts en sécurité appellent le paradoxe des métadonnées : vous pouvez avoir un chiffrement de contenu parfait et quand même être complètement transparent pour quiconque collecte vos métadonnées.
Meta est une entreprise publicitaire. Ses revenus proviennent de la vente de publicité ciblée. Vos métadonnées ont de la valeur.
Les métadonnées — aussi dangereuses que le contenu
Ce concept mérite qu’on s’y arrête, parce qu’il est systématiquement sous-estimé.
Le directeur de la NSA (agence de renseignement américaine) Michael Hayden a dit publiquement en 2014 : “On tue des gens sur la base de métadonnées.” Ce n’était pas une métaphore. Les drones militaires américains ciblaient des individus en croisant des données de localisation téléphonique — pas le contenu des conversations.
À une échelle beaucoup plus quotidienne : les assurances, les employeurs, les plateformes publicitaires, les gouvernements — tous ont intérêt à vos métadonnées. Qui vous connaissez, où vous allez, quand vous êtes éveillé, avec qui vous passez votre temps.
Un journaliste qui chiffre ses communications avec une source peut quand même être identifié si les métadonnées montrent des échanges fréquents avec un fonctionnaire dans un ministère spécifique.
Une personne qui fuit une situation domestique dangereuse peut avoir ses messages chiffrés — mais si les métadonnées montrent des appels répétés vers un refuge, un avocat spécialisé, et un bureau de logement, la situation est exposée.
Signal résout ce problème. WhatsApp ne le résout pas. Telegram en mode normal ne le résout pas non plus.
Signal — pourquoi c’est le standard
Signal n’est pas parfait. Aucun outil ne l’est. Mais c’est la meilleure option disponible au grand public en 2026, et les raisons sont concrètes.
Chiffrement par défaut, partout. Tous les messages, tous les appels, tous les groupes. Pas une fonctionnalité cachée à activer. Pas d’exception pour les groupes. Tout est E2E par défaut.
Code open source audité. Le code de Signal est public. N’importe quel chercheur en sécurité peut l’examiner, le tester, identifier des failles. Des équipes indépendantes l’ont fait — et continuent de le faire. WhatsApp dit utiliser le même protocole mais son code est fermé : vous devez les croire sur parole. Signal, vous pouvez vérifier.
Collecte minimale de métadonnées. Signal collecte : votre numéro de téléphone et la date de votre inscription. C’est tout. Pas de graphe social. Pas de fréquence d’échanges. Pas de localisation. Quand les autorités américaines ont demandé des données Signal en 2016, la réponse de la Fondation Signal était deux lignes : numéro de téléphone et date d’inscription. C’est tout ce qu’ils avaient.
Sealed Sender. Une fonctionnalité unique : quand vous envoyez un message sur Signal, même les serveurs de Signal ne savent pas qui envoie à qui. Le système connaît la destination mais pas l’expéditeur. C’est une protection supplémentaire contre l’analyse de trafic.
Modèle économique sain. Signal est géré par une fondation à but non lucratif. Elle est financée par des dons. Elle n’a aucun intérêt à monétiser vos données — parce qu’elle ne les collecte pas et son modèle économique n’en dépend pas.
Tableau comparatif — la réalité en 2026
| Messagerie | E2E par défaut | Métadonnées collectées | Code ouvert | Qui peut lire vos messages |
|---|---|---|---|---|
| Signal | Oui, tout | Minimum (numéro + date) | Oui | Personne sauf vous et destinataire |
| Oui (contenu) | Oui, extensivement (Meta) | Non | Contenu : personne. Métadonnées : Meta | |
| Telegram (normal) | Non | Oui | Partiellement | Telegram, autorités avec demande légale |
| Telegram (Secret Chat) | Oui | Partiel | Partiellement | Personne (pour ce chat spécifique) |
| iMessage | Oui (entre Apple) | Partiel (Apple) | Non | Varie selon activation Protection Avancée |
| SMS | Non | Oui (opérateur) | N/A | Opérateur télécom, autorités facilement |
| Email standard | Non | Oui | N/A | Fournisseur, autorités |
iCloud — le chiffrement qui demande une action de votre part
Apple a bâti sa réputation sur la vie privée. Et par rapport aux concurrents, elle mérite une bonne partie de cette réputation. Mais il y a un détail important que très peu de gens connaissent.
Jusqu’en 2022, même avec iCloud “chiffré”, Apple conservait les clés de déchiffrement. Ce qui signifiait qu’Apple pouvait techniquement accéder à vos photos, vos notes, vos sauvegardes iCloud. Et répondre aux demandes judiciaires — ce qu’ils ont fait des milliers de fois, comme en témoignent leurs rapports de transparence publics.
Fin 2022, Apple a introduit la Protection Avancée des Données iCloud — un vrai chiffrement E2E où même Apple ne peut plus accéder à vos données.
Le problème : c’est désactivé par défaut. Il faut l’activer manuellement.
Réglages → [votre nom] → iCloud → Protection Avancée des Données → Activer.
Deux minutes. Une seule fois. Si vous avez un iPhone et que vous n’avez pas fait ça, vos photos iCloud sont techniquement accessibles à Apple et aux autorités qui le demandent.
Note importante : si vous activez cette fonctionnalité, Apple ne peut plus vous aider à récupérer vos données en cas de perte de votre appareil et de votre code de récupération. Gardez votre code de récupération dans un endroit sûr.
Recommandations pratiques par cas d’usage
Vous êtes Josée, vous envoyez des photos de famille et des plans de souper. WhatsApp ou iMessage font très bien le travail pour ça. Le risque concret pour vous est quasi-nul.
Vous êtes journaliste, médecin, avocat, travailleur social, ou vous gérez des informations sur des personnes vulnérables. Signal uniquement pour les communications sensibles. Configurez aussi la disparition automatique des messages.
Vous êtes chef d’entreprise et vous discutez de stratégie confidentielle. Signal. Les métadonnées WhatsApp sont déjà un risque de fuite commerciale — pas besoin que quelqu’un lise vos messages.
Vous utilisez Telegram pour un groupe communautaire ou une chaîne d’information. Le contenu de ces échanges est stocké chez Telegram. Si c’est acceptable pour vous, aucun problème. Mais ne présumez pas que c’est privé.
Vous voyagez dans un pays autoritaire. Signal uniquement. Effacez les conversations sensibles avant de passer aux douanes. Considérez un téléphone secondaire.
Vous voulez activer le vrai chiffrement iCloud. Réglages → iCloud → Protection Avancée des Données. Faites-le maintenant.
Ce que ça dit du marketing tech
“Chiffrement” est devenu un mot de marketing. Les entreprises l’utilisent pour signaler sérieux et respect de la vie privée — même quand le chiffrement en question ne protège pas grand-chose.
Ce n’est pas un problème mineur. Quand les gens croient que leur messagerie est privée alors qu’elle ne l’est pas, ils font des choix différents. Ils partagent des informations qu’ils n’auraient pas partagées autrement. Ils font confiance à des plateformes qui ne méritent pas cette confiance.
La prochaine fois que vous lisez “chiffrement” sur un service, posez-vous trois questions :
Est-ce que c’est activé par défaut ? Si vous devez faire une action pour l’activer, la majorité des utilisateurs ne le font pas.
Est-ce que le service garde les clés ? Si oui, ce n’est pas du vrai chiffrement bout en bout — c’est juste de l’obscurcissement.
Est-ce que les métadonnées sont collectées malgré tout ? Contenu chiffré + métadonnées collectées = protection partielle.
Signal répond correctement aux trois questions. WhatsApp répond correctement à la première seulement. Telegram en mode normal ne répond correctement à aucune.
Ce n’est pas une question de paranoïa. C’est une question de savoir exactement ce que vous utilisez — et d’en accepter les conséquences en connaissance de cause.
À lire aussi :
- Deepfake vocal : on a imité la voix de votre fils
- Les VPN mentent dans leurs publicités
- Protéger sa vie privée en ligne : le guide complet
- Vos données sont déjà en ligne — voici comment vérifier
Vous voulez évaluer la sécurité des communications de votre équipe ou mettre en place des outils adaptés à votre réalité ? On peut vous aider : sequr.ca/contact
