Andrés ne demande que des nouvelles de la météo
Andrés est vénézuélien. Il travaille dans une fruiterie du quartier depuis des années. Un jour, je lui ai demandé comment allait sa famille là-bas, dans les pires moments du régime.
"Dans mon pays, il fait toujours beau temps", m'a-t-il dit.
Je n'ai pas compris. J'ai insisté. Et alors il m'a expliqué : "Je ne peux parler avec ma famille que par WhatsApp, parce que les appels ne fonctionnent pas bien. Mais il faut faire très attention à ce qu'on écrit. Nous ne savons pas si quelqu'un peut lire les conversations. Ce que nous savons, c'est qu'à tout moment ils peuvent arrêter n'importe qui et la première chose qu'ils font est d'ouvrir le téléphone. Si tu ne donnes pas le PIN, ce sont des gifles et une cellule jusqu'à ce que tu le donnes. Et s'ils trouvent quelque chose qui ne leur plaît pas sur WhatsApp, au mieux c'est une raclée et quelques jours de cachot. Au pire, cette personne disparaît."
"C'est pourquoi, quand je leur parle, je leur demande essentiellement quel temps il fait. S'ils me répondent, au moins je sais qu'ils sont vivants."
Andrés n'est pas un criminel. Il n'a rien à cacher. Mais il vit dans un monde où une phrase écrite dans un chat peut détruire la vie de quelqu'un qu'il aime.
Pas besoin d'être un criminel pour avoir besoin de vie privée
Pensez à un avocat qui parle avec son client d'une stratégie de défense. La conversation est légitime et légale, mais contient des informations qui, sorties de leur contexte, pourraient être dévastatrices. Cet avocat a l'obligation professionnelle et légale de garder cette conversation confidentielle.
Pensez à un jeune couple. Elle vit chez ses parents. Ils ont des conversations intimes, complètement légitimes, mais qui appartiennent à leur sphère la plus privée. Ils ont le droit que ces paroles n'existent sur aucun serveur qui pourrait être piraté, vendu ou requis judiciairement.
Pensez à un travailleur indépendant qui parle avec son gestionnaire de la façon d'optimiser ses impôts. Il peut être d'un côté ou de l'autre de la ligne — c'est son affaire. S'ils pouvaient être assis dans un bureau, personne n'entendrait cette conversation. Pourquoi cela devrait-il être différent s'ils parlent à distance ?
Ou pensez à un journaliste en Iran, alors que des missiles tombent autour de lui, essayant de communiquer avec sa rédaction à Paris. Ou un immigré à Madrid parlant avec ses parents restés là-bas.
Toutes ces personnes ont besoin de vie privée. Aucune d'entre elles n'est un criminel.
Le piège du chiffrement parfait
En 2018, le FBI a créé une entreprise qui vendait des téléphones portables chiffrés. La marque s'appelait Anom. Elle était vendue comme l'alternative la plus sûre du marché. Pendant trois ans, plus de 12 000 appareils ont été distribués dans plus de 100 pays. Les utilisateurs parlaient en totale confiance.
Ce qu'ils ne savaient pas, c'est que chaque message arrivait aussi sur les serveurs du FBI. Chaque mot. Chaque photo. Chaque plan.
En juin 2021, l'Opération Trojan Shield a été rendue publique. Plus de 800 arrestations dans 16 pays. Ce fut la plus grande opération policière coordonnée de l'histoire.
Ce n'était pas une faille technique. Le chiffrement était réel. La technologie fonctionnait. Le problème était de savoir qui était derrière et ce qu'il y gagnait.
Ce n'est pas un cas isolé. Pendant plus de 50 ans, l'entreprise suisse Crypto AG a vendu des machines de chiffrement à plus de 120 gouvernements. Ce que personne n'a su jusqu'en 2020, c'est que Crypto AG était la propriété secrète de la CIA et du service de renseignement allemand. Les machines fonctionnaient, mais avec une faiblesse délibérée qui permettait à leurs véritables propriétaires de tout lire.
Iran, Inde, Pakistan, le Vatican, juntes militaires latino-américaines. Tous ont fait confiance. Aucun ne s'est demandé pourquoi quelqu'un avait autant d'intérêt à leur vendre du chiffrement bon marché.
La question que vous devriez toujours poser
Si quelqu'un vous offre quelque chose et que vous ne comprenez pas ce qu'il gagne en retour, méfiez-vous. Non pas parce que tout le monde a de mauvaises intentions — mais parce que comprendre le modèle d'affaires est la façon la plus élémentaire d'évaluer si vous pouvez faire confiance à un service.
Quand vous utilisez WhatsApp, vous savez ce que Meta y gagne : vos données, vos habitudes, votre attention pour vendre de la publicité. Vous pouvez être d'accord ou non, mais au moins vous comprenez l'échange.
Mais quand quelqu'un vous offre un service de communication chiffré, complètement gratuit, sans publicité, sans abonnement et sans modèle d'affaires visible — la question n'est pas de savoir si le chiffrement est bon. La question est : qui finance cela et pourquoi ?
Ce qui compte vraiment
Il y a des signes qui aident à évaluer un outil de vie privée. Code source ouvert, audits de sécurité, juridiction européenne. Tous sont positifs. Mais aucun n'est une garantie absolue.
Le code source ouvert signifie que quelqu'un peut réviser ce que fait l'application. Mais soyons honnêtes : 99,9 % des utilisateurs ne liront jamais une ligne de code. Et l'histoire est pleine de vulnérabilités très graves qui ont vécu pendant des années dans des projets open source révisés par des milliers de personnes sans que personne ne les détecte.
Les audits de sécurité sont précieux. Mais les audits se paient avec de l'argent, et l'argent est le moyen le plus simple d'acheter des volontés. Un audit dit que le code était propre le jour où il a été révisé. Il ne dit rien sur ce qui a été changé après.
Vous pouvez avoir le meilleur code au monde, audité et ouvert, mais si vos données passent par un serveur — même une seconde, même si elles sont chiffrées — quelqu'un a un accès physique à ce serveur. Et ce quelqu'un peut être dans un pays où un juge, un gouvernement ou un gros billet peut ouvrir n'importe quelle porte.
Ce qui vous protège vraiment n'est pas une promesse que "nous ne lisons pas vos données." Ce qui vous protège, c'est une architecture où vos données ne sortent jamais de vos mains. Où il n'y a pas de serveur à compromettre, pas de sauvegarde à divulguer, pas de porte dérobée à ouvrir.
La confiance ne se donne pas
Les utilisateurs d'Anom ont fait confiance parce que le produit fonctionnait. Les clients de Crypto AG ont fait confiance parce que la marque était respectable. Andrés ne fait pas confiance à WhatsApp mais n'a pas d'alternative.
La confiance en un outil de vie privée ne peut pas être basée sur le fait qu'il "fonctionne bien". Elle doit être basée sur le fait que vous comprenez qui est derrière, ce qu'il gagne, et ce qu'il advient de vos données si demain cette entreprise ferme, change de propriétaire, ou reçoit une ordonnance judiciaire d'un pays qui n'est pas le vôtre.
La prochaine fois que quelqu'un vous recommande une application de messagerie sécurisée, ne regardez pas d'abord les fonctions ni le design. Regardez qui la paie. Si la réponse ne vous convainc pas, cherchez-en une autre.