Mon appli de messagerie est-elle vraiment chiffrée — et quelle différence entre Signal, WhatsApp, iMessage et les autres ?

Réponse rapide

WhatsApp, Signal, iMessage et les versions modernes de Messenger et de Telegram (avec « Secret Chats » activé) utilisent toutes le chiffrement de bout en bout, c'est-à-dire que même l'entreprise qui exploite le service ne peut pas lire le contenu — Signal est la plus protectrice du lot parce qu'elle minimise aussi ce qu'elle sait sur qui parle à qui, tandis que WhatsApp et iMessage chiffrent le contenu mais conservent plus de métadonnées que Signal.

Ce que ce n'est PAS

Le chiffrement n'est PAS la même chose que la confidentialité — une appli de messagerie peut être parfaitement chiffrée (le contenu est illisible pour les tiers) tout en enregistrant à qui vous écrivez, à quelle fréquence, votre numéro de téléphone, votre carnet de contacts, et en partageant une partie de ces métadonnées. Et « chiffré de bout en bout » n'est PAS une chose unique d'une appli à l'autre : le même label couvre des comportements par défaut très différents (Signal vs Telegram chats par défaut vs sauvegardes WhatsApp avant 2021).

Pour aller plus loin

Une appli de messagerie est chiffrée de bout en bout (E2EE) quand le contenu du message est illisible pour quiconque sauf l’expéditeur et le destinataire — y compris l’entreprise qui exploite le service. C’est la propriété de sécurité qui compte ; tout le reste est détail. Le détail compte quand même, parce que le même label couvre des défauts différents selon les applis.

État honnête des grandes messageries en 2026 :

  • Signal. E2EE par défaut pour tout : chats, appels, groupes, messages vocaux, vidéos. Stocke quasiment aucune métadonnée (pas de graphe de contacts, pas de qui parle à qui). Open-source, audité, opéré par une fondation à but non lucratif. La référence en matière de confidentialité. Limite : l’appli qu’il faut convaincre les gens d’installer.
  • WhatsApp. E2EE par défaut pour les chats, appels, groupes (même Signal Protocol). Stocke des métadonnées substantielles (qui, quand, fréquence). Les sauvegardes cloud (iCloud, Google Drive) étaient une faille jusqu’en 2021 ; depuis, une sauvegarde E2EE optionnelle est disponible, mais il faut l’activer. Détenue par Meta. L’appli la plus protectrice que la plupart des gens adopteront vraiment, parce que tout l’entourage y est déjà.
  • iMessage. E2EE par défaut pour les bulles bleues (iPhone à iPhone). Par défaut, Apple détient les clés de la sauvegarde iCloud — activer la Protection avancée des données (Réglages → iCloud → Protection avancée des données) corrige cette faille. Les chats RCS avec des Android sont E2EE depuis l’ajout du support RCS par Apple en 2024-2025 (RCS Android à Android via Google Messages est aussi E2EE). Le repli SMS vers un non-iPhone n’est pas chiffré.
  • Messenger (Meta). Les chats par défaut sont passés en E2EE pendant 2023-2024. La migration a été progressive ; si vous n’avez pas ouvert Messenger depuis longtemps, il vous faudra peut-être opter explicitement.
  • Telegram. Les chats par défaut et les chats de groupe ne sont pas E2EE. Seuls les « Secret Chats » individuels — à démarrer explicitement — le sont. La plupart des utilisateurs Telegram ne sont pas sur des chats E2EE et ne s’en rendent pas compte. Telegram répond aux ordonnances judiciaires dans de nombreuses juridictions et n’est pas l’appli de confidentialité que beaucoup imaginent.
  • Discord, Snapchat, Instagram DM, X DM. Pas E2EE par défaut. Snapchat chiffre les médias en transit et les supprime après lecture (ce qui n’équivaut pas à ne pas pouvoir les lire). Instagram DM propose un mode E2EE en opt-in pour les conversations individuelles. X DM a ajouté un mode E2EE en opt-in en 2023, réservé aux comptes payants.
  • SMS et RCS via les opérateurs (hors Google Messages, hors iMessage). Pas E2EE. Traiter le SMS comme une carte postale.

Ce que le « chiffrement » ne couvre PAS, même quand il est actif :

  • La liste des personnes à qui vous parlez (métadonnées). Signal en cache le plus ; WhatsApp et iMessage en conservent davantage.
  • Les screenshots pris par l’autre personne. Le chiffrement est entre les services ; les humains peuvent toujours copier et transférer.
  • Un appareil compromis. Si un malware est sur votre téléphone, le chiffrement est défait au moment où vous lisez le message et le malware voit tout.
  • La sauvegarde cloud, sauf si vous avez explicitement activé la sauvegarde E2EE (WhatsApp depuis 2021, iMessage avec Protection avancée des données).
  • L’interception légale des métadonnées dans les juridictions qui l’imposent. Signal peut être contraint de remettre ce qu’il sait ; Signal sait notoirement très peu.

Réglages pratiques pour un foyer en 2026 :

  1. Choisir une appli chiffrée comme défaut : Signal si la confidentialité est le critère, WhatsApp si la couverture l’est, iMessage si toute votre famille est sur iPhone.
  2. Activer la sauvegarde cloud E2EE sur l’appli choisie (WhatsApp : Réglages → Discussions → Sauvegarde → Sauvegarde chiffrée de bout en bout ; iCloud Messages : Réglages → iCloud → Protection avancée des données).
  3. Considérer le SMS comme non fiable pour le contenu. À utiliser uniquement pour recevoir des codes et des messages anodins.
  4. Vérifier le numéro de sécurité avec les personnes avec qui vous avez des conversations vraiment sensibles (Signal appelle ça « vérifier les numéros de sécurité », WhatsApp a la même fonction dans les infos du contact). Cela attrape les attaques homme-du-milieu si l’appli ou le réseau étaient compromis.
  5. Verrouillez l’appli elle-même par biométrie ou code dans ses propres réglages, pour qu’un téléphone déverrouillé volé ne révèle pas des années de conversations.

Pour les usages plus sensibles (journalisme, dissidence, protection de source), Signal avec messages éphémères, verrouillage biométrique de l’appli et réglages équivalents à la Protection avancée des données est la base pratique. Pour un usage famille-et-amis ordinaire, Signal, WhatsApp ou iMessage offrent un niveau de confidentialité qui était de la science-fiction il y a dix ans. La seule décision qui compte vraiment, c’est arrêter d’utiliser le SMS pour ce qui contient du contenu.

On nous pose aussi

Que veut dire « chiffré de bout en bout » exactement ? +

Le message est chiffré sur l'appareil de l'expéditeur, traverse les serveurs de l'opérateur de messagerie sous forme de bruit illisible, et n'est déchiffré que sur l'appareil du destinataire. L'entreprise qui exploite le service ne peut pas lire le contenu, même si un gouvernement, un tribunal ou un attaquant l'y oblige. C'est radicalement différent de « chiffré en transit » (TLS seul, où l'entreprise lit tout sur ses serveurs) — ce que font encore l'essentiel des e-mails et beaucoup de vieilles applis de chat.

Signal vs WhatsApp — laquelle est la plus sûre ? +

Les deux utilisent le même protocole de chiffrement sous-jacent (le Signal Protocol, publié ouvertement par la Signal Foundation). La différence porte sur les métadonnées. Signal ne stocke quasiment rien sur vous — pas de carnet sur ses serveurs, pas de graphe de messages, pas de données de profil au-delà du strict nécessaire. WhatsApp chiffre le contenu mais conserve des métadonnées importantes (à qui vous écrivez, quand, à quelle fréquence, votre numéro, votre photo, dans certains réglages votre carnet). Les deux sont énormément mieux que le SMS. Si la confidentialité est le critère, Signal gagne ; si c'est la couverture sociale, WhatsApp gagne parce que tout votre entourage y est déjà.

Telegram est-elle chiffrée ? +

Partiellement. Les chats par défaut et tous les chats de groupe Telegram ne sont PAS chiffrés de bout en bout — Telegram détient les clés et peut en principe les lire (et répond aux demandes légales dans de nombreuses juridictions). Seuls les chats individuels « Secret Chats » (à démarrer explicitement) sont chiffrés de bout en bout. La plupart des utilisateurs Telegram sont sur le défaut non-E2EE. C'est acceptable pour beaucoup d'usages mais ne doit pas être confondu avec le niveau Signal ou WhatsApp.

Mes iMessages sont-ils chiffrés dans la sauvegarde iCloud ? +

Par défaut, jusqu'en 2022, non — le contenu iMessage était chiffré en transit mais Apple détenait les clés de la sauvegarde iCloud des messages. Avec la **Protection avancée des données** (en opt-in, disponible depuis fin 2022), Apple ne détient plus ces clés et les iMessages dans iCloud sont alors entièrement chiffrés de bout en bout entre vos appareils. Idem pour les sauvegardes WhatsApp sur iCloud / Google Drive depuis 2021, à condition d'activer la sauvegarde chiffrée de bout en bout explicitement. Les sauvegardes cloud activées en permanence sont une faille classique qui surprend.

Faut-il utiliser le SMS pour quoi que ce soit de sensible ? +

Non. Le SMS n'est pas chiffré entre les téléphones et le réseau, peut être intercepté par SIM-swap, et est de plus en plus le canal des [arnaques par smishing](/fr/library/everyday/phishing/). Utiliser le SMS pour recevoir un code d'authentification si rien de mieux n'est dispo, mais jamais pour le contenu de quelque chose de sensible — mots de passe, banque, conversations intimes, plans pro. Une appli de messagerie chiffrée moderne est gratuite et se configure en une minute.

Aussi expliqué

C'est quoi le phishing, et comment le reconnaître ?

Le phishing (ou hameçonnage), c'est quand quelqu'un vous envoie un message truqué — généralement par e-mail, SMS ou messagerie — qui ressemble à un message de votre banque, de votre patron, d'un livreur ou d'un proche, dans l'espoir que vous cliquiez sur un lien, tapiez un mot de passe ou viriez de l'argent avant de remarquer les petits détails qui trahissent.

C'est quoi un VPN, et est-ce que j'en ai vraiment besoin ?

Un VPN est un outil de confidentialité qui cache votre activité Internet à votre réseau local (votre bureau, le Wi-Fi du café, votre opérateur) et aux sites web — mais il ne vous rend PAS anonyme, et pour la plupart des gens en 2026 il est bien moins essentiel que ce que les pubs laissent croire.

Le cadenas dans mon navigateur, ça veut dire quoi exactement ?

Le cadenas signifie que la connexion entre votre appareil et le site est chiffrée, donc personne sur votre Wi-Fi, votre réseau d'entreprise ou chez votre opérateur ne peut lire ce que vous envoyez ou recevez — mais il ne signifie PAS que le site lui-même est honnête, légitime ou digne de confiance pour vos données.
← Retour au glossaire grand public