L’EFF a publié mardi soir un important comparatif se penchant sur la sécurité des solutions de messagerie. La fondation consacre iMessage comme le meilleur dans la catégorie grand public, mais confirme surtout un point abordé récemment par Dropbox : il est très difficile d’allier la facilité d’utilisation et la meilleure sécurité possible.
iMessage : le meilleur compromis entre sécurité et simplicité selon l'EFF
Le thème de la sécurité est de plus en plus abordé depuis plus d’un an. C’est l’héritage direct des révélations d’Edward Snowden, qui ont eu une conséquence intéressante : la sécurité, de son statut de fonctionnalité « rébarbative », devient graduellement un argument marketing. Il y a un mois, on a pu voir ainsi comment des Coréens quittaient l’application Kakao pour Telegram et ses sessions chiffrées pour la seule raison que le gouvernement avait annoncé une surveillance renforcée des réseaux.
L’Electronic Frontier Foundation a publié mardi soir un tableau comparatif des différentes fonctionnalités de sécurité des solutions de messagerie, qu’elles soient mobiles ou pas. L’occasion de voir que les solutions les plus utilisées ne sont pas forcément toujours les plus recommandées dans ce domaine.
Le tableau réserve en effet quelques surprises. Comme l’explique la fondation dans son communiqué, le duo formé par iMessage et FaceTime (Apple) est à ce jour la solution grand public la plus sécurisée, ce qui ne signifie pas qu’elle est la plus sûre. L’EFF aborde ici le fameux « curseur » que nous abordions hier lors de la réaction du PDG de Dropbox face aux critiques de Snowden : la difficile cohabitation de la facilité d’utilisation et de la sécurité renforcée.
Attention aux solutions les plus couramment utilisées
Les facteurs pris en compte par l’EFF sont les suivants :
- Transport chiffré de l’information
- Chiffrement de bout-en-bout (l’éditeur n’a pas la clé)
- Une vérification indépendante de l’identité des contacts
- Confidentialité persistante (chiffrement réalisé sur la base de clés éphémères)
- Code lisible et compilable par des tiers (aucune licence particulière exigée)
- Méthode de chiffrement clairement documentée
- Audit indépendant du code dans les douze derniers mois
Sur ces critères, iMessage et FaceTime échouent deux fois : le code n’est pas lisible (évidemment), et l’identité des correspondants ne peut pas être vérifiée de manière indépendante. Pour la fondation, les solutions d’Apple ne fournissent d'ailleurs « pas de protection complète contre des formes ciblées et sophistiquées de surveillance ». Elle n'aborde cependant ce qui reste malgré tout une vraie limite à l'utilisation d'iMessage : sa seule disponibilité sur les produits de Cupertino.
Six solutions de messagerie remplissent en tout cas toutes les conditions et ressortent donc comme les stars de la sécurité : ChatSecure, CryptoCat, Signal/Redphone, Silent Phone, Silent Text et TextSecure. Moins pratiques globalement, elles ne nécessitent pour autant pas de grandes études pour être utilisées, notamment CryptoCat.
À l’inverse, quelques-unes des solutions les plus utilisées au monde feraient bien de travailler à renforcer la sécurité de leurs communications. C’est particulièrement les cas de QQ, Mxit et du client Yahoo Messenger pour ordinateurs, qui n’ont aucun chiffrement. Google, Facebook, WhatsApp ou encore le fameux Secret n’ont pas de chiffrement de bout-en-bout. Le très utilisé SnapChat s’en sort avec le minimum vital, à savoir le chiffrement des communications, mais rien de plus (tout comme Viber). Telegram, vers lequel les Coréens sont allés, s’en sort relativement bien, mais n’a pas de confidentialité persistante, tandis qu’aucun audit n’a été réalisé dans les douze derniers mois. Quant à Skype, les communications sont chiffrées de bout-en-bout, mais pas plus (pas de confidentialité persistante ni de documentation notamment).
L’EFF indique que ces résultats font partie intégrante de sa « Campaign for Secure and Usable Cryptography ». La fondation espère que ce type d’information aidera les utilisateurs à faire des choix plus avisés et qui ne tiendront pas seulement compte de la simplicité du « hype » du moment.
Commentaires (12)
#1
et au niveau des messageries mail classiques, il est enfin possible de réaliser des échanges chiffrés simplement ou bien c’est toujours à base de GPG lourdingue?
#2
Y a bien le chiffrement S/MIME, a base de certificat.
#3
Même si jamais rien n’est parfait, ce document apporte un éclairage simple sur la sécurité de ces outils de communications.
Instructif (Moi qui louais un certain crédit à la solution de BlackBerry)
#4
y a quand même un truc qui me chiffonne dans le tableaux de EFF c’est que pour eux c’est négatif que la méthode de chiffrement ne soit pas documenté
le coup comme quoi l’éditeur a pas la clef …. no rien
puis le “Une vérification indépendante de l’identité des contacts” kesako ??
#5
GPG n’a rien de lourdingue s’il est correctement intégré au client mail.
#6
RTFA! ;) c’est détaillé en dessous du schéma de l’EFF dans le point 3
#7
du S2S à la jabber serait quand même pas mal plutôt que d’être obligé de faire du chiffrage de client à client en utilisant des plugin externes et des méthodes de transmission de certificats qui peuvent parfois être source de problèmes…
#8
La version de Cryptocat pour Android se fait attendre dommage.
#9
Quand je vois le nombre de commentaires que suscite cette news … ça prouve bien que les gens, même sur un site comme celui-ci (!), font passer le côté pratique des applications bien avant les questions de vie privée et de sécurité de leurs données !
#10
#11
#12