Instagram arrête le chiffrement de bout en bout

C'est la fin des messages chiffrés sur Instagram. La plateforme supprime ce paramètre de confidentialité à compter du 8 mai 2026, a annoncé Meta en toute discrétion sur sa page Support mi-mars. «Si ce changement impacte certaines de vos conversations, des instructions dans la discussion vous indiqueront comment télécharger tous les contenus multimédias ou messages que vous pourriez vouloir garder», peut-on lire sur la notice.

Pour rappel, le chiffrement de bout en bout garantit la confidentialité des échanges: seules les parties prenantes à la conversation y ont accès. Des tiers, comme les plateformes, ne peuvent donc ni lire, ni écouter les messages.

Dina El-Kassaby, porte-parole de Meta, a justifié cet arrêt dans différents médias par la «faible utilisation» de cette fonctionnalité. Contrairement à WhatsApp, messagerie appartenant à Meta, le chiffrement de bout en bout n’a jamais été activé par défaut sur Instagram.

L’engouement limité pour ce paramètre ne surprend pas Pascal Junod, responsable de la cryptographie chez DuoKey et entrepreneur. «En général, si l’absence de paramètres de sécurité est l'option par défaut, les utilisateurs n’activent pas par eux-mêmes ces fonctionnalités, soit par méconnaissance ou soit par manque de motivation.»

La confidentialité comme boussole, vraiment?

Ces dernières années, dans ses communications officielles, l'empire de Mark Zuckerberg a multiplié les annonces érigeant la confidentialité comme priorité absolue de l'entreprise. Il faut dire que les scandales ont lourdement entamé la réputation de Meta.

Remontons en 2018. Le scandale Cambridge Analytica éclate. La société britannique a exploité illégalement les données personnelles de quelque 87 millions d'utilisateurs Facebook pour cibler les messages à afficher sur les profils et influencer les élections. Le Brexit et l’élection présidentielle de 2016 ont bénéficié de l’opération. 

Les reproches de toutes parts écrasent la maison-mère de Facebook. Le Sénat américain convoque Mark Zuckerberg dans la foulée, lui sommant de rendre des comptes. Il présente alors des excuses devant la commission: «Nous n'avons pas eu une vision assez large de notre responsabilité. Et c'était une grosse erreur. Mon erreur. Et je suis désolé.» 

C'est en réponse à ce tollé que l’entrepreneur promet, par la suite, d'implémenter des infrastructures de sécurité sur les réseaux appartenant à Meta – à savoir WhatsApp, Messenger, Facebook et Instagram.

Pour ce dernier réseau, le chiffrement n’a jamais été généralisé et est resté facultatif. La conception du processus a toujours eu de quoi dissuader les utilisateurs intéressés: quatre étapes à réitérer pour chaque conversation, l’activation n’étant pas valide pour l’ensemble de la messagerie.

Pour Rahel Estermann, codirectrice de la Société numérique, la suppression de chiffrement correspond au «modèle d'affaire, qui repose depuis toujours sur la monétisation des données personnelles des utilisateurs. L'entreprise a tendance à utiliser les modes pour attirer des clients. La tendance était auparavant au chiffrement de bout en bout, et puisque les gouvernements semblent maintenant être hostiles au chiffrement, Meta change simplement de direction».

La protection des enfants sur fond de suppression de l'anonymat

Le débat sur le chiffrement de bout en bout oppose deux groupes d’intérêts, avec d’un côté, les défenseurs de la protection des données et de l’autre, des organismes de protection de l’enfance ainsi que certaines instances gouvernementales.

«Les plateformes comme Meta naviguent sous tension, entre la volonté affichée d’offrir un respect de la vie privée à tous les utilisateurs, l’extraction de données personnelles pour faire du targeting publicitaire, qui reste leur fonds de commerce, et la pression des milieux de lutte contre la pédopornographie», rappelle le cryptographe Pascal Junod. «C’est une pesée d’intérêt: faut-il sacrifier les données personnelles de centaine de millions d’utilisateurs ou la protection de la vie privée prévaut-elle?»

La réponse ne fait pas consensus. L’Union européenne (UE) doit évaluer un règlement pour la prévention et la lutte contre les abus sexuels sur enfants, mieux connu sous le nom de «Chat Control».

Ce texte visant à lutter contre la pédocriminalité, prévoyait initialement d'imposer aux plateformes de scanner les messageries de millions d'utilisateurs pour détecter les contenus pédopornographiques, y compris pour les messageries cryptées. Si ce dernier point a été abandonné, la controverse n’est de loin pas terminée, les pays membres de la Commission européenne n’étant toujours pas parvenus à un accord. 

À noter que dans le cadre actuel, les plateformes peuvent d’ores et déjà, sur base volontaire, analyser des données afin d’identifier des publications signalées. Ce dispositif, qui permet de transmettre des cas aux autorités, a été prolongé jusqu’à 2027.

Si Instagram ouvre une brèche en supprimant la fonctionnalité, il ne s'agit pas du seul réseau social à renier le chiffrement de bout en bout. TikTok, refuse d'ores et déjà d'y recourir, au motif que sa généralisation mettrait les utilisateurs en danger.

Selon Rahel Estermann, d'autres motifs se cachent derrière ces mesures.

«Le fait de supprimer le chiffrement de bout en bout n'a qu'un but: permettre une surveillance généralisée. Or, la surveillance n'est pas du tout la même chose que la sécurité. En pratique, il est bien plus efficace de faire de la prévention (ndlr: coopérations internationales, formations des polices, des écoles et des ONG, ainsi que l'éducation sexuelle) pour éviter que les crimes se produisent, plutôt que de se limiter à les punir», indique la codirectrice de la Société numérique.

«Si le but est de protéger les enfants, il faut s'assurer que les crimes ne se produisent pas, plutôt que d'intervenir quand le mal est fait.». Et la Lucernoise de rappeler que le scan automatique de données produit de nombreux faux positifs, comme le montre cette étude.

Et les utilisateurs?

Selon l’annonce d’Instagram, les utilisateurs concernés ont jusqu’au 8 mai 2026 pour sauvegarder les conversations chiffrées. La notice n’indique pas ce qu’il adviendra des données. 

«Il faut aller vite. Pour ma part, l’option a déjà disparu de ma version», avertit Pascal Junod. 

L’expert conseille aux utilisateurs de se tourner vers WhatsApp, ou vers Signal, Threema ou Olvid «qui n'ont pas l'extraction des données personnelles comme modèle d'affaires», pour des conversations a minima protégées. Mais la première messagerie, propriété elle aussi de Meta, ne risque-t-elle pas de subir le même sort?

«Le chiffrement de bout en bout fait partie des fondements de l'application. L'éliminer reviendrait à changer complètement le protocole de communication, ce qui nécessiterait une migration complexe que Meta n'a pas forcément envie de faire», analyse Rahel Estermann.

«Ceci dit, il est déjà possible pour des systèmes d'IA d'accéder aux messages: ils sont simplement transmis directement à Meta avant leur envoi via le canal chiffré de bout en bout, avec l'accord de l'utilisateur, mais ça pourrait devenir le choix par défaut. La confidentialité sur WhatsApp est déjà à relativiser.»

Pour Mathieu Fasel, voilà bien longtemps que la cloche de départ aurait dû retentir. «Ces annonces me rendent presque heureux car elles exposent le manque de considération de Meta pour la protection des données. Il faut encourager les alternatives à ces plateformes américaines», insiste ce chargé de recherche à l’Université de Lausanne, spécialiste de la régulation des réseaux sociaux et des plateformes numériques.

Si pour les messageries et application de bureau, les internautes peuvent opter pour Infomaniak ou Proton, rares sont les alternatives sécurisées pour les réseaux sociaux. Ceux-ci ne devraient toutefois pas être utilisés pour des échanges confidentiels.

La gratuité de ces plateformes coûte de plus en plus cher aux utilisateurs. Quelle sera la prochaine annonce?