Key Transparency : Signal n'a-t-il pas changé votre clé ?

Vous envoyez un message chiffré à votre contact. Signal vous dit qu’il est “chiffré de bout en bout”. Vous faites confiance.

Mais de bout en bout avec quelle clé ?

Si Signal (ou un attaquant qui a compromis les serveurs de Signal) a remplacé la clé publique de votre contact par une autre clé, votre message est bel et bien chiffré — juste pas pour votre destinataire. Pour l’attaquant.

C’est l’attaque MITM (Man-in-the-Middle) appliquée au chiffrement E2EE. Et la solution s’appelle Key Transparency.

Comment fonctionne la distribution de clés publiques

Pour chiffrer un message pour quelqu’un, vous avez besoin de sa clé publique. Signal stocke ces clés sur ses serveurs. Quand vous écrivez à un contact, votre application télécharge sa clé publique depuis les serveurs Signal.

Ce processus crée un point de confiance : vous faites confiance à Signal pour vous donner la vraie clé de votre destinataire.

Dans 99,9% des cas, ça fonctionne. Mais théoriquement, Signal pourrait :

• Remplacer la clé d’un contact par une clé de surveillance
• Le faire sous une ordonnance légale secrète
• Le faire si ses serveurs sont compromis par un attaquant tiers

Le chiffrement reste “de bout en bout” techniquement. Mais le “bout” est maintenant l’attaquant, pas votre contact.

Key Transparency : l’arbre Merkle comme preuve publique

Signal a lancé Key Transparency en beta en 2023. Le principe s’inspire de Certificate Transparency (utilisé pour les certificats SSL web).

Un arbre Merkle est une structure de données cryptographique où chaque élément est lié aux autres par des hash imbriqués. La propriété clé : vous ne pouvez pas modifier un élément sans changer le hash racine — et ce changement est détectable par quiconque surveille l’arbre.

Comment Key Transparency l’applique :

1. Signal publie un log public auditable de toutes les associations “numéro de téléphone → clé publique”
2. Quand une clé change, l’entrée est mise à jour dans le log — visible publiquement
3. N’importe qui peut auditer le log pour détecter des changements de clés suspects
4. L’application Signal peut vérifier automatiquement que la clé reçue correspond au log public

Si Signal essayait de substituer une clé silencieusement, la modification serait visible dans le log. L’entreprise ne peut pas mentir à la fois à l’utilisateur ET au log public — sans que ce soit détectable.

Safety Numbers : la vérification manuelle hors-bande

Avant Key Transparency, Signal offrait déjà une vérification manuelle : les Safety Numbers (numéros de sécurité).

Dans Signal, chaque conversation a un numéro de sécurité unique — un code dérivé des clés des deux participants. Si les clés correspondent, le code est identique des deux côtés.

Pour vérifier :

1. Ouvrez la conversation dans Signal
2. Appuyez sur le nom du contact → “Vérifier le numéro de sécurité”
3. Comparez avec votre contact — en personne, par appel vocal, ou via un autre canal de confiance
4. Si les codes correspondent sur les deux téléphones : la clé n’a pas été substituée

C’est une vérification hors-bande : vous ne faites plus confiance à Signal pour vous dire que tout va bien. Vous vérifiez vous-même.

Signal peut notifier quand un numéro de sécurité change pour un contact. Activez cette option dans les paramètres : Confidentialité → Notifications de sécurité → Afficher les notifications de changement de sécurité.

La notification de changement de clé — ce qu’elle signifie réellement

Si Signal vous notifie “Le numéro de sécurité avec [contact] a changé”, ça peut signifier :

• Cas courant : votre contact a changé de téléphone ou réinstallé Signal. Sa clé a changé légitimement. Vérifiez en lui demandant directement.
• Cas moins courant : votre contact utilise Signal sur un deuxième appareil. Signal génère une nouvelle clé par appareil.
• Cas rare mais critique : quelqu’un a compromis leur numéro (SIM swap), installé Signal, et intercepte maintenant les messages.

Ne jamais ignorer cette notification si les conversations sont sensibles. Vérifiez toujours le changement via un autre canal.

Ce que vous pouvez faire maintenant

1. Vérifiez le Safety Number avec vos 2-3 contacts les plus sensibles (journalistes, avocats, sources, partenaires d’affaires critiques) — en personne ou par appel
2. Activez les notifications de changement : Paramètres Signal → Confidentialité → Afficher les notifications de sécurité
3. Testez Key Transparency : disponible en beta dans les versions récentes de Signal, sous Paramètres → Confidentialité → Key Transparency

---

Le chiffrement E2EE protège contre l’interception en transit. Il ne protège pas contre une substitution de clé à la source. La vérification des clés — manuelle ou via Key Transparency — est la couche supplémentaire qui ferme ce vecteur.

Pour la grande majorité des utilisateurs, c’est une protection de trop. Pour les journalistes, avocats, militants ou dirigeants d’entreprise avec des communications critiques — c’est la différence entre un chiffrement réel et une illusion de chiffrement.

Pour comprendre les autres mécanismes de sécurité de Signal, lisez notre article sur le Perfect Forward Secrecy.

Sequr — Agent certifié québécois

---

À lire aussi :

• PFS : pourquoi Signal efface tes clés après chaque message
• Sealed Sender : l’expéditeur invisible même pour Signal
• Signal vs WhatsApp : pourquoi Signal protège vraiment