A mon avis, la messagerie a surtout éliminer dans cette comparaison est WhatsApp. Il est bien connu que depuis l’achat du service par Facebook, ce dernier ne se prive pas de tous les moyens pour suivre ses utilisateurs. Si les messages sont cryptés au moment de l’envoi, tout le reste de son environnement ne l’est pas â commencer par la fréquence de ton utilisation, si les messages contiennent des medias, quelle sorte de médias, les noms et numéros de téĺéphones de tes correspondants et toutes les sauvegardes de conversations sont stockées non-cryptées - souvent sur Google si tu ne précise pas localement. Il est bien connu que la journaliste saoudien Khashoggi a probablement était repéré par les services secrets du royaume grâce à une faille de WhatsApp. Des failles de vulnérabilité sécuritaire sont régulièrement mises à jour - les 5 dernières au mois de Septembre. Le créateur de Telegram, Pavel Durov, énumère sur son compte public toutes les faiblesses de son rival et dénonce les liens de Facebook avec le système de surveillance, Five Eyes, ce qui n’est pas surprenant puisqu’il a été la cible de cyber-attaques par les services de contre-espionnage russe.
C’est pour cette raison que les autorités russes avaient essayé d’interdire l’usage de Telegram dans son pays natal et menace d’amendes énormes toute personne prise en flagrant délit. Jusqu’à maintenant, le protocol de cryptage de Telegram est reconnu comme assez sûr, mais il est propriétaire et donc non-vérifiable. On dit aussi que les messages sont décryptés sur les serveurs de Telegram (aussi propriétaires) avant d’être cryptés de nouveau pour l’expédition vers le destinataire, ce qui laisse une possible porte de surveillance si des cyber-attaques arrivent à y pénétrer.
A cause de sa renommée, Telegram jouit d’un nombre important d’utilisateurs, bien plus que pour Signal, mais le protocol de cryptage développé par Open Whisper Systems et son céateur, Moxie Marlinspike, est “open-source” et donc vérifiable et a été testé par différents services de cyber-séurité. Il est l’application de messagerie préconisé par l’EFF et utilisé maintenant par toutes les agences de la Commission européenne.
Telegram et Signal, par contre, partage la même faiblesse - comme WhatsApp d’alleurs - de requérir le numéro de téléphone mobile pour la mise en route de leurs services et demande accès au contacts pour repérer d’autres utilisateurs parmi tes correspondants. S’il est possible (comme détailler ailleurs ici) d’empêcher l’accès à ton carnet personnel de contacts en utilisant Shelter (et ainsi créer un autre utilisateur de ton mobile) ce n’est pas une solution à l’usage de ton numéro comme identifiant. Signal semble prendre la direction de l’emploi d’un PIN pour t’identifier mais pour l’instant cela ne concerne que la protection de ton profil et les sauvegardes qui sont cryptées et peuvent être stockées localement et/ou transférées vers une autre source (utile en cas de changement de téléphone). Pourtant, il y a des ruses qui expliquent comment s’inscrire sur Signal en utilisant un autre numéro de téléphone et puis de transférer l’identifiant généré par un code SMS sur ton vrai mobile personnel pour activer ton compte. En fait, les serveurs de Signal ne l’utilisent que ce code crypté pour t’identifier et non ton numéro réel; c’est pour cette raison qu’il leur est impossible de repêrer l’auteur des messages qui passent par leurs serveurs.
Personnellement, j’avais commencé par utiliser Telegram peu aprês sa création et je continue à l’utiliser pour suivre le groupe communitaire de /e/ systems, mais pour un usage privé je préfère Signal. A bon entendeur, salut!