Le chiffrement de bout en bout (E2EE) expliqué
Le chiffrement de bout en bout (End-to-End Encryption, E2EE) garantit que seuls l'expéditeur et le destinataire peuvent lire un message. Ni le fournisseur du service, ni un hacker, ni un gouvernement ne peut déchiffrer le contenu. C'est la...
Le chiffrement de bout en bout (End-to-End Encryption, E2EE) garantit que seuls l'expéditeur et le destinataire peuvent lire un message. Ni le fournisseur du service, ni un hacker, ni un gouvernement ne peut déchiffrer le contenu. C'est la technologie fondamentale de la vie privée numérique.
Qu'est-ce que le chiffrement E2E ?
Imaginez un coffre-fort dont seuls vous et votre correspondant possédez la clé. Le service de messagerie transporte le coffre, mais ne peut pas l'ouvrir. C'est exactement le principe du E2EE :
- Sans E2EE : Vous → [message en clair] → Serveur (peut lire) → [message en clair] → Destinataire
- Avec E2EE : Vous → [message chiffré] → Serveur (ne peut PAS lire) → [message chiffré] → Destinataire (déchiffre)
La différence est cruciale : avec le chiffrement de transport classique (TLS), le serveur déchiffre le message et le re-chiffre. Il a donc accès au contenu en clair. Avec le E2EE, le serveur ne voit que du bruit cryptographique.
Pourquoi c'est important
- Fuites de données : si le serveur est piraté, les messages restent illisibles
- Réquisitions légales : le fournisseur ne peut pas fournir vos messages aux autorités (il ne les a pas en clair)
- Employés malveillants : un employé du service ne peut pas lire vos conversations
- Surveillance de masse : impossible de scanner le contenu à grande échelle
Comment ça fonctionne
Cryptographie asymétrique
Le E2EE repose sur un système de paire de clés :
- Clé publique : partagée avec tout le monde. Sert à chiffrer les messages qui vous sont destinés
- Clé privée : secrète, ne quitte jamais votre appareil. Sert à déchiffrer les messages reçus
Quand Alice veut envoyer un message à Bob :
- Alice récupère la clé publique de Bob
- Alice chiffre le message avec cette clé publique
- Le message chiffré transite par le serveur (illisible)
- Bob déchiffre avec sa clé privée
Perfect Forward Secrecy (PFS)
Les protocoles modernes utilisent le PFS : une clé éphémère unique est générée pour chaque message. Même si votre clé privée est compromise dans le futur, les anciens messages restent protégés.
Les protocoles de chiffrement
| Protocole | Utilisé par | Caractéristiques |
|---|---|---|
| Signal Protocol | Signal, WhatsApp, Google Messages | Double Ratchet + X3DH. Le gold standard. Forward secrecy + post-compromise security |
| PGP/GPG | Emails (ThunderBird, Kleopatra) | Ancien standard, pas de forward secrecy. Complexe à utiliser |
| OpenPGP (Proton) | Proton Mail | PGP simplifié avec interface transparente. Chiffrement automatique entre utilisateurs Proton |
| Matrix / Olm / Megolm | Element/Matrix | Basé sur Signal Protocol, adapté pour les groupes et la fédération |
| MLS (Messaging Layer Security) | En adoption | Nouveau standard IETF pour les grands groupes. Très efficace et audité |
Ce que le E2E ne protège pas
Le chiffrement E2E est puissant mais n'est pas une solution miracle :
- Les métadonnées : qui parle à qui, quand, à quelle fréquence. Le serveur voit ces informations (sauf Signal qui les minimise). Lisez notre article sur les métadonnées
- Les appareils compromis : si votre téléphone a un spyware (Pegasus), l'attaquant lit les messages avant/après le chiffrement
- Les captures d'écran : votre correspondant peut copier/capturer vos messages
- Les sauvegardes non chiffrées : WhatsApp sauvegardait les discussions en clair sur Google Drive (corrigé depuis 2021)
- Les clés compromises : si quelqu'un vole votre clé privée, il peut déchiffrer les futurs messages (d'où l'importance du PFS)
Services avec chiffrement E2E
| Catégorie | Avec E2E | SANS E2E (à éviter) |
|---|---|---|
| Messagerie | Signal, Threema, Session | Telegram (pas par défaut), Discord, Slack |
| Proton Mail, Tutanota | Gmail, Outlook, Yahoo | |
| Cloud | Proton Drive, Cryptomator | Google Drive, Dropbox, OneDrive |
| Mot de passe | Bitwarden, Proton Pass | Gestionnaire Chrome, LastPass (E2E partiel) |
| Visio | Signal, Jitsi Meet | Zoom (E2E optionnel), Google Meet, Teams |
Comment vérifier le chiffrement
Vérification des clés
Pour être sûr que personne n'intercepte vos messages, vérifiez les numéros de sécurité avec votre correspondant :
- Signal : Conversation > Paramètres > Voir le numéro de sécurité. Comparez en personne ou par un autre canal
- WhatsApp : Conversation > Info > Chiffrement > Scanner le QR code
- Proton Mail : L'icône de cadenas vert indique un message chiffré E2E entre utilisateurs Proton
Signaux d'alerte
- ❌ Un service qui dit "chiffré" mais dont le code n'est pas open source — impossible de vérifier
- ❌ Un service qui peut réinitialiser votre mot de passe par email — preuve qu'il a accès à vos données
- ❌ Un service dont le chiffrement E2E est optionnel et désactivé par défaut (ex: Telegram)
- ✅ Le code est open source, audité, et le chiffrement est activé par défaut