Connexion
Abonnez-vous

Selon l’EFF, trop de solutions de messagerie ne chiffrent pas assez leurs données

Le meilleur compromis ? iMessage. Sic.

Selon l'EFF, trop de solutions de messagerie ne chiffrent pas assez leurs données

Le 06 novembre 2014 à 13h00

L’EFF a publié mardi soir un important comparatif se penchant sur la sécurité des solutions de messagerie. La fondation consacre iMessage comme le meilleur dans la catégorie grand public, mais confirme surtout un point abordé récemment par Dropbox : il est très difficile d’allier la facilité d’utilisation et la meilleure sécurité possible.

iMessage : le meilleur compromis entre sécurité et simplicité selon l'EFF

Le thème de la sécurité est de plus en plus abordé depuis plus d’un an. C’est l’héritage direct des révélations d’Edward Snowden, qui ont eu une conséquence intéressante : la sécurité, de son statut de fonctionnalité « rébarbative », devient graduellement un argument marketing. Il y a un mois, on a pu voir ainsi comment des Coréens quittaient l’application Kakao pour Telegram et ses sessions chiffrées pour la seule raison que le gouvernement avait annoncé une surveillance renforcée des réseaux.

 

L’Electronic Frontier Foundation a publié mardi soir un tableau comparatif des différentes fonctionnalités de sécurité des solutions de messagerie, qu’elles soient mobiles ou pas. L’occasion de voir que les solutions les plus utilisées ne sont pas forcément toujours les plus recommandées dans ce domaine.

 

Le tableau réserve en effet quelques surprises. Comme l’explique la fondation dans son communiqué, le duo formé par iMessage et FaceTime (Apple) est à ce jour la solution grand public la plus sécurisée, ce qui ne signifie pas qu’elle est la plus sûre. L’EFF aborde ici le fameux « curseur » que nous abordions hier lors de la réaction du PDG de Dropbox face aux critiques de Snowden : la difficile cohabitation de la facilité d’utilisation et de la sécurité renforcée.

Attention aux solutions les plus couramment utilisées 

Les facteurs pris en compte par l’EFF sont les suivants :

  1. Transport chiffré de l’information
  2. Chiffrement de bout-en-bout (l’éditeur n’a pas la clé)
  3. Une vérification indépendante de l’identité des contacts
  4. Confidentialité persistante (chiffrement réalisé sur la base de clés éphémères)
  5. Code lisible et compilable par des tiers (aucune licence particulière exigée)
  6. Méthode de chiffrement clairement documentée
  7. Audit indépendant du code dans les douze derniers mois

Sur ces critères, iMessage et FaceTime échouent deux fois : le code n’est pas lisible (évidemment), et l’identité des correspondants ne peut pas être vérifiée de manière indépendante. Pour la fondation, les solutions d’Apple ne fournissent d'ailleurs « pas de protection complète contre des formes ciblées et sophistiquées de surveillance ». Elle n'aborde cependant ce qui reste malgré tout une vraie limite à l'utilisation d'iMessage : sa seule disponibilité sur les produits de Cupertino.

 

Six solutions de messagerie remplissent en tout cas toutes les conditions et ressortent donc comme les stars de la sécurité : ChatSecure, CryptoCat, Signal/Redphone, Silent Phone, Silent Text et TextSecure. Moins pratiques globalement, elles ne nécessitent pour autant pas de grandes études pour être utilisées, notamment CryptoCat.

 

À l’inverse, quelques-unes des solutions les plus utilisées au monde feraient bien de travailler à renforcer la sécurité de leurs communications. C’est particulièrement les cas de QQ, Mxit et du client Yahoo Messenger pour ordinateurs, qui n’ont aucun chiffrement. Google, Facebook, WhatsApp ou encore le fameux Secret n’ont pas de chiffrement de bout-en-bout. Le très utilisé SnapChat s’en sort avec le minimum vital, à savoir le chiffrement des communications, mais rien de plus (tout comme Viber). Telegram, vers lequel les Coréens sont allés, s’en sort relativement bien, mais n’a pas de confidentialité persistante, tandis qu’aucun audit n’a été réalisé dans les douze derniers mois. Quant à Skype, les communications sont chiffrées de bout-en-bout, mais pas plus (pas de confidentialité persistante ni de documentation notamment).

 

L’EFF indique que ces résultats font partie intégrante de sa « Campaign for Secure and Usable Cryptography ». La fondation espère que ce type d’information aidera les utilisateurs à faire des choix plus avisés et qui ne tiendront pas seulement compte de la simplicité du « hype » du moment.

Commentaires (12)

Vous devez être abonné pour pouvoir commenter.

Abonnez-vous
votre avatar

et au niveau des messageries mail classiques, il est enfin possible de réaliser des échanges chiffrés simplement ou bien c’est toujours à base de GPG lourdingue?

votre avatar

Y a bien le chiffrement S/MIME, a base de certificat.

votre avatar

Même si jamais rien n’est parfait, ce document apporte un éclairage simple sur la sécurité de ces outils de communications.



Instructif (Moi qui louais un certain crédit à la solution de BlackBerry)

votre avatar

y a quand même un truc qui me chiffonne dans le tableaux de EFF c’est que pour eux c’est négatif que la méthode de chiffrement ne soit pas documenté

le coup comme quoi l’éditeur a pas la clef …. no rien



puis le “Une vérification indépendante de l’identité des contacts” kesako ??

votre avatar

GPG n’a rien de lourdingue s’il est correctement intégré au client mail.

votre avatar

RTFA! ;)  c’est détaillé en dessous du schéma de l’EFF dans le point 3

votre avatar

du S2S à la jabber serait quand même pas mal plutôt que d’être obligé de faire du chiffrage de client à client en utilisant des plugin externes et des méthodes de transmission de certificats qui peuvent parfois être source de problèmes…

votre avatar

La version de Cryptocat pour Android se fait attendre dommage.

votre avatar

Quand je vois le nombre de commentaires que suscite cette  news … ça prouve bien que les gens, même sur un site comme celui-ci (!), font passer le côté pratique des applications bien avant les questions de vie privée et de sécurité de leurs données !

votre avatar







Glyphe a écrit :



Quand je vois le nombre de commentaires que suscite cette  news … ça prouve bien que les gens, même sur un site comme celui-ci (!), font passer le côté pratique des applications bien avant les questions de vie privée et de sécurité de leurs données !







Tout à fait d’accord avec toi. Avant de critiquer la lourdeur de gpg (comme les messages au dessus), il faudrait peut être se renseigner sur la façon de sécuriser une communication. Le fait qu’une application de messagerie ait un bouton “sécuriser” ou un cadena dessineé ne prouve strictement rien du tout. Gpg est une façon simple et efficace de confidentialité et de signature pour peu qu’on s’intéresse plus de 5 minutes. Et oui, il faut parfois utiliser son cerveau et de sortir les doigts au lieu de gober du pré mâcher.


votre avatar







Glyphe a écrit :



Quand je vois le nombre de commentaires que suscite cette  news … ça prouve bien que les gens, même sur un site comme celui-ci (!), font passer le côté pratique des applications bien avant les questions de vie privée et de sécurité de leurs données !







Bah personnellement j’utilise en majorité Skype pour les conversations banales de tous les jours.



Lorsque j’ai besoin de parler de choses plus sensibles (la gestion de notre site web par exemple), j’utilise un programme, mais il n’est pas listé ici.



Adresse Web :

http://www.toutes-les-solutions.fr/phpbb/topic4075.html



(il existe aussi pour Windows)


votre avatar







FRANCKYIV a écrit :



discours marketting à la con pour provoquer des clics vers son site





Ça te coûtait quoi de dire qu’il s’agissait d’Utox avant d’y mettre un lien vers ton site?


Selon l’EFF, trop de solutions de messagerie ne chiffrent pas assez leurs données

  • iMessage : le meilleur compromis entre sécurité et simplicité selon l'EFF

  • Attention aux solutions les plus couramment utilisées 

Fermer