Le père de Firefox s’est penché sur 15 services de visioconférence pour en vérifier le respect des règles élémentaires de sécurité. Il ne s’agit donc pas de tests complets, mais de ce que l’éditeur nomme les « Minimum Security Standards ».
Cinq critères sont donnés :
- Données chiffrées
- Réactivité sur les mises à jour de sécurité
- Robustesse du mot de passe pour créer et se connecter
- Gestion des vulnérabilités
- Une politique claire de confidentialité
À l’aune de ces paramètres, 12 services sur 15 ont passé le test : Zoom, Google Duo/HangoutsMeet, Apple FaceTime, Skype, Facebook Messenger, WhatsApp, Jitsi Meet, Signal, Microsoft Teams, BlueJeans, GoTo Meeting et Cisco WebEx.
On peut s’étonner de la présence de Zoom, mais Mozilla note que les récentes mises à jour vont dans le bon sens et que les principaux points noirs ont été gommés.
Cela étant, les standards posés par l’éditeur sont effectivement minimaux. On ne saurait s’attendre à moins tellement ils semblent évidents. Trois d’entre eux n’ont pourtant pas réussi le test : Houseparty, Discord et Doxy.me. Sur quoi échoue Discord ? Simplement la création du mot de passe, le service réclamant à peine six caractères. Plus grave, il est possible de ne le composer qu’avec un seul type de caractère. Mozilla a pu utiliser par exemple « 111111 ».
Dans l’ensemble, le billet de Mozilla ne « mange pas de pain » pour des habitués des règles de sécurité, mais a le mérite de rappeler l’essentiel. Notamment que toutes les applications testées chiffrent les données, mais que tous les chiffrements ne sont pas égaux. Rappelons que Zoom n’est passé que très récemment de l’AES-128 au 256.
Commentaires (15)
#1
S’il n’y avait que ça comme problème avec Discord… Son respect de votre vie privée est catastrophique : https://forums.lecrabeinfo.net/topic/10601-discord-et-vie-priv%C3%A9e-article-tr…
" />
#2
Bizarre la fondation Mozilla a choisi RIOT im comme messagerie instantanée interne et elle ne l’inclue pas dans ses tests ?
#3
Quand Discord pète un câble t’oblige à fournir un N° de mobile pour vérifier et débloquer ton compte, c’est pas top en matière de vie privée.
#4
#5
il faudrait surtout que l’implémentation de WebRTC soit un peu plus propre, il y a encore quelques soucis et c’est plutôt gênant de pousser les utilisateurs (j’ai réussi jusqu’à maintenant à maintenir FF comme browser de référence dans ma boite) pas passer sur chrome pour stabiliser une connexion webConf WebRTC
#6
#7
Rappelons que Zoom n’est passé que très récemment de l’AES-128 au 256.
l’AES-128 est largement suffisant aujourd’hui, sauf pour des utilisations ou vous risquez d’être la cible d’une organisation décidée à décrypter vos communications.
128 Bit or 256 Bit Encryption? - Computerphile - Youtube
#8
#9
Oui, mais il faut le lien URL.
En faite, la photo est uploader sur les serveur de discord, qui créer un lien URL et c’est ce lien qui est partagé avec ton contact (c’est la même interface si tu colle l’URL d’une image sur le web).
Il n’y a donc aucune protection qui garantie que seul les personnes dans la conversation puissent accéder aux images partagé, mais pour y accéder, il faut connaitre le lien.
Mais en soit, ce n’est pas caché par Discord, et vu le but premier de Discord (l’information privé attendu serait plus la stratégie de ta guilde dans la prochaine bataille), ce n’est pas forcément un problème de conception. Après, si tu utilises une clé à molette pour enfoncer des vis, ne t’attend pas que ça soit top.
#10
#11
Je viens de revérifier et Discord ne demande pas obligatoirement un numéro de téléphone pour les nouveaux comptes.
#12
Données chiffrées
ZOOM ne chiffre pas de bout en bout; c’est données chiffrées de quelle manière ?
Comment ce produit gère-t-il la vie privée ? Il ne tient pas compte du RGPD ou de manière trés légère
#13
#14
Regarde du côté de la version ESR : non seulement elle permet une meilleure stabilité fonctionnelle (seuls les correctifs sécurité sont déployés au fil de l’eau), et il me semble que l’administrateur gérer assez finement la conf
#15
« Sur quoi échoue Discord ? Simplement la création du mot de passe, le service réclamant à peine six caractères. Plus grave, il est possible de ne le composer qu’avec un seul type de caractère. Mozilla a pu utiliser par exemple “111111”. »
Ah non pitié… En quoi c’est un défaut de sécurité du service ??
Je trouve ça tellement saoulant les sites qui me disent ce que doit ou ne doit pas contenir mon mot de passe !!
Si j’ai pas envie de mettre de chiffre mais que mon mot de passe fait 64 caractères, ça va hein…
Le vrai problème ce sont plutôt les services qui interdisent certains caractères. J’ai du mal à comprendre qu’on ne puisse pas mettre une espace dans un mot de passe, ou qu’il ne puisse pas faire plus de 10 caractères (si si, ça existe encore). Ou qu’on ne puisse pas y mettre un smiley ou autre caractère ésotérique.