Signal vs WhatsApp en 2026 : tous deux utilisent le même chiffrement — les différences sont tout le reste

L'idée fausse la plus courante à propos de Signal et WhatsApp est que WhatsApp « n'est pas vraiment chiffré ». Il l'est. WhatsApp utilise le Protocole Signal — la même norme de chiffrement de bout en bout open source développée par les fondateurs de Signal — depuis 2016. Chaque message, appel et fichier envoyé via WhatsApp est chiffré en transit avec les mêmes primitives cryptographiques que Signal.

La distinction entre les deux applications n'est pas de savoir si vos messages sont chiffrés en transit. C'est quelles données sont collectées autour de ces messages, qui y a accès, et à quoi ressemble la relation de l'entreprise avec les annonceurs et les forces de l'ordre. Ces distinctions sont significatives et méritent d'être comprises précisément.

Ce que les deux applications font de la même manière

Le chiffrement de bout en bout du contenu des messages, des appels vocaux, des appels vidéo et des transferts de fichiers est fonctionnellement équivalent entre Signal et WhatsApp. Les deux utilisent l'algorithme Double Ratchet du Protocole Signal, qui offre une confidentialité persistante (chaque message est chiffré avec une clé unique ; compromettre une clé ne compromet pas les messages passés) et une récupération après interruption (le chiffrement s'auto-répare après une interruption de session).

Aucune des deux entreprises — dans la configuration standard — ne peut lire le contenu de vos messages. Les demandes des forces de l'ordre pour le contenu des messages provenant de Signal ou de WhatsApp produisent le même résultat : l'entreprise ne peut pas s'y conformer car elle ne possède pas le texte en clair.

La question des métadonnées

C'est là que les chemins divergent considérablement. Les métadonnées — qui communique avec qui, quand, à quelle fréquence et d'où — ne sont pas chiffrées par le Protocole Signal. C'est un sous-produit du routage des messages à travers toute infrastructure serveur.

Signal a été conçu pour minimiser la collecte de métadonnées en tant qu'objectif de conception. L'architecture serveur de Signal utilise sealed sender (le serveur ne sait pas qui a envoyé un message à qui, seulement qu'un message a été livré à un destinataire particulier), private contact discovery (Signal apprend si vos contacts sont sur Signal sans voir votre liste de contacts), et private groups (le serveur de Signal ne connaît pas l'appartenance ni le contenu des discussions de groupe). Lorsque les forces de l'ordre fédérales américaines ont assigné les registres de Signal, la société a pu fournir uniquement : la date de création du compte et la date de la dernière connexion. C'est la totalité de ce que Signal stocke.

WhatsApp collecte considérablement plus de métadonnées. La politique de confidentialité de WhatsApp divulgue la collecte de : listes de contacts, photos de profil, informations de statut, participation aux groupes, identifiants d'appareil, adresses IP, localisation approximative, fréquence d'utilisation, état de la batterie, et plus encore. Ces données sont partagées avec la famille d'entreprises de Meta (Facebook, Instagram) à des fins publicitaires. Elles sont également soumises aux politiques de conservation des données de Meta et aux cadres d'accès des forces de l'ordre.

Un dossier judiciaire fédéral américain de 2021 rendu public en 2023 a révélé que les demandes légales du FBI à WhatsApp peuvent produire : les numéros de téléphone source et destination pour un compte spécifié, la date et l'heure de chaque message, et le numéro de téléphone du compte qui a envoyé ou reçu le message. Le contenu du message reste inaccessible — mais le graphe social, les schémas temporels et la fréquence de communication ne le sont pas.

Sauvegardes : la différence critique que la plupart des utilisateurs manquent

La garantie de chiffrement s'applique aux messages en transit. Ce qui arrive aux messages au repos — spécifiquement dans les sauvegardes cloud — a historiquement été une différence pratique majeure entre les deux applications.

Le comportement de sauvegarde par défaut de WhatsApp stocke les sauvegardes chiffrées sur Google Drive (Android) ou iCloud (iOS). Jusqu'en 2021, ces sauvegardes n'étaient pas chiffrées de bout en bout : Google et Apple pouvaient théoriquement y accéder, et les forces de l'ordre pouvaient les demander via les fournisseurs cloud. WhatsApp a introduit des sauvegardes chiffrées de bout en bout optionnelles en 2021, mais cette fonctionnalité nécessite que les utilisateurs l'activent et gèrent une clé de chiffrement. Depuis 2026, les sauvegardes chiffrées de bout en bout sont par défaut dans les nouvelles installations de WhatsApp — une amélioration significative — mais les utilisateurs qui sont sur la plateforme depuis des années peuvent avoir des configurations de sauvegarde héritées qui ne sont pas entièrement chiffrées.

Signal ne sauvegarde pas les messages vers des services cloud tiers. Les sauvegardes locales sur iOS sont exclues de la sauvegarde système si elles sont effectuées via les paramètres de Signal. Les utilisateurs qui souhaitent transférer l'historique des discussions vers un nouvel appareil doivent le faire directement via la fonction de transfert d'appareil à appareil de Signal, qui garde les données sous le contrôle de l'utilisateur tout au long du processus.

Modèle économique et ses implications

Signal est une organisation à but non lucratif 501(c)(3) financée par des dons et des subventions. Sa technologie est entièrement Open Source, auditée par la communauté de la sécurité, et son modèle économique n'a aucune composante publicitaire. Il n'y a aucune incitation commerciale à collecter des données au-delà de ce qui est opérationnellement nécessaire.

WhatsApp est une filiale de Meta, qui tire pratiquement tous ses revenus de la publicité ciblée. WhatsApp lui-même n'affiche actuellement pas de publicités dans les discussions, mais il sert de source de données pour les profils publicitaires de Meta. Meta a été explicite sur ses plans pour étendre la monétisation de WhatsApp for Business et, à terme, pour afficher des publicités dans l'écosystème d'outils Business.

La différence de modèle économique compte car elle façonne ce que chaque entreprise est incitée à faire avec les données des utilisateurs au fil du temps. La structure d'incitation de Signal est alignée sur la confidentialité des utilisateurs. Celle de Meta est alignée sur la maximisation de la valeur informationnelle de sa base d'utilisateurs à des fins publicitaires et de plateforme.

Interopérabilité et la loi sur les marchés numériques de l'UE

La loi sur les marchés numériques de l'UE, qui a désigné Meta comme gatekeeper en 2023, a obligé WhatsApp à ouvrir son infrastructure de messagerie aux demandes d'interopérabilité des fournisseurs de messagerie tiers d'ici mars 2024. Signal fait partie des applications qui peuvent demander l'interopérabilité avec WhatsApp dans ce cadre.

Le défi technique est considérable : toute interopérabilité qui franchit la frontière Signal/WhatsApp implique un partage de métadonnées entre les infrastructures des deux systèmes, ce qui compromet certaines des propriétés de minimisation des métadonnées de Signal. Signal a été prudent quant aux conditions d'interopérabilité, particulièrement préoccupé par l'exposition des métadonnées dans le routage des messages multiplateforme. À la mi-2026, une interopérabilité limitée est fonctionnelle mais Signal n'a pas agressivement promu la messagerie multiplateforme, en partie pour cette raison.

Le choix pratique

Pour les utilisateurs dont la principale préoccupation est la confidentialité du contenu des messages, les deux applications offrent une protection adéquate dans la configuration standard. Si votre modèle de menace est un acteur criminel interceptant des messages en transit, ou un initié de l'entreprise lisant vos conversations, l'une ou l'autre application convient.

Si votre préoccupation concerne les métadonnées — votre graphe social, vos schémas de communication, votre liste de contacts utilisée pour construire un profil publicitaire ou remise aux forces de l'ordre — Signal est le choix nettement plus fort. Si votre préoccupation est spécifiquement la sécurité des sauvegardes, assurez-vous que les sauvegardes chiffrées de bout en bout de WhatsApp sont activées et que vous avez sauvegardé votre clé de chiffrement en toute sécurité.

La réalité de l'effet de réseau est que WhatsApp compte environ 3 milliards d'utilisateurs actifs mensuels et Signal environ 80 millions. Pour la plupart des gens, les propriétés de confidentialité de Signal sont compensées par le problème pratique que la plupart des personnes avec qui ils veulent discuter ne sont pas sur l'application. Cet écart de réseau ne s'est pas matériellement réduit depuis que les avantages de confidentialité de Signal ont été largement discutés, ce qui suggère que pour la majorité des utilisateurs, la distinction des métadonnées n'est soit pas saillante, soit ne vaut pas la friction du changement.