ITSkillsCenter
Cybersécurité

Guide : Le chiffrement de bout en bout expliqué

8 min de lecture

Le chiffrement bout en bout explique simplement

Le chiffrement de bout en bout (E2EE – End-to-End Encryption) garantit que seuls l’expediteur et le destinataire peuvent lire un message ou un fichier. Meme le fournisseur du service (WhatsApp, Signal, etc.) ne peut pas dechiffrer le contenu. C’est comme envoyer une lettre dans un coffre-fort dont seul votre correspondant possede la cle.

Au Senegal, ou WhatsApp est l’outil de communication principal pour les entreprises et les particuliers, comprendre le E2EE est devenu essentiel pour proteger vos echanges professionnels et personnels.

Comment fonctionne le chiffrement bout en bout

Le principe des cles asymetriques

Le E2EE repose sur la cryptographie asymetrique. Chaque utilisateur possede deux cles :

  • Cle publique : partagee avec tout le monde, elle sert a chiffrer les messages destines a cette personne
  • Cle privee : gardee secrete sur votre appareil, elle sert a dechiffrer les messages que vous recevez

Analogie : la cle publique est comme votre adresse postale (tout le monde peut vous envoyer du courrier), et la cle privee est comme la cle de votre boite aux lettres (seul vous pouvez lire le courrier).

Le processus en 5 etapes

  1. Generation des cles : quand vous installez une application E2EE, une paire de cles est creee sur votre appareil
  2. Echange de cles publiques : les applications echangent les cles publiques via le serveur
  3. Chiffrement : votre message est chiffre avec la cle publique du destinataire avant de quitter votre telephone
  4. Transit : le message voyage chiffre a travers Internet et les serveurs. Meme si quelqu’un l’intercepte, il est illisible
  5. Dechiffrement : seul le telephone du destinataire, avec sa cle privee, peut dechiffrer et afficher le message

Le protocole Signal (Double Ratchet)

Le protocole Signal, utilise par WhatsApp, Signal et d’autres, va plus loin avec le « Double Ratchet » :

  • Perfect Forward Secrecy : chaque message utilise une cle differente. Si une cle est compromise, seul ce message est lisible, pas les precedents ni les suivants
  • Cles ephemeres : les cles changent a chaque message echange, rendant le dechiffrement massif impossible
  • Prekeys : permettent d’envoyer des messages chiffres meme si le destinataire est hors ligne

Applications de messagerie : comparatif E2EE

Application E2EE par defaut Code ouvert Metadonnees protegees Utilisation au Senegal
Signal Oui, toujours Oui (100%) Oui (Sealed Sender) Faible mais en croissance
WhatsApp Oui, toujours Partiellement Non (Meta collecte les metadonnees) Dominant (90%+ de la population)
Telegram Non (uniquement « Secret Chat ») Client uniquement Non Populaire chez les jeunes
iMessage Oui (entre appareils Apple) Non Partiellement Faible (peu d’iPhone)
SMS classique Non Non applicable Non Encore utilise pour certains services

WhatsApp au Senegal : ce qui est protege et ce qui ne l’est pas

WhatsApp est l’application dominante au Senegal. Son E2EE protege le contenu des messages, mais attention :

  • Protege : le texte de vos messages, les photos, videos, documents, appels vocaux et video
  • Non protege : avec qui vous communiquez (metadonnees), quand, a quelle frequence, votre photo de profil, votre statut, les groupes auxquels vous appartenez
  • Sauvegardes : par defaut, les sauvegardes Google Drive ou iCloud ne sont PAS chiffrees E2EE. Activez la sauvegarde chiffree dans Parametres > Discussions > Sauvegarde > Sauvegarde chiffree de bout en bout
  • WhatsApp Web : le E2EE s’etend a WhatsApp Web, mais si quelqu’un accede physiquement a votre session Web, il voit tout en clair

Configurer Signal pour une securite maximale

Signal est l’application la plus securisee. Voici comment la configurer :

  • Installez depuis le Play Store ou App Store uniquement
  • Activez le verrouillage par code PIN : Parametres > Compte > Code PIN
  • Activez le verrouillage d’inscription pour empecher la reinstallation sur un autre appareil
  • Activez les messages ephemeres par defaut : Parametres > Confidentialite > Minuteur de messages
  • Verifiez le numero de securite avec vos contacts importants (en personne, scannez les QR codes)
  • Desactivez les aperus de messages dans les notifications

Chiffrer vos emails

PGP/GPG : le standard du chiffrement email

Les emails classiques (Gmail, Yahoo, Outlook) ne sont pas chiffres E2EE. Pour ajouter cette protection :

# Installer GPG sur Windows
# Telecharger Gpg4win depuis gpg4win.org

# Generer votre paire de cles
gpg --full-generate-key
# Choisir : RSA et RSA, 4096 bits, expiration 2 ans
# Entrer : votre nom et email

# Exporter votre cle publique a partager
gpg --armor --export votre@email.com > ma-cle-publique.asc

# Chiffrer un fichier pour un destinataire
gpg --encrypt --recipient destinataire@email.com document-confidentiel.pdf
# Produit : document-confidentiel.pdf.gpg

# Dechiffrer un fichier recu
gpg --decrypt fichier-recu.gpg > fichier-dechiffre.pdf

Solutions email E2EE simples

Service Gratuit Stockage Avantage Ideal pour
ProtonMail Oui (500 Mo) Suisse E2EE automatique entre utilisateurs Proton Communications sensibles
Tutanota Oui (1 Go) Allemagne Chiffre aussi l’objet du mail Confidentialite maximale
Gmail + GPG Oui USA Compatible avec vos contacts existants Si vous gardez Gmail

Cas pratique Senegal : un cabinet d’avocats a Dakar echange des documents confidentiels avec ses clients. Plutot que d’envoyer par email classique, il utilise ProtonMail pour les communications avec les clients importants, et chiffre les pieces jointes avec GPG pour les envois via Gmail aux clients qui n’ont pas ProtonMail.

Chiffrer vos fichiers et disques

BitLocker (Windows Pro)

BitLocker chiffre l’integralite de votre disque dur. Si votre ordinateur est vole (courant dans les grandes villes), vos donnees restent inaccessibles :

# Verifier si BitLocker est disponible
manage-bde -status

# Activer BitLocker sur le disque C:
manage-bde -on C: -RecoveryPassword

# IMPORTANT : sauvegardez la cle de recuperation !
# Notez-la sur papier et gardez-la en lieu sur
# Ou sauvegardez dans votre compte Microsoft

# Verifier le statut
manage-bde -status C:
# Protection Status: Protection On
# Encryption Method: XTS-AES 256

VeraCrypt (gratuit, tous Windows)

Si vous n’avez pas Windows Pro (edition Famille), VeraCrypt est l’alternative gratuite :

  • Volume chiffre : creez un fichier qui agit comme un disque virtuel chiffre. Ideal pour stocker vos documents sensibles
  • Chiffrement disque complet : comme BitLocker mais gratuit
  • Volume cache : un volume secret a l’interieur d’un volume chiffre (deni plausible)
# Creer un volume VeraCrypt en ligne de commande
# (plus simple via l'interface graphique)
veracrypt --text --create "D:\MonCoffre.hc" --size 2G --encryption AES --hash SHA-512 --filesystem NTFS

# Monter le volume
veracrypt --text --mount "D:\MonCoffre.hc" --slot 1

# Demonter
veracrypt --text --dismount --slot 1

Chiffrer les cles USB et disques externes

Les cles USB se perdent facilement. Chiffrez-les systematiquement :

  • BitLocker To Go : clic droit sur la cle USB > Activer BitLocker > choisir un mot de passe
  • VeraCrypt : creer un volume chiffre sur la cle USB
  • 7-Zip : pour un fichier specifique, clic droit > 7-Zip > Ajouter a l’archive > format 7z > cocher Chiffrement AES-256 > entrer un mot de passe

Chiffrement pour les developpeurs et administrateurs

SSH : chiffrement des connexions serveur

# Generer une cle SSH forte (Ed25519)
ssh-keygen -t ed25519 -C "dev@entreprise.sn"

# Copier la cle publique sur le serveur
ssh-copy-id -i ~/.ssh/id_ed25519.pub user@serveur.sn

# Connexion chiffree automatique
ssh user@serveur.sn

HTTPS et TLS pour les sites web

# Installer un certificat Let's Encrypt (serveur Nginx)
sudo certbot --nginx -d monsite.sn -d www.monsite.sn

# Forcer TLS 1.2 minimum dans Nginx
ssl_protocols TLSv1.2 TLSv1.3;
ssl_ciphers ECDHE-ECDSA-AES128-GCM-SHA256:ECDHE-RSA-AES128-GCM-SHA256;
ssl_prefer_server_ciphers off;

Chiffrer les donnees en base de donnees

# MySQL/MariaDB : chiffrement au repos
# Dans my.cnf
[mysqld]
innodb_encrypt_tables = ON
innodb_encrypt_log = ON
innodb_encryption_threads = 4

# Chiffrer une colonne specifique (donnees clients)
# En PHP avec OpenSSL
$cle = getenv('ENCRYPTION_KEY');
$donnees_chiffrees = openssl_encrypt($donnees_sensibles, 'aes-256-gcm', $cle, 0, $iv, $tag);
# Stocker $donnees_chiffrees, $iv et $tag en base

Limites et idees recues sur le E2EE

Ce que le E2EE ne protege PAS

  • Captures d’ecran : votre correspondant peut toujours faire une capture d’ecran de vos messages
  • Acces physique : si quelqu’un deverrouille votre telephone, il lit vos messages en clair
  • Malware : un logiciel espion sur votre telephone lit les messages avant chiffrement ou apres dechiffrement
  • Metadonnees : qui parle a qui, quand, et combien de fois reste souvent visible
  • Sauvegardes non chiffrees : si vos sauvegardes cloud ne sont pas E2EE, vos messages y sont en clair

Attaques possibles malgre le E2EE

  • Compromission de l’appareil : un keylogger ou spyware rend le E2EE inutile. D’ou l’importance de securiser votre telephone
  • Attaque « man-in-the-middle » : lors de l’echange initial de cles. C’est pourquoi verifier les codes de securite est important
  • Ingenierie sociale : convaincre quelqu’un de partager ses messages volontairement
  • Portes derobees (backdoors) : si le code source n’est pas ouvert, impossible de verifier l’absence de backdoor. C’est l’avantage de Signal (100% open source)

Guide pratique par cas d’usage au Senegal

Cas 1 : Entrepreneur / PME

  • Communications clients : WhatsApp (deja utilise, E2EE actif) avec sauvegarde chiffree activee
  • Documents comptables et financiers : chiffrer avec 7-Zip (AES-256) avant partage
  • Emails sensibles (contrats, factures) : ProtonMail ou GPG
  • Ordinateur portable : BitLocker ou VeraCrypt (risque de vol)
  • Cles USB : BitLocker To Go ou VeraCrypt

Cas 2 : Journaliste / Activiste

  • Messagerie : Signal exclusivement (messages ephemeres actives)
  • Email : ProtonMail + GPG pour les sources
  • Fichiers : VeraCrypt avec volume cache
  • Navigation : Tor Browser pour les recherches sensibles
  • Telephone : desactiver les sauvegardes cloud

Cas 3 : Developpeur / Administrateur systeme

  • Connexions serveur : SSH avec cles Ed25519 uniquement
  • Site web : TLS 1.2+ avec certificat Let’s Encrypt
  • Base de donnees : chiffrement au repos + colonnes sensibles chiffrees
  • Code source et secrets : utiliser un gestionnaire de secrets (HashiCorp Vault ou fichier .env chiffre)
  • Communications equipe : Signal ou Element (Matrix, auto-heberge)

Checklist chiffrement

  • Messagerie E2EE activee (WhatsApp sauvegarde chiffree ou Signal)
  • Disque dur principal chiffre (BitLocker ou VeraCrypt)
  • Cles USB chiffrees
  • Emails sensibles chiffres (ProtonMail ou GPG)
  • Connexions serveur en SSH avec cles (pas de mot de passe)
  • Site web en HTTPS avec TLS 1.2+
  • Sauvegardes cloud chiffrees
  • Codes de securite WhatsApp/Signal verifies avec les contacts importants
  • Aucune donnee sensible stockee en clair sur le telephone
  • Cle de recuperation BitLocker/VeraCrypt sauvegardee en lieu sur
#chiffrement #signal #whatsapp
Besoin d'un site web ?

Confiez-nous la Création de Votre Site Web

Site vitrine, e-commerce ou application web — nous transformons votre vision en réalité digitale. Accompagnement personnalisé de A à Z.

À partir de 350.000 FCFA
Parlons de Votre Projet
Publicité

Articles Similaires