11 applications de messagerie non sécurisées pour mobile et Internet

La Electronic Frontier Foundation a récemment noté toute une série de services de messagerie pour mobile et Internet en se basant sur leur sécurité et leur confidentialité. Nous vous présentons les mauvais élèves.

Nous parlions la semaine dernière de la liste des services de messagerie sécurisés publiée par l’Electronic Frontier Foundation et avons réalisé un liste de 9 services de messagerie mobile et Internet ayant obtenu de bon résultats pour leur confidentialité et leur sécurité. Cette semaine nous vous présentons les mauvaises élèves de cette liste.

Curieusement, si la semaine dernière, la liste des messageries qui mettent l’accent sur la sécurité et la confidentialité avaient au premier abord l’air obscur, la liste de cette semaine est malheureusement bien trop familière. C’est pour cela que nous nous concentrerons d’abord sur les messageries les plus populaires avant de parler aussi des moins populaires juste au cas où.

Le contexte :

L’EFF a noté chaque service selon sept catégories. Pour Kaspersky Daily, les fournisseurs de service ne passent pas le test quand ils ont seulement reçu zéro, un ou deux  » oui  » dans les catégories suivantes :

  1. Le chiffrement de données est-il en transit?
  2. Les données sont-elles chiffrées de telle forme que même le fournisseur ne peut les déchiffrer ?
  3. Est-il possible d’identifier la vraie identité des contacts ?
  4. Le fournisseur applique-t-il une politique de confidentialité persistante ? (clefs de chiffrement éphémères, qui garantissent que la découverte par un adversaire de la clé privée d’un correspondant ne compromet pas la confidentialité des communications).
  5. Le code est-il à source ouverte et donc à la disposition du public ?
  6. Les procédures d’exécution de chiffrage sont-elles certifiées ?
  7. Un contrôle de sécurité indépendant a-t-il été effectué dans les 12 derniers mois ?

Ensemble, ces sept points sont conçus pour mesurer quels services offrent la meilleure protection contre la surveillance gouvernementale, l’espionnage criminel et la collecte de données corporatives. Cela étant dit, ni l’EFF ni Kaspersky Daily ne supportent officiellement les programmes suivants. La liste indique simplement les applications qui ne suivent jamais les meilleures pratiques.

Les très mauvaises : aucune étoile

Seules les messageries mobiles Mxit et QQ n’ont reçu aucune étoile, mais il y a de grandes chances pour que vous ne les ayez jamais utilisées. Et vous ne devriez jamais le faire : ces applications ne sont pas du tout sécurisées.

Les mauvaises : une étoile

Malheureusement, quatre services de messagerie que nous avons presque tous utilisés ont reçu seulement une étoile sur sept.

Yahoo-Messenger-logo

Le long processus de chiffrement du service de messagerie de Yahoo a seulement réussi à chiffrer les communications de l’utilisateur en transit. Cela signifie que Yahoo peut lire vos messages ou les faire parvenir aux autorités s’il le souhaite. Cela étant dit, ils émettent des rapports de transparence semestriels détaillant la quantité d’informations qu’ils communiquent au gouvernement.

Avec Yahoo ! Messenger, vous ne pouvez pas non plus vérifier l’identité de vos contacts et il ne pratique pas non plus une confidentialité irréprochable, n’ouvre pas son code aux analyses indépendantes et ne documente pas correctement la conception de son système de sécurité. Enfin, la société n’a pas réalisé d’audit de code récent. Cela étant dit, l’offre plus large de Yahoo sur le Web a réalisé de nombreux progrès en comparaison avec l’état de son chiffrement il y a deux ans, il y a donc peut-être de l’espoir pour son système de messagerie aussi.

skype-logo

Le très célèbre service d’appel et de messagerie de Microsoft, Skype, a obtenu un résultat aussi mauvais que celui de Yahoo ! Messenger, et a seulement reçu une étoile pour le chiffrement des données en transit. Il n’a reçu aucune autre étoile dans les autres catégories. Skype a également connu ses déboires en matière d’intégrité de ses communications et d’accusations quant à leur surveillance, le service a notamment connu les foudres du public pour son possible espionnage. Microsoft a nié ces affirmations.

Blackberry-Messenger-Logo

Blackberry Messenger a également reçu le même nombre d’étoiles que Yahoo ! Messenger et Skype. Le service géré par la société anciennement connue sous le nom de Research In Motion (ou RIM) chiffre bien les communications en transit, ce qui est une bonne chose, mais il ne chiffre pas les communications pour que le fournisseur (BlackBerry) ne puisse pas les lire, ne permet pas aux utilisateurs de vérifier les contacts, ne protège pas les anciennes communications si vos clés ont été volées, n’ouvre pas ses codes aux analyses indépendantes, ne documente pas correctement son système de sécurité, et n’a pas autorisé d’audit de code depuis plus d’un an.

AIM-Logo

AIM, peut-être plus connu sous le nom de American Online’s Instant Messenger existe depuis longtemps. De la fin des années 90 au milieu de l’année 2000, le service de messagerie instantanée d’AOL a régné en maître. Alors que sa popularité n’est plus ce qu’elle était, surtout au prêt des adolescents, il est encore très utilisé. Malheureusement, comme ceux mentionnés dans cette liste, il chiffre les données en transit mais ne fait pas grand-chose de plus.

L’application multiplateforme Secret Message se vente d’être une application sécurisée et le client e-mail Hushmail se dit être confidentiel alors que ces applications ne font que chiffrer les données en transit. Les plateformes Kik et eBuddy XMS ne font pas de publicité mensongère sur leur sécurité, mais elles ont reçu la même étoile que les applications précédemment citées.

Les  » peut mieux faire  » : deux étoiles

La célèbre application de partage d’images et de vidéos éphémères, SnapChat, a reçu deux étoiles. Une pour le chiffrement des données en transit car elles passent de l’expéditeur au destinataire à travers les services de SnapChat. Et une autre, pour avoir réalisé un audit l’année dernière. Comme de nombreux autres services sur cette liste, SnapChat a essuyé de nombreuses critiques, non pas seulement pour son manque de sécurité mais aussi pour ne pas tenir sa promesse principale.

L’idée centrale derrière SnapChat est que les messages, photos ou vidéo apparaissent uniquement pendant un temps limité déterminé par l’expéditeur avant de disparaître. Néanmoins, le destinataire peut sauvegarder les images en réalisant une capture d’écran, bien que l’expéditeur en sera alors alerté. Encore plus troublant, une application appelée SnapHack contourne l’aspect éphémère de SnapChat en permettant aux destinataires de sauvegarder les Snaps. Et enfin, les chercheurs ont répété de nombreuses fois que les images ne disparaissent pas vraiment mais deviennent tout simplement plus difficile à trouver.

Hangouts_Icon

Il fait certainement partie du top 3 des applications les plus populaires du classement de l’EFF : Google Hangouts n’a obtenu que deux étoiles. Hangouts est multiplateforme et ce n’est pas seulement un service de Chat intégré à Gmail mais également d’un chat natif pour Google Plus ainsi que pour les services Android. Google chiffre les données en transit pour Hangouts et a eu un audit l’année dernière, mais il peut lire vos messages, l’utilisateur de peut pas vérifier la vraie identité des contacts, il ne déploie pas de confidentialité parfaite, son code n’est pas ouvert aux analyses indépendantes et son système de sécurité n’est pas documenté correctement.

FacebookMessenger

Le chat de Facebook, le service de messagerie de Facebook, a également obtenu deux étoiles. Aussi populaire que certains autres services du classement, Facebook Chat chiffre les données en transit et a été analysé mais il n’obtient aucune étoile dans les autres catégories.

viber-logo

Viber est certainement l’application la moins populaire parmi la catégorie des applications à deux étoiles. Bien qu’il soit connu comme une application sécurisée, il a seulement obtenu deux étoiles pour le chiffrement des données en transit et la réalisation d’un audit.

WhatsApp-Logo

Ce qui nous amène au cas très curieux de WhatsApp. WhatsApp est un service de messagerie mobile extrêmement populaire. C’est une sorte d’alternative aux SMS (car il utilise Internet au lieu du réseau cellulaire). Alors que l’EFF a donné au service les deux mêmes étoiles qu’elle a données aux autres de cette catégorie, je pense que cela pourrait bientôt changer. La raison de ce changement est que cette semaine, WhatsApp s’est associé à Open Whisper Systems afin d’ajouter le chiffrement par défaut à son application Android. La raison pour laquelle nous pensons que ce partenariat de WhatsApp pourrait changer les choses est que Whisper Systems’ Signal, RedPhone, SilentText et SilentPhone ont tous obtenu 7 étoiles dans le classement de l’EFF. En d’autres termes, il semble que WhatsApp deviendra considérablement plus sécurisé dans les jours et les mois à venir.

Conseils