Connexion

Catégories

Droit Économie Flock Hardware IA Internet Logiciel Sciences Sécurité Société

Nous Suivre

Contact rédaction Contact site Forum
Flux RSS GitHub Discord

À propos

Abonnez-vous

Google Allo : une absence de chiffrement E2E par défaut très remarquée

Un mois après l'activation par WhatsApp #PouceEnLair

Google Allo : une absence de chiffrement E2E par défaut très remarquée

Le 21 mai 2016 à 08h34

L'application de messagerie instantanée Google Allo, qui arrivera normalement dès le mois prochain, est critiquée pour l’absence de chiffrement de bout en bout par défaut. Une occasion manquée pour la société qui est sous le feu des critiques, notamment de la part d'Edward Snowden.

Parmi la pléthore de nouveautés annoncées durant sa conférence I/O, Google a présenté les applications Allo et Duo. Un couple que l'on pourrait comparer à celui que l’on trouve chez Apple, avec iMessage et FaceTime. La première en particulier est un savant mélange de tout ce que l’on peut trouver dans le monde très concurrentiel des messageries instantanées, jusqu'aux bots afin d'enrichir largement l’expérience utilisateur.

Quitte à arriver après tout le monde...

Mais bien qu'Allo ne soit pas encore disponible, elle concentre déjà un feu nourri de critiques. La plus commune peut se résumer à une question : pourquoi encore une autre application de messagerie ? Google dispose déjà de Hangouts, qui ne disparaîtra d’ailleurs pas, les deux ayant des objectifs différents.

Allo vise surtout WhatsApp et consorts, en se servant du numéro de téléphone comme identifiant principal et en misant uniquement sur un usage mobile. Une stratégie un peu semblable à celle de Facebook qui cumule deux outils de messagerie, mais qui peut paraître étrange, puisque de son côté, Hangouts peine déjà à évoluer et à convaincre.

Il faut donc frapper fort, et surtout marquer les esprits puisque la base d'utilisateurs est entièrement à construire, là où la concurrence compte déjà des millions d'adeptes.

Snowden : « Évitez-la pour l’instant »

Mais le nouveau service de Google est déjà critiqué en raison de ses choix en matière de sécurité. Il propose certes un mode incognito utilisant le protocole Signal, comme pour WhatsApp, mais il avait aussi une carte à jouer sur les conversations classiques. Or, point de chiffrement de bout en bout (E2E) dans ce cas-là.

Une absence curieuse, et ce d’autant plus que Google, qui court déjà pour rattraper la concurrence, arrive des semaines après l’activation du chiffrement E2E par WhatsApp, puis peu de temps après par Viber. Une absence pointée du doigt, notamment par Edward Snowden, qui n’a de cesse de militer pour cette forme de protection depuis plusieurs années maintenant. Dans un tweet publié hier, il indique : « La décision de Google de désactiver le chiffrement de bout en bout par défaut sa nouvelle application de messagerie Allo est dangereux et la rend peu sûre. Évitez-la pour l’instant ».

Comme l’explique Thai Duong de l’équipe de développement de Signal, consulté pour la sécurité d’Allo, l’application de Google disposera bien dans tous les cas du chiffrement. Mais dans le cas des conversations normales, il s’agira de QUIC ou de TLS 1.2. Selon lui, ce choix était inévitable dans le cadre d’une utilisation faisant appel aux bots de Google.

L’interrogation autour de cette décision de Google cristallise le débat sur l’utilité potentielle d’Allo. Pour le chercheur en sécurité Christopher Soghoian, la raison en est simple : « Faire du chiffrement une option était une décision prise par les équipes commerciale et juridique. Elle permet à Google de creuser dans les conversations et de ne pas énerver les gouvernements ».

Un argument percutant ?

Difficile dans l'absolu de vérifier cette assertion, mais il sera tout aussi difficile de nier que les forces de l’ordre ont de quoi être soulagées avec cette annonce. Quand une entreprise disposant de la force de frappe de Google insiste sur les outils de communication, ses choix sont observés de près. Alors que les débats sur la place du chiffrement – particulièrement de bout en bout – ne faiblissent pas, le FBI et les autres sauront gré à Google de cette décision.

En attendant, le tweet de Snowden est pour le moins directif. Mais dans un monde de fonctionnalités, d’immédiateté et d'interfaces agréables, ce point particulier sera-t-il vraiment entendu par le grand public ?

Commentaires (17)

Vous devez être abonné pour pouvoir commenter.

Abonnez-vous
votre avatar







Graphico a écrit :



Un instant: Je dois être enrhumé du bulbe, mais vous pouvez m’expliquer la différence entre un appel (une conversation) via votre opérateur (de 06 à 06) et l’appli de goggle ? je comprends pas l’utilité vu que la très grande majorité des gens on des forfaits illimités sur la voix. Alors, pourquoi se prendre la tête ? (bon, on peut me rétorquer que si votre correspondant est au Guatémala…)





Je savais pas que le Guatemala faisait figure d’exemple en terme de télécommunication pourrie…



Dans tout les cas, ‘faut pas aller si loin. En Belgique, les forfaits illimité ne débutent qu’à partir de 30€.


votre avatar

J’aime bien Hangouts moi&nbsp;<img data-src=" />

D’ailleurs le client Chrome est vraiment bien foutu.

votre avatar

Déjà que je désactive systématiquement Hangouts, alors ça… J’espère que ça ne sera pas installé de force comme les autres applis de Google <img data-src=" />

votre avatar

la France est l’un des seuls pays où on a de l’illimité sur la voix, tout simplement.

votre avatar

La sécu à deux vitesses de Google, on te vend une porte blindée mais elle n’a pas de serrure par défaut. En même temps, il faut bien pouvoir vendre ses produits plus facilement.

votre avatar

En attendant, le tweet de Snowden est pour le moins directif. Mais dans un monde de fonctionnalités, d’immédiateté et d’interfaces agréables, ce point particulier sera-t-il vraiment entendu par le grand public&nbsp;?



Bien sûr que non puisqu’il ne l’est déjà pas (entendu) par des personnes un peu plus concernées (industriels, brevets, recherches, etc.)

votre avatar

Non mais Allo quoi …<img data-src=" />

votre avatar

A boycotter donc…

votre avatar



« Faire du chiffrement une option était une décision prise par les équipes commerciale et juridique. Elle permet à Google de creuser dans les conversations et de ne pas énerver les gouvernements ».





Sans compter l’effet d’inertie: si le mode par défaut est “sans chiffrement”, alors il y aura moins d’effort pour que l’écosystème autour de Allo fonctionne en mode chiffré. La solution de facilité sera de dire “si ca ne fonctionne pas, repassez en mode sans chiffrement”.



On a déjà vu que c’était difficile de basculer en mode sécurisé après coup, par exemple passer en https avec les régie pubs, ou passer en profil non-administrateur avec les applications windows.

votre avatar

Qu’ils mettent un interrupteur “bot google OU chiffrement” facile d’accès alors.



D’ailleurs pourquoi le bot google ne serait-il pas sur le terminal utilisateur ?

C’est juste une excuse pour désactiver le chiffrement ou y a vraiment un problème de puissance de calcul ?

votre avatar







Pwney a écrit :



Qu’ils mettent un interrupteur “bot google OU chiffrement” facile d’accès alors.



D’ailleurs pourquoi le bot google ne serait-il pas sur le terminal utilisateur ?

C’est juste une excuse pour désactiver le chiffrement ou y a vraiment un problème de puissance de calcul ?







Les outils de reconnaissance vocale ou textuels comme ceux de Google, Apple, Microsoft, et compagnie, s’appuient sur des algo qui interrogent des bases de données pour répondre. Si sur un PC il y a des outils de reconnaissance vocale ou analyse textuelle puissants en stand alone, je pense que sur les smartphones ça doit être plus limité.

Mais outre l’aspect technique, c’est surtout en constituant une base de données de phrases, mots, sons, événements, etc, qu’ils parviennent à rendre ces outils très efficaces. Le terminal peut difficilement porter tout ce poids.



edit : j’avais signalé via le formulaire en question que la phrase “Elle permet à Google de creuser dans les conversations et de ne pas énerver les gouvernements” est mal traduite. Le terme creuser pour “mine” n’est pas bon dans ce contexte, on parle bien d’exploitation de données (data mining).


votre avatar

Oui dans mon entourage tout le monde est choqué.

Non enfaite tout le monde s’en fiche et personne sait ce que c’est .

Et je pense même que ça empêchera personne de l’utiliser lol

votre avatar



«&nbsp;Faire du chiffrement une option était une décision prise par les

équipes commerciale et juridique. Elle permet à Google de creuser dans

les conversations et de ne pas énerver les gouvernements&nbsp;».





Ou bien ils ne mettent pas de E2E pour qu’on parle du produit, et ensuite dire au FBI « vous voyez, le public demande du chiffrement, ce n’est pas notre faute si on le met, c’est juste les prérequis du marché désormais »



Bon, j’y crois moyen, mais je leur laisse le bénéfice du doute.

&nbsp;(les commerciaux qui ne comprennent pas l’intérêt du chiffrement, c’est bien plus crédible <img data-src=" /> )

votre avatar

Chiffrement =&gt; Pas de bots ou autre fonctionnalité gadget =&gt; Moins “in”

On parie combien ?&nbsp;<img data-src=" />

votre avatar

Le chiffrement est un obstacle pour le modèle économique de google ? si oui, je comprends le choix.



Il ne faut pas oublier que google n’est pas une association caritative mais une entreprise commerciale.

votre avatar

Au delà de l’histoire du FBI, je pense que c’est déjà dans un premier temps parce qu’Alphabet vit encore majoritairement de ses régies publicitaires.

Et que c’est plus difficile d’espionner quand tout est chiffré de bout en bout.

votre avatar

Un instant: Je dois être enrhumé du bulbe, mais vous pouvez m’expliquer la différence entre un appel (une conversation) via votre opérateur (de 06 à 06) et l’appli de goggle ? je comprends pas l’utilité vu que la très grande majorité des gens on des forfaits illimités sur la voix. Alors, pourquoi se prendre la tête ? (bon, on peut me rétorquer que si votre correspondant est au Guatémala…)

Google Allo : une absence de chiffrement E2E par défaut très remarquée

  • Quitte à arriver après tout le monde...

  • Snowden : « Évitez-la pour l’instant »

  • Un argument percutant ?

Fermer