Vous n'avez pas encore de notification

Page d'accueil

Options d'affichage

Abonné

Actualités

Abonné

Des thèmes sont disponibles :

Thème de baseThème de baseThème sombreThème sombreThème yinyang clairThème yinyang clairThème yinyang sombreThème yinyang sombreThème orange mécanique clairThème orange mécanique clairThème orange mécanique sombreThème orange mécanique sombreThème rose clairThème rose clairThème rose sombreThème rose sombre

Vous n'êtes pas encore INpactien ?

Inscrivez-vous !

Google Allo : une absence de chiffrement E2E par défaut très remarquée

Un mois après l'activation par WhatsApp #PouceEnLair
Mobilité 3 min
Google Allo : une absence de chiffrement E2E par défaut très remarquée
Crédits : iStock/ThinkStock

L'application de messagerie instantanée Google Allo, qui arrivera normalement dès le mois prochain, est critiquée pour l’absence de chiffrement de bout en bout par défaut. Une occasion manquée pour la société qui est sous le feu des critiques, notamment de la part d'Edward Snowden.

Parmi la pléthore de nouveautés annoncées durant sa conférence I/O, Google a présenté les applications Allo et Duo. Un couple que l'on pourrait comparer à celui que l’on trouve chez Apple, avec iMessage et FaceTime. La première en particulier est un savant mélange de tout ce que l’on peut trouver dans le monde très concurrentiel des messageries instantanées, jusqu'aux bots afin d'enrichir largement l’expérience utilisateur.

Quitte à arriver après tout le monde...

Mais bien qu'Allo ne soit pas encore disponible, elle concentre déjà un feu nourri de critiques. La plus commune peut se résumer à une question : pourquoi encore une autre application de messagerie ? Google dispose déjà de Hangouts, qui ne disparaîtra d’ailleurs pas, les deux ayant des objectifs différents.

Allo vise surtout WhatsApp et consorts, en se servant du numéro de téléphone comme identifiant principal et en misant uniquement sur un usage mobile. Une stratégie un peu semblable à celle de Facebook qui cumule deux outils de messagerie, mais qui peut paraître étrange, puisque de son côté, Hangouts peine déjà à évoluer et à convaincre.

Il faut donc frapper fort, et surtout marquer les esprits puisque la base d'utilisateurs est entièrement à construire, là où la concurrence compte déjà des millions d'adeptes.

Snowden : « Évitez-la pour l’instant »

Mais le nouveau service de Google est déjà critiqué en raison de ses choix en matière de sécurité. Il propose certes un mode incognito utilisant le protocole Signal, comme pour WhatsApp, mais il avait aussi une carte à jouer sur les conversations classiques. Or, point de chiffrement de bout en bout (E2E) dans ce cas-là.

Une absence curieuse, et ce d’autant plus que Google, qui court déjà pour rattraper la concurrence, arrive des semaines après l’activation du chiffrement E2E par WhatsApp, puis peu de temps après par Viber. Une absence pointée du doigt, notamment par Edward Snowden, qui n’a de cesse de militer pour cette forme de protection depuis plusieurs années maintenant. Dans un tweet publié hier, il indique : « La décision de Google de désactiver le chiffrement de bout en bout par défaut sa nouvelle application de messagerie Allo est dangereux et la rend peu sûre. Évitez-la pour l’instant ».

Comme l’explique Thai Duong de l’équipe de développement de Signal, consulté pour la sécurité d’Allo, l’application de Google disposera bien dans tous les cas du chiffrement. Mais dans le cas des conversations normales, il s’agira de QUIC ou de TLS 1.2. Selon lui, ce choix était inévitable dans le cadre d’une utilisation faisant appel aux bots de Google.

L’interrogation autour de cette décision de Google cristallise le débat sur l’utilité potentielle d’Allo. Pour le chercheur en sécurité Christopher Soghoian, la raison en est simple : « Faire du chiffrement une option était une décision prise par les équipes commerciale et juridique. Elle permet à Google de creuser dans les conversations et de ne pas énerver les gouvernements ».

Un argument percutant ?

Difficile dans l'absolu de vérifier cette assertion, mais il sera tout aussi difficile de nier que les forces de l’ordre ont de quoi être soulagées avec cette annonce. Quand une entreprise disposant de la force de frappe de Google insiste sur les outils de communication, ses choix sont observés de près. Alors que les débats sur la place du chiffrement – particulièrement de bout en bout – ne faiblissent pas, le FBI et les autres sauront gré à Google de cette décision.

En attendant, le tweet de Snowden est pour le moins directif. Mais dans un monde de fonctionnalités, d’immédiateté et d'interfaces agréables, ce point particulier sera-t-il vraiment entendu par le grand public ?

17 commentaires
Avatar de SebGF Abonné
Avatar de SebGFSebGF- 21/05/16 à 08:57:06

La sécu à deux vitesses de Google, on te vend une porte blindée mais elle n'a pas de serrure par défaut. En même temps, il faut bien pouvoir vendre ses produits plus facilement.

Avatar de anonyme_a6c552c5fb4282d70e634ed16d39416a INpactien

En attendant, le tweet de Snowden est pour le moins directif. Mais dans un monde de fonctionnalités, d’immédiateté et d'interfaces agréables, ce point particulier sera-t-il vraiment entendu par le grand public ?

Bien sûr que non puisqu'il ne l'est déjà pas (entendu) par des personnes un peu plus concernées (industriels, brevets, recherches, etc.)

Édité par YesWeekEnd le 21/05/2016 à 09:14
Avatar de egoz INpactien
Avatar de egozegoz- 21/05/16 à 10:00:53

Non mais Allo quoi ...:mad2:

Avatar de Ricard INpactien
Avatar de RicardRicard- 21/05/16 à 10:24:38

A boycotter donc...

Avatar de 127.0.0.1 INpactien
Avatar de 127.0.0.1127.0.0.1- 21/05/16 à 10:25:18

« Faire du chiffrement une option était une décision prise par les équipes commerciale et juridique. Elle permet à Google de creuser dans les conversations et de ne pas énerver les gouvernements ».

Sans compter l'effet d'inertie: si le mode par défaut est "sans chiffrement", alors il y aura moins d'effort pour que l'écosystème autour de Allo fonctionne en mode chiffré. La solution de facilité sera de dire "si ca ne fonctionne pas, repassez en mode sans chiffrement".

On a déjà vu que c'était difficile de basculer en mode sécurisé après coup, par exemple passer en https avec les régie pubs, ou passer en profil non-administrateur avec les applications windows.

Avatar de Pwney INpactien
Avatar de PwneyPwney- 21/05/16 à 10:38:56

Qu'ils mettent un interrupteur "bot google OU chiffrement" facile d'accès alors.

D'ailleurs pourquoi le bot google ne serait-il pas sur le terminal utilisateur ?
C'est juste une excuse pour désactiver le chiffrement ou y a vraiment un problème de puissance de calcul ?

Avatar de SebGF Abonné
Avatar de SebGFSebGF- 21/05/16 à 11:22:53

Pwney a écrit :

Qu'ils mettent un interrupteur "bot google OU chiffrement" facile d'accès alors.

D'ailleurs pourquoi le bot google ne serait-il pas sur le terminal utilisateur ?
C'est juste une excuse pour désactiver le chiffrement ou y a vraiment un problème de puissance de calcul ?

Les outils de reconnaissance vocale ou textuels comme ceux de Google, Apple, Microsoft, et compagnie, s'appuient sur des algo qui interrogent des bases de données pour répondre. Si sur un PC il y a des outils de reconnaissance vocale ou analyse textuelle puissants en stand alone, je pense que sur les smartphones ça doit être plus limité.
Mais outre l'aspect technique, c'est surtout en constituant une base de données de phrases, mots, sons, événements, etc, qu'ils parviennent à rendre ces outils très efficaces. Le terminal peut difficilement porter tout ce poids.

edit : j'avais signalé via le formulaire en question que la phrase "Elle permet à Google de creuser dans les conversations et de ne pas énerver les gouvernements" est mal traduite. Le terme creuser pour "mine" n'est pas bon dans ce contexte, on parle bien d'exploitation de données (data mining).

Édité par SebGF le 21/05/2016 à 11:25
Avatar de kamuisuki INpactien
Avatar de kamuisukikamuisuki- 21/05/16 à 12:10:37

Oui dans mon entourage tout le monde est choqué.
Non enfaite tout le monde s'en fiche et personne sait ce que c'est .
Et je pense même que ça empêchera personne de l'utiliser lol

Avatar de Jarodd INpactien
Avatar de JaroddJarodd- 21/05/16 à 19:15:06

« Faire du chiffrement une option était une décision prise par les
équipes commerciale et juridique. Elle permet à Google de creuser dans
les conversations et de ne pas énerver les gouvernements ».

Ou bien ils ne mettent pas de E2E pour qu'on parle du produit, et ensuite dire au FBI « vous voyez, le public demande du chiffrement, ce n'est pas notre faute si on le met, c'est juste les prérequis du marché désormais »

Bon, j'y crois moyen, mais je leur laisse le bénéfice du doute.
 (les commerciaux qui ne comprennent pas l'intérêt du chiffrement, c'est bien plus crédible :francais: )

Avatar de Kwaïeur INpactien
Avatar de KwaïeurKwaïeur- 21/05/16 à 20:44:38

Chiffrement => Pas de bots ou autre fonctionnalité gadget => Moins "in"
On parie combien ? :D

Édité par Kwaïeur le 21/05/2016 à 20:45
Il n'est plus possible de commenter cette actualité.
Page 1 / 2
  • Introduction
  • Quitte à arriver après tout le monde...
  • Snowden : « Évitez-la pour l’instant »
  • Un argument percutant ?
S'abonner à partir de 3,75 €