Fini le chiffrement de bout en bout sur Instagram

[laliche]

 

Depuis hier le 8 mai 2026, Instagram a officiellement mis fin au chiffrement de bout en bout (E2EE) pour ses messages privés. Cette fonctionnalité, introduite de manière optionnelle en décembre 2023, permettait aux utilisateurs de sécuriser leurs conversations de façon à ce que seuls l’expéditeur et le destinataire puissent lire les messages, Meta incluse n’ayant pas accès au contenu. Désormais, cette protection est retirée, et les messages directs repassent à un chiffrement standard en transit, ouvrant la porte à un accès potentiel par la plateforme.

 Raisons du retrait : faible adoption et pressions réglementaires

Meta, maison mère d’Instagram, justifie cette décision par une faible adoption de la fonctionnalité.
Selon l’entreprise, très peu d’utilisateurs activaient manuellement le chiffrement conversation par conversation. Toutefois, plusieurs analyses soulignent que cette faible utilisation s’explique aussi par le fait que la fonction n’était pas activée par défaut et restait peu visible dans l’interface.

Par ailleurs, le retrait intervient dans un contexte de pressions réglementaires croissantes, notamment en Europe avec le projet Chat Control, et au Royaume-Uni avec l’Online Safety Act de 2023.
Ces textes exigent des plateformes qu’elles puissent détecter et signaler les contenus illicites, notamment les abus sexuels sur mineurs, ce qui est incompatible avec un chiffrement total.

Impact sur la confidentialité des utilisateurs:

La suppression du chiffrement de bout en bout signifie que Meta peut désormais accéder au contenu des messages privés, y compris les textes, images, vidéos et notes vocales.
Cela fragilise considérablement la confidentialité des échanges, même si la société affirme que ces données ne sont pas utilisées pour entraîner son intelligence artificielle.

Des experts en cybersécurité, comme Proton ou Tuta, dénoncent cette décision comme un recul majeur pour la vie privée en ligne, d’autant plus surprenant après l’engagement de Meta en 2019 à généraliser le chiffrement sur l’ensemble de ses services.

DoT et DoH : une solution importante, mais imparfaite

Les protocoles DNS over TLS (DoT) et DNS over HTTPS (DoH) constituent une avancée significative pour la confidentialité en chiffrant les requêtes DNS, empêchant les FAI, les réseaux publics ou les attaquants de surveiller ou manipuler les sites que vous visitez.
Ils protègent contre l’écoute et les attaques de type man-in-the-middle

Cependant, ils ne garantissent pas une confidentialité totale : 

L’adresse IP du client reste visible par le résolveur DNS publique(ex.: Google, Cloudflare,). Même si la requête est chiffrée, le fournisseur sait d’où elle vient.

Le SNI (Server Name Indication) dans le handshake TLS peut encore révéler le nom du site visité, sauf si ECH (Encrypted Client Hello) est utilisé.

Le trafic hors DNS (pages visitées, données échangées) n’est pas chiffré par DoT/DoH.

En milieu contrôlé (entreprise, école), le DoH peut être bloqué ou contourné

Pour renforcer la protection, combinez DoT/DoH avec :

-Un résolveur DNS respectueux de la vie privée (ex. : Cloudflare, Quad9, NextDNS).

-Le protocole Oblivious DoH (ODoH), qui sépare l’adresse IP du client de la requête DNS via un proxy.

-Un VPN ou Tor, qui masquent complètement votre adresse IP et chiffrent tout le trafic.

NextDNS est considéré comme l'un des  résolveurs DNS respectueux de la vie privée.

De plus, NextDNS prend des mesures techniques pour renforcer la confidentialité, comme la minimisation des requêtes DNS et une implémentation interne du sous-réseau du client EDNS qui empêche de divulguer l’adresse IP aux serveurs DNS faisant autorité.

Cependant NextDNS n’implémente pas nativement la protection contre la faille SNI via Encrypted Client Hello (ECH) au niveau de ses serveurs DNS., ECH peut fonctionner si votre navigateur le prend en charge (comme Firefox ou Chrome avec les flags activés) et que vous utilisez DoH avec NextDNS.
Dans ce cas, c’est le navigateur, et non NextDNS, qui chiffre le nom du site visité (SNI) grâce à ECH

 

 

Modifié samedi à 10:23 par laliche