L'application de messagerie instantanée Google Allo, qui arrivera normalement dès le mois prochain, est critiquée pour l’absence de chiffrement de bout en bout par défaut. Une occasion manquée pour la société qui est sous le feu des critiques, notamment de la part d'Edward Snowden.
Parmi la pléthore de nouveautés annoncées durant sa conférence I/O, Google a présenté les applications Allo et Duo. Un couple que l'on pourrait comparer à celui que l’on trouve chez Apple, avec iMessage et FaceTime. La première en particulier est un savant mélange de tout ce que l’on peut trouver dans le monde très concurrentiel des messageries instantanées, jusqu'aux bots afin d'enrichir largement l’expérience utilisateur.
Quitte à arriver après tout le monde...
Mais bien qu'Allo ne soit pas encore disponible, elle concentre déjà un feu nourri de critiques. La plus commune peut se résumer à une question : pourquoi encore une autre application de messagerie ? Google dispose déjà de Hangouts, qui ne disparaîtra d’ailleurs pas, les deux ayant des objectifs différents.
Allo vise surtout WhatsApp et consorts, en se servant du numéro de téléphone comme identifiant principal et en misant uniquement sur un usage mobile. Une stratégie un peu semblable à celle de Facebook qui cumule deux outils de messagerie, mais qui peut paraître étrange, puisque de son côté, Hangouts peine déjà à évoluer et à convaincre.
Il faut donc frapper fort, et surtout marquer les esprits puisque la base d'utilisateurs est entièrement à construire, là où la concurrence compte déjà des millions d'adeptes.
Snowden : « Évitez-la pour l’instant »
Mais le nouveau service de Google est déjà critiqué en raison de ses choix en matière de sécurité. Il propose certes un mode incognito utilisant le protocole Signal, comme pour WhatsApp, mais il avait aussi une carte à jouer sur les conversations classiques. Or, point de chiffrement de bout en bout (E2E) dans ce cas-là.
Une absence curieuse, et ce d’autant plus que Google, qui court déjà pour rattraper la concurrence, arrive des semaines après l’activation du chiffrement E2E par WhatsApp, puis peu de temps après par Viber. Une absence pointée du doigt, notamment par Edward Snowden, qui n’a de cesse de militer pour cette forme de protection depuis plusieurs années maintenant. Dans un tweet publié hier, il indique : « La décision de Google de désactiver le chiffrement de bout en bout par défaut sa nouvelle application de messagerie Allo est dangereux et la rend peu sûre. Évitez-la pour l’instant ».
Google's decision to disable end-to-end encryption by default in its new #Allo chat app is dangerous, and makes it unsafe. Avoid it for now.
— Edward Snowden (@Snowden) 19 mai 2016
Comme l’explique Thai Duong de l’équipe de développement de Signal, consulté pour la sécurité d’Allo, l’application de Google disposera bien dans tous les cas du chiffrement. Mais dans le cas des conversations normales, il s’agira de QUIC ou de TLS 1.2. Selon lui, ce choix était inévitable dans le cadre d’une utilisation faisant appel aux bots de Google.
L’interrogation autour de cette décision de Google cristallise le débat sur l’utilité potentielle d’Allo. Pour le chercheur en sécurité Christopher Soghoian, la raison en est simple : « Faire du chiffrement une option était une décision prise par les équipes commerciale et juridique. Elle permet à Google de creuser dans les conversations et de ne pas énerver les gouvernements ».
Un argument percutant ?
Difficile dans l'absolu de vérifier cette assertion, mais il sera tout aussi difficile de nier que les forces de l’ordre ont de quoi être soulagées avec cette annonce. Quand une entreprise disposant de la force de frappe de Google insiste sur les outils de communication, ses choix sont observés de près. Alors que les débats sur la place du chiffrement – particulièrement de bout en bout – ne faiblissent pas, le FBI et les autres sauront gré à Google de cette décision.
En attendant, le tweet de Snowden est pour le moins directif. Mais dans un monde de fonctionnalités, d’immédiateté et d'interfaces agréables, ce point particulier sera-t-il vraiment entendu par le grand public ?
