Facebook Poke : le sexto facile plutôt que la vraie sécurisation des échanges

Dans le petit monde de la messagerie, un nouveau besoin semble faire fureur : la possibilité d'envoyer des textes ou des images qui ne seront visibles que de manière temporaire par leur destinataire. Une pratique qui nous semble illusoire, mais qui fait le succès de certaines applications telles que SnapChat... notamment pour l'envoi de sextos. Un filon qu'a flairé Facebook qui lance aujourd'hui Poke sous iOS.

Actuellement, lorsque vous discutez avec un tiers, tant les messages que vous lui envoyez que les photos que vous partagez avec lui restent sur son ordinateur ou son smartphone jusqu'à ce qu'il décide de le supprimer. Dans certains cas, on peut considérer que c'est un problème, notamment pour certaines informations, ou dans le cadre de pratiques telles que le sexting, qui n'est en rien une nouveauté.

Les captures officielles de Snapchat

SnapChat et Facebook Poke : vous aussi, jouez à Mission Impossible

Ainsi, sont nées des applications comme SnapChat. Elles permettent, grosso modo, d'ajouter un paramètre à vos différents messages : une durée de vie. Au bout de quelques secondes, ou une fois la lecture effectuée, votre message, photo ou vidéo n'existera plus. Pratique pour ceux qui mènent une double vie ou qui envoient des photos d'eux qu'ils n'aimeraient pas voir traîner un peu partout sur les internets, même si le créateur s'en défend et tente de redorer l'image de son service avec ce genre ce clip vidéo :

Snapchat serait pensé pour partager des moments furtifs, et non des contenus intimes

Facebook a repéré cette volonté de ses utilisateurs et a décidé de proposer une nouvelle application pour ça : Poke. Comme sur SnapChat, vous pourrez vous connecter avec votre compte sur le réseau social, mais avec ici certaines limites. En effet, alors que le premier est disponible sous Android et iOS, et vous permet d'effectuer une recherche parmi les contacts de votre mobile, le second se limite à vos « amis » qui disposent d'un périphérique sous iOS. Poke n'est en effet pas encore disponible sous Android, et ne vous proposera donc que certaines personnes. Pratique pour savoir qui a succombé, ou non, à l'appel de la pomme.

Une fois que vous serez connecté, vous aurez plusieurs possibilités : envoyer un simple poke (oui, cela existe encore), un message, une photo ou une vidéo. Aucune trace de l'élément envoyé ne sera gardée dans votre smartphone et, dans les trois derniers cas, la durée de validité pourra être fixée à 1, 3, 5 ou 10 secondes du côté du destinataire.

On notera que comme pour SnapChat, il faudra maintenir le doigt sur l'écran pour consulter le message. Il est possible de rajouter du texte sur une image, mais aussi de dessiner par dessus avec l'une des six couleurs disponibles.

La validité temporaire des messages : un gadget qui ne vous protège quasiment en rien

Reste néanmoins deux soucis pour de tels usages, sans parler du fait que l'on pourra se demander en quoi le fait d'échanger des contenus « sensibles » via de tels outils est pertinent, comme c'était déjà le cas à l'époque des SMS / MMS. Le premier concerne directement Facebook. En effet, comment une société qui multiplie les ratés du côté de la question de la confidentialité des données compte donner assez confiance à ses utilisateurs pour qu'ils échangent de tels contenus via cette nouvelle application.

La question des CGU va d'ailleurs rapidement se poser, puisque si SnapChat indique supprimer « le plus rapidement possible » les messages de ses serveurs, ce n'est pas encore le cas de Facebook qui publie une copie de ses conditions habituelles pour ce service :

Il faudra donc, qu'en plus de pratiquer cette suppression immédiate (ce qui semble être le cas au bout de deux jours, selon ce qui a été indiqué à nos confrères de TechCrunch), cela soit précisé noir sur blanc.

Vous manquez de confiance en l'autre ? Ce n'est pas Facebook qui va vous sauver

L'autre souci concerne le maillon faible d'une chaîne de confidentialité. Même si l'on a toute confiance en ce genre de service, comment s'assurer que le destinataire n'effectuera pas une capture de votre message ? Comme SnapChat, Poke vous envoie une notification si tel est le cas, mais les choses ne sont pas plus sûres pour autant.

Même si cela fonctionnait sans possibilité de contournement (ce qui n'est pas le cas), une fois la capture effectuée, une preuve existe. Tout comme il est possible que le destinataire parle de ce contenu à un tiers, prenne l'écran de son mobile en photo... bref, comme toujours, la sécurité totale n'existe pas et les failles seront nombreuses. 

Snapchat en est d'ailleurs parfaitement conscient, et le précise dans son document relative à votre vie privée et à la sécurité de vos données : 

La question de la confiance vis-à-vis du destinataire ne devrait donc pas être le problème principal, d'autant plus que les sites tels que YouPorn et consorts sont remplis de vidéos de jeunes filles qui avaient une parfaite confiance en leur petit ami au moment de tourner ce petit film marrant en privé. La question est plutôt de savoir, lorsque vous envoyez un message à un tiers : est-ce que je suis prêt à voir ce contenu exposé de manière publique ? Si la réponse est non, ne l'envoyez pas. Ce qui n'existe pas ne peut pas vous embarrasser un jour.

Il est d'ailleurs regrettable que de tels outils donnent une fausse impression de confidentialité à des utilisateurs, parfois jeunes, qui ne saisissent pas toujours les tenants et les aboutissants de ce genre de problématiques. Cela abouti d'ailleurs parfois à des drames dont on se passerait bien, telle que l'histoire d'Amanda Todd.

Une véritable sécurité pour nos communications, c'est pour quand ?

Car tout cela est bien joli, mais l'on apprécierait tout de même plus la possibilité de discuter via ce genre de messageries de manière chiffrée par exemple, afin de nous assurer que les échanges sont effectivement privés (à la manière de l'utilisation de BoxCryptor / EncFS pour le stockage de fichiers en ligne). Ainsi, même si le destinataire et ses terminaux restent un maillon faible, on s'assure qu'un membre mal intentionné du service que l'on utilise ne pourra pas y avoir accès et que cela ne sera pas dévoilé en cas d'intrusion.

Un problème qui se pose de manière assez large, jusqu'à l'e-mail ou même les SMS / MMS. Les solutions de chiffrement ou de signature de type PGP / GPG par exemple, ne se sont pas vraiment démocratisée (surtout pas dans le monde mobile et déjà assez peu sous Windows) et ce qui fait le quotidien de la communication de millions d'internautes est au final assez peu sécurisé.

Pour ce qui concerne les messageries de Facebook et Twitter, et autres services du genre, ils devraient au moins systématiquement permettre à chacun des destinataires d'effacer toute trace d'une conversation de manière simple, complète et définitive, ce qui n'est pas du tout le cas actuellement. C'est notamment le cas de Twitter, dont la messagerie est encore bien trop archaïque pour un service de ce niveau (il est possible de supprimer chaque message privé indépendamment, mais pas toujours de le faire pour toute une conversation).

Des fonctionnalités que personne ne semble pressé de proposer, même si des outils tels que Pidgin proposent un mode Off-The-Record (OTR), et que des logiciels tels que TorChat ou l'application Chrome CryptoCat sont là pour ça. Mais tant qu'à voir de tels services déclarer se mettre au service de notre besoin d'intimité, on aimerait que cela soit réellement le cas, plutôt que de voir de tels gadgets ne nous protégeant en rien apparaître.