La messagerie chiffrée est sous les feux des projecteurs depuis son utilisation problématique par l’administration Trump. Mais l’épisode illustre surtout, en creux, la « success story » d’une application bâtie sur des convictions fermes en matière de vie privée.
« Il y a tellement de bonnes raisons d’être sur Signal. » Moxie Marlinspike sait de quoi il parle : l’inventeur de Signal, c’est lui. Le 24 mars, sur le réseau social X, il ironise en découvrant l’invraisemblable scandale politique impliquant son service de messagerie et le rédacteur en chef du magazine The Atlantic, ajouté par erreur dans un groupe de discussion où de très hauts responsables américains, dont le vice-président, J. D. Vance, discutaient de frappes militaires au Yémen. « Cela inclut désormais la possibilité, pour le vice-président des Etats-Unis, de vous ajouter au hasard à un groupe de discussion pour la coordination d’opérations militaires sensibles. Ne laissez pas passer cette occasion… », raille-t-il.
Sarcasmes mis à part, le constat est là : du plus haut sommet de l’équipe gouvernementale américaine aux activistes de Black Lives Matter (« les vies noires comptent »), en passant par les terroristes de l’organisation Etat islamique, un grand nombre de journalistes d’investigation, d’organisations non gouvernementales ou de narcotrafiquants français, son service a, en dix ans, conquis des dizaines de millions d’utilisateurs à travers le monde, rendant accessible au grand public une messagerie chiffrée qui empêche la surveillance des conversations. Quant à la Fondation Signal, qui supervise les activités de l’application, elle constitue, à l’instar de Mozilla ou de Wikipédia, l’une des rares success stories d’un numérique ouvert, libre et respectueux de ses utilisateurs.
Un développeur anarchiste qui déteste la police
Une telle trajectoire ne peut être comprise sans examiner la matrice intellectuelle de Moxie Marlinspike. Etant à la fois le créateur et l’un des principaux développeurs de l’application, il n’a pas le pedigree habituel des codeurs et des fondateurs de start-up : celui qui a longtemps porté des dreadlocks et entretenu le mystère sur son âge ou son patronyme – Moxie Marlinspike est un pseudonyme – est avant tout un anarchiste convaincu qui a vécu dans des squats punks de la baie de San Francisco (Californie), cultivé des tomates à Pittsburgh (Pennsylvanie), remis en état un bateau décrépit pour se rendre aux Bahamas et tenté d’apprendre à piloter une montgolfière.
Alors qu’il s’intéresse très tôt aux ordinateurs, sa découverte de la Silicon Valley, à la fin des années 1990, est une déception. « Je pensais que ce serait comme un roman de William Gibson. En fait, c’étaient juste des immeubles de bureaux et des autoroutes », expliquait-il, en 2016, dans les colonnes du magazine Wired. Au milieu des années 2000, l’essor de la surveillance technologique dans l’Amérique post-11-Septembre le pousse à s’intéresser à la sécurité numérique. Il se taille alors une petite réputation dans le milieu en révélant plusieurs failles de sécurité dans des logiciels grand public.
Il y voit aussi un moyen de traduire ses idées en actes. « Dès le début de ma vie, j’ai eu cette idée que les flics pouvaient faire ce qu’ils voulaient, qu’ils n’étaient pas mes alliés, qu’ils formaient un gang armé et raciste », tranche-t-il, toujours dans Wired. Le créateur de Signal ne veut donc pas vivre dans un monde où les forces de l’ordre seraient capables d’accéder à toutes les communications des citoyens. « Je pense que le travail de la police devrait être difficile. Et je pense qu’il doit être possible de violer la loi », a-t-il même assumé. Pour lui, le secret des discussions est nécessaire : sans lui, pas d’espace où désobéir, et sans désobéissance, pas d’avancées sociales. Ainsi, avance-t-il, jamais les Etats-Unis n’auraient légalisé le mariage entre personnes du même sexe, alors que l’homosexualité était auparavant un crime.
Il dresse également le constat que les mécanismes cryptographiques de protection des communications numériques existants sont trop difficiles à utiliser. Alors, en 2010, il fonde, avec un comparse, une petite société, Whisper Systems, qui s’attelle au développement de RedPhone – une application d’appels audio – et TextSecure, son équivalent pour les messages textuels. Dans les entrailles de ces logiciels se niche un système de chiffrement robuste et sophistiqué qui protège les communications, mais imperceptible pour ceux qui les utilisent. Pour Moxie Marlinspike, rendre le chiffrement des communications invisible aux usagers est le seul moyen d’en généraliser l’usage.
En 2011, son entreprise est repérée par Twitter, qui, à l’époque, fait justement les gros titres pour son manque de sécurité. La société de microblogging rachète Whisper Systems et fait de Moxie Marlinspike son responsable de la sécurité informatique, mais, en 2013, des divergences de vues avec les dirigeants le poussent vers la sortie. Dans la foulée, il fonde la firme Open Whisper Systems. Financée par des bourses, elle reprend le développement des deux applications, dont le code informatique a été entre-temps rendu public. En juillet 2014, RedPhone et TextSecure fusionnent pour donner naissance à Signal.
« Il n’y avait pas vraiment de leadership. C’était seulement Moxie qui codait et une petite bande de développeurs qui l’aidaient, le plus souvent à mi-temps ou bénévolement, convaincus par ses idées », se souvient, auprès du Monde, Christine Corbett Moran. Elle a participé à l’aventure en développant la version iPhone de Signal, sortie en 2015, tout en étudiant à Zurich (Suisse) pour son doctorat en physique computationnelle. Parmi les habitudes de travail de la « bande », éparpillée entre San Francisco et le reste du monde, figurent des réunions à Hawaï qui sont tout autant consacrées au code et aux débats d’idées qu’au surf.
Un système cryptographique robuste
C’est au cours de ces années que sont conçus et perfectionnés différentes versions de l’application et surtout son soubassement cryptographique, le « protocole Signal », qui permet de rendre les messages échangés entre un ou plusieurs interlocuteurs illisibles pour les tiers. Y compris sur les serveurs centralisés de l’entreprise, qui ne voit donc passer que des suites de caractères. Mieux : même si les clés de chiffrement d’un message donné sont interceptées, celles-ci sont renouvelées à chaque appel ou à chaque message, décuplant la sécurité du dispositif.
Ces bases cryptographiques ne sont pas nouvelles, mais jamais personne n’était parvenu à les appliquer de manière fiable et sécurisée dans une application mobile grand public. Et si Signal s’est vanté d’être la « référence » en matière de chiffrement des communications, ce n’est pas sans raison. La plupart des experts estiment, encore en 2025, qu’il s’agit de ce qui se fait de mieux dans ce domaine : la façon dont le code a été écrit a forcé leur admiration.
Ce code est public et chaque modification qui lui est apportée peut être examinée, à la recherche de fonctionnalités cachées ou de vulnérabilités. Il est par ailleurs régulièrement audité par des scientifiques, le dernier examen en profondeur du protocole n’ayant révélé aucun défaut notable. De surcroît, l’application est célébrée et recommandée par les organisations de défense des libertés numériques ainsi que par les associations de protection des libertés de la presse.
Utilisé par Snowden et des manifestants de toute sorte
Les autorités ont toujours nourri une attitude ambivalente à propos de la robustesse de Signal. Côté pile : le gouvernement américain recommandait encore, en décembre 2024, son utilisation aux personnes disposant d’informations sensibles, après un piratage des opérateurs de télécommunications par des pirates chinois. Il en va de même du côté des institutions de Bruxelles : le Parlement européen a suggéré aux députés d’y recourir.
Côté face : les forces de l’ordre s’élèvent contre l’utilisation d’applications chiffrées par un nombre croissant de criminels, ce qui rend impossible tout accès à leurs communications. Elles ont régulièrement demandé un affaiblissement du chiffrement de Signal, comme l’a encore fait, en France, le gouvernement de François Bayrou lors des derniers débats sur la loi contre le narcotrafic. Dès 2015, l’administration Obama s’est inquiétée de la généralisation du chiffrement des messageries et a réfléchi à des dispositifs afin d’y aménager un accès pour les enquêteurs.
Ces débats nourris, et récurrents, n’ont pas terni la réputation de Signal aux yeux des défenseurs de la vie privée. C’est même tout le contraire. L’un des plus connus d’entre eux, le lanceur d’alerte Edward Snowden, qui a dénoncé l’appétit de l’Etat américain en matière d’interception des données personnelles, a été l’un des promoteurs actifs de l’application contre la surveillance étatique du numérique. « N’utilisez pas WhatsApp ou Telegram, à moins de ne pas avoir d’autre solution. Vous devriez plutôt utiliser Signal Messenger », recommandait-il sur l’antenne de France Inter, en 2019. Ses liens d’amitié avec Moxie Marlinspike sont régulièrement évoqués dans la presse.
Dans les années qui suivent, les utilisateurs de Signal sont de plus en plus nombreux. En juin 2020, lors des mouvements de contestation aux Etats-Unis contre les violences policières consécutives à la mort de George Floyd, le nombre de téléchargements de l’application s’envole outre-Atlantique : elle est alors perçue par les manifestants comme un moyen d’empêcher leurs discussions d’être interceptées par les autorités. Signal leur offre par ailleurs des nouveautés qui s’inscrivent directement dans le cadre de certaines habitudes militantes : parmi elles figure la possibilité de flouter très facilement les visages des personnes sur les photos échangées.
Mais l’une des plus grosses percées de l’application a lieu en janvier 2021, lorsqu’une mise à jour des conditions d’utilisation de WhatsApp fait craindre, dans le monde entier, un partage plus important des données avec Facebook. Signal progresse alors dans les classements des applications les plus téléchargées dans des dizaines de pays. Elle reçoit également le soutien d’Elon Musk et suscite l’intérêt d’une partie de l’extrême droite américaine, dont l’utilisation des réseaux sociaux et des applications de communication est en pleine recomposition, après l’invasion du Capitole et les enquêtes qui en découlent.
Ces dernières semaines, le « Signalgate » de l’administration Trump a encore donné un coup d’accélérateur à la plateforme : Signal affirme au Monde que l’application a été « téléchargée des centaines de millions de fois » depuis ce coup de projecteur inopiné.
Une application à but non lucratif
Pour autant, Signal ne s’est pas mué en mastodonte à la Facebook. Contrairement à la plupart des autres plateformes, aucune publicité n’y a jamais été affichée et les données des utilisateurs ne sont pas collectées à des fins mercantiles. Au fil des années, diverses options ont certes enrichi l’échange de messages (conversations de groupe, « stories », gifs animés et stickers…), mais ces évolutions ont été conçues pour être compatibles avec le protocole de chiffrement, comme l’expliquent régulièrement les développeurs sur le blog de l’organisation, d’une rare transparence sur les rouages de l’application.
En 2023, on y apprenait, par exemple, que le coût du fonctionnement de Signal, de ses serveurs, de ses divers frais techniques et de sa cinquantaine d’employés était estimé à 50 millions de dollars par an (environ 46,3 millions d’euros, au cours actuel). Un budget bien loin du gigantisme des Gafam (Google, Apple, Facebook, Amazon, Microsoft), et dont la direction de Signal souhaite, à terme, qu’il soit intégralement couvert par les dons des utilisateurs. La fondation Signal, créée en février 2018, est pour l’heure financée par Brian Acton, un développeur et entrepreneur connu pour avoir cocréé WhatsApp, et devenu riche en 2014 grâce à la vente de la messagerie à Facebook, qu’il a quitté en 2017 en raison d’un désaccord avec les projets de Mark Zuckerberg.
Ces dernières années, Signal a utilisé ce fonctionnement et ce modèle économique originaux pour peser dans les débats politiques et éthiques qui traversent le numérique. La présidente de Signal, Meredith Whittaker, dénonce ainsi régulièrement le « business model de la surveillance ». Dernièrement, elle s’est surtout attaquée aux dérives causées par l’intelligence artificielle (IA), qui « concentre le pouvoir entre les mains des géants de la tech ». Ce qu’elle a encore dénoncé, le 10 février, sur la scène du Sommet pour l’action sur l’IA, à Paris, pourtant dévolu à la promotion de ces technologies.
Un signe que l’influence de Signal dépasse largement le cadre de l’application, ce qui correspond à la vision initiale de Moxie Marlinspike. Dès le départ, lui et son équipe ont cherché à proposer leur protocole de chiffrement à d’autres messageries, y compris concurrentes. Signal a ainsi collaboré en 2014 avec Meta, qui n’était alors que Facebook, pour intégrer son protocole de chiffrement dans WhatsApp, l’une des messageries les plus utilisées au monde. Cela a été chose faite au printemps 2016. Dans les années qui ont suivi, d’autres messageries grand public ont intégré le protocole de Signal – parmi elles, Messenger, Google Allo ou encore Skype. « Un milliard de personnes utilisent WhatsApp sans même savoir que c’est chiffré », s’était réjoui Moxie Marlinspike. Il y voyait là sa plus « grande victoire ».
Cet article est paru dans Le Monde (site web)