L'application de messagerie instantanée Google Allo, qui arrivera normalement dès le mois prochain, est critiquée pour l’absence de chiffrement de bout en bout par défaut. Une occasion manquée pour la société qui est sous le feu des critiques, notamment de la part d'Edward Snowden.
Parmi la pléthore de nouveautés annoncées durant sa conférence I/O, Google a présenté les applications Allo et Duo. Un couple que l'on pourrait comparer à celui que l’on trouve chez Apple, avec iMessage et FaceTime. La première en particulier est un savant mélange de tout ce que l’on peut trouver dans le monde très concurrentiel des messageries instantanées, jusqu'aux bots afin d'enrichir largement l’expérience utilisateur.
Quitte à arriver après tout le monde...
Mais bien qu'Allo ne soit pas encore disponible, elle concentre déjà un feu nourri de critiques. La plus commune peut se résumer à une question : pourquoi encore une autre application de messagerie ? Google dispose déjà de Hangouts, qui ne disparaîtra d’ailleurs pas, les deux ayant des objectifs différents.
Allo vise surtout WhatsApp et consorts, en se servant du numéro de téléphone comme identifiant principal et en misant uniquement sur un usage mobile. Une stratégie un peu semblable à celle de Facebook qui cumule deux outils de messagerie, mais qui peut paraître étrange, puisque de son côté, Hangouts peine déjà à évoluer et à convaincre.
Il faut donc frapper fort, et surtout marquer les esprits puisque la base d'utilisateurs est entièrement à construire, là où la concurrence compte déjà des millions d'adeptes.
Snowden : « Évitez-la pour l’instant »
Mais le nouveau service de Google est déjà critiqué en raison de ses choix en matière de sécurité. Il propose certes un mode incognito utilisant le protocole Signal, comme pour WhatsApp, mais il avait aussi une carte à jouer sur les conversations classiques. Or, point de chiffrement de bout en bout (E2E) dans ce cas-là.
Une absence curieuse, et ce d’autant plus que Google, qui court déjà pour rattraper la concurrence, arrive des semaines après l’activation du chiffrement E2E par WhatsApp, puis peu de temps après par Viber. Une absence pointée du doigt, notamment par Edward Snowden, qui n’a de cesse de militer pour cette forme de protection depuis plusieurs années maintenant. Dans un tweet publié hier, il indique : « La décision de Google de désactiver le chiffrement de bout en bout par défaut sa nouvelle application de messagerie Allo est dangereux et la rend peu sûre. Évitez-la pour l’instant ».
Google's decision to disable end-to-end encryption by default in its new #Allo chat app is dangerous, and makes it unsafe. Avoid it for now.
— Edward Snowden (@Snowden) 19 mai 2016
Comme l’explique Thai Duong de l’équipe de développement de Signal, consulté pour la sécurité d’Allo, l’application de Google disposera bien dans tous les cas du chiffrement. Mais dans le cas des conversations normales, il s’agira de QUIC ou de TLS 1.2. Selon lui, ce choix était inévitable dans le cadre d’une utilisation faisant appel aux bots de Google.
L’interrogation autour de cette décision de Google cristallise le débat sur l’utilité potentielle d’Allo. Pour le chercheur en sécurité Christopher Soghoian, la raison en est simple : « Faire du chiffrement une option était une décision prise par les équipes commerciale et juridique. Elle permet à Google de creuser dans les conversations et de ne pas énerver les gouvernements ».
Un argument percutant ?
Difficile dans l'absolu de vérifier cette assertion, mais il sera tout aussi difficile de nier que les forces de l’ordre ont de quoi être soulagées avec cette annonce. Quand une entreprise disposant de la force de frappe de Google insiste sur les outils de communication, ses choix sont observés de près. Alors que les débats sur la place du chiffrement – particulièrement de bout en bout – ne faiblissent pas, le FBI et les autres sauront gré à Google de cette décision.
En attendant, le tweet de Snowden est pour le moins directif. Mais dans un monde de fonctionnalités, d’immédiateté et d'interfaces agréables, ce point particulier sera-t-il vraiment entendu par le grand public ?
Commentaires (17)
La sécu à deux vitesses de Google, on te vend une porte blindée mais elle n’a pas de serrure par défaut. En même temps, il faut bien pouvoir vendre ses produits plus facilement.
En attendant, le tweet de Snowden est pour le moins directif. Mais dans un monde de fonctionnalités, d’immédiateté et d’interfaces agréables, ce point particulier sera-t-il vraiment entendu par le grand public ?
Bien sûr que non puisqu’il ne l’est déjà pas (entendu) par des personnes un peu plus concernées (industriels, brevets, recherches, etc.)
Non mais Allo quoi …
" />
A boycotter donc…
« Faire du chiffrement une option était une décision prise par les équipes commerciale et juridique. Elle permet à Google de creuser dans les conversations et de ne pas énerver les gouvernements ».
Sans compter l’effet d’inertie: si le mode par défaut est “sans chiffrement”, alors il y aura moins d’effort pour que l’écosystème autour de Allo fonctionne en mode chiffré. La solution de facilité sera de dire “si ca ne fonctionne pas, repassez en mode sans chiffrement”.
On a déjà vu que c’était difficile de basculer en mode sécurisé après coup, par exemple passer en https avec les régie pubs, ou passer en profil non-administrateur avec les applications windows.
Qu’ils mettent un interrupteur “bot google OU chiffrement” facile d’accès alors.
D’ailleurs pourquoi le bot google ne serait-il pas sur le terminal utilisateur ?
C’est juste une excuse pour désactiver le chiffrement ou y a vraiment un problème de puissance de calcul ?
Oui dans mon entourage tout le monde est choqué.
Non enfaite tout le monde s’en fiche et personne sait ce que c’est .
Et je pense même que ça empêchera personne de l’utiliser lol
« Faire du chiffrement une option était une décision prise par les
équipes commerciale et juridique. Elle permet à Google de creuser dans
les conversations et de ne pas énerver les gouvernements ».
Ou bien ils ne mettent pas de E2E pour qu’on parle du produit, et ensuite dire au FBI « vous voyez, le public demande du chiffrement, ce n’est pas notre faute si on le met, c’est juste les prérequis du marché désormais »
Bon, j’y crois moyen, mais je leur laisse le bénéfice du doute.
(les commerciaux qui ne comprennent pas l’intérêt du chiffrement, c’est bien plus crédible
Chiffrement => Pas de bots ou autre fonctionnalité gadget => Moins “in”
" />
On parie combien ?
Le chiffrement est un obstacle pour le modèle économique de google ? si oui, je comprends le choix.
Il ne faut pas oublier que google n’est pas une association caritative mais une entreprise commerciale.
Au delà de l’histoire du FBI, je pense que c’est déjà dans un premier temps parce qu’Alphabet vit encore majoritairement de ses régies publicitaires.
Et que c’est plus difficile d’espionner quand tout est chiffré de bout en bout.
Un instant: Je dois être enrhumé du bulbe, mais vous pouvez m’expliquer la différence entre un appel (une conversation) via votre opérateur (de 06 à 06) et l’appli de goggle ? je comprends pas l’utilité vu que la très grande majorité des gens on des forfaits illimités sur la voix. Alors, pourquoi se prendre la tête ? (bon, on peut me rétorquer que si votre correspondant est au Guatémala…)
J’aime bien Hangouts moi 
" />
D’ailleurs le client Chrome est vraiment bien foutu.
Déjà que je désactive systématiquement Hangouts, alors ça… J’espère que ça ne sera pas installé de force comme les autres applis de Google
" />
la France est l’un des seuls pays où on a de l’illimité sur la voix, tout simplement.