L’Electronic Frontier Foundation vient de publier une fiche de score des messageries instantanées.
Elle utilise sept critères pour comparer le niveau de sécurité de ces applications :
– Les données sont-elles chiffrées en transit ?
– Les données sont-elles chiffrées pour que le fournisseur de service ne puisse les lire ?
– Est-il possible de vérifier l’identité des contacts ?
– Les communications passées sont-elles sécurisées si la clé de chiffrement est volée ?
– Le code est il disponible pour une analyse indépendante ?
– La sécurité est-elle documentée convenablement ?
– Le code a-t-il été audité ?
Les trois derniers critères nous semblent problématiques pour des applications commerciales. Le troisième critère nous semble discutable – quel niveau de vérification de l’identité des contacts, tout comme le septième – qui a audité le code et quelles sont la qualification et l’indépendance de l’auditeur.
Pour autant, cette fiche de score donne une idée générale de la sécurité des messageries.
Il ressort que la plupart ne sont pas sûres, et notamment les plus populaires.
Seules 6 applications sur 39 remplissent tous les critères : ChatSecure, CryptoCat, Signal (RedPhone), Silent Phone, Silent Text et Text Secure.
Notons que les messages sont encryptés de façon à ce que les fournisseurs de service ne puissent pas les lire pour les applications suivantes (liste non exhaustive) : FaceTime, iMessage, Skype.
À l’inverse, ils sont lisibles par les fournisseurs suivant, qui souvent mettent en avant leur souci de la sécurité (liste non exhaustive): Facebook chat, Google Hangouts, Secret, WhatsApp, Yahoo! Messenger.