Selon l'EFF, trop de solutions de messagerie ne chiffrent pas assez leurs données

Le meilleur compromis ? iMessage. Sic. 12
En bref
image dediée
Crédits : stevanovicigor/iStock/Thinkstock
Securité
Vincent Hermann

L’EFF a publié mardi soir un important comparatif se penchant sur la sécurité des solutions de messagerie. La fondation consacre iMessage comme le meilleur dans la catégorie grand public, mais confirme surtout un point abordé récemment par Dropbox : il est très difficile d’allier la facilité d’utilisation et la meilleure sécurité possible.

iMessage : le meilleur compromis entre sécurité et simplicité selon l'EFF

Le thème de la sécurité est de plus en plus abordé depuis plus d’un an. C’est l’héritage direct des révélations d’Edward Snowden, qui ont eu une conséquence intéressante : la sécurité, de son statut de fonctionnalité « rébarbative », devient graduellement un argument marketing. Il y a un mois, on a pu voir ainsi comment des Coréens quittaient l’application Kakao pour Telegram et ses sessions chiffrées pour la seule raison que le gouvernement avait annoncé une surveillance renforcée des réseaux.

L’Electronic Frontier Foundation a publié mardi soir un tableau comparatif des différentes fonctionnalités de sécurité des solutions de messagerie, qu’elles soient mobiles ou pas. L’occasion de voir que les solutions les plus utilisées ne sont pas forcément toujours les plus recommandées dans ce domaine.

Le tableau réserve en effet quelques surprises. Comme l’explique la fondation dans son communiqué, le duo formé par iMessage et FaceTime (Apple) est à ce jour la solution grand public la plus sécurisée, ce qui ne signifie pas qu’elle est la plus sûre. L’EFF aborde ici le fameux « curseur » que nous abordions hier lors de la réaction du PDG de Dropbox face aux critiques de Snowden : la difficile cohabitation de la facilité d’utilisation et de la sécurité renforcée.

Attention aux solutions les plus couramment utilisées 

Les facteurs pris en compte par l’EFF sont les suivants :

  1. Transport chiffré de l’information
  2. Chiffrement de bout-en-bout (l’éditeur n’a pas la clé)
  3. Une vérification indépendante de l’identité des contacts
  4. Confidentialité persistante (chiffrement réalisé sur la base de clés éphémères)
  5. Code lisible et compilable par des tiers (aucune licence particulière exigée)
  6. Méthode de chiffrement clairement documentée
  7. Audit indépendant du code dans les douze derniers mois

Sur ces critères, iMessage et FaceTime échouent deux fois : le code n’est pas lisible (évidemment), et l’identité des correspondants ne peut pas être vérifiée de manière indépendante. Pour la fondation, les solutions d’Apple ne fournissent d'ailleurs « pas de protection complète contre des formes ciblées et sophistiquées de surveillance ». Elle n'aborde cependant ce qui reste malgré tout une vraie limite à l'utilisation d'iMessage : sa seule disponibilité sur les produits de Cupertino.

Six solutions de messagerie remplissent en tout cas toutes les conditions et ressortent donc comme les stars de la sécurité : ChatSecure, CryptoCat, Signal/Redphone, Silent Phone, Silent Text et TextSecure. Moins pratiques globalement, elles ne nécessitent pour autant pas de grandes études pour être utilisées, notamment CryptoCat.

À l’inverse, quelques-unes des solutions les plus utilisées au monde feraient bien de travailler à renforcer la sécurité de leurs communications. C’est particulièrement les cas de QQ, Mxit et du client Yahoo Messenger pour ordinateurs, qui n’ont aucun chiffrement. Google, Facebook, WhatsApp ou encore le fameux Secret n’ont pas de chiffrement de bout-en-bout. Le très utilisé SnapChat s’en sort avec le minimum vital, à savoir le chiffrement des communications, mais rien de plus (tout comme Viber). Telegram, vers lequel les Coréens sont allés, s’en sort relativement bien, mais n’a pas de confidentialité persistante, tandis qu’aucun audit n’a été réalisé dans les douze derniers mois. Quant à Skype, les communications sont chiffrées de bout-en-bout, mais pas plus (pas de confidentialité persistante ni de documentation notamment).

L’EFF indique que ces résultats font partie intégrante de sa « Campaign for Secure and Usable Cryptography ». La fondation espère que ce type d’information aidera les utilisateurs à faire des choix plus avisés et qui ne tiendront pas seulement compte de la simplicité du « hype » du moment.


chargement
Chargement des commentaires...