Les 9 services de messagerie mobile et Internet les plus sécurisés et les plus confidentiels

14 Nov 2014

A l’ère de la surveillance sur Internet, la confidentialité et la sécurité de nos services de messagerie est devenue indispensable. L’Electronic Frontier Foundation a récemment publié une analyse mesurant avec précision le taux de sécurité et de confidentialité d’une longue liste de services de messagerie mobiles et Internet. Quelques fournisseurs ont passé le test haut la main, d’autres ont lutté pour obtenir des résultats corrects, mais pour certains c’était simplement catastrophique. Aujourd’hui on va se concentrer sur les bons élèves et la semaine prochaine sur les mauvais.

Messagerie Instantanée sécurisée

L’EFF a attribué des notes positives et négatives et les a classées en sept catégories. Pour le Kaspersky Daily, les fournisseurs doivent répondre de manière affirmative a au moins six des questions de la liste suivante (cependant on attribuera la moyenne à  partir de quatre réponses positives) :

1. Le chiffrement de données est-il en transit?

2. Les données sont-elles chiffrées de telle forme que même le fournisseur ne peut les déchiffrer ?

3. Est-il possible d’identifier la vraie identité des contacts ?

4. Le fournisseur applique-t-il une politique de confidentialité persistante ? (clefs de chiffrement éphémères, qui garantissent que la découverte par un adversaire de la clé privée d’un correspondant ne compromet pas la confidentialité des communications).

5. Le code est-il à source ouverte et donc à la disposition du public ?

6. Les procédures d’exécution de chiffrage sont-elles certifiées ?

7. Un contrôle de sécurité indépendant a-t-il été effectué dans les 12 derniers mois ?

Ces sept questions servent à déterminer quels sont les services qui offrent une meilleure protection contre la surveillance gouvernementale ou criminelle et la collecte de données corporatives. Cela étant dit, ni l’EFF ni le Kaspersky Daily ne soutiennent officiellement les programmes suivants. La liste indique juste quelles applications suivent les règles en permanence.

Le top du top : sept réponses positives

Selon l’EFF, six applications ont répondu de manière affirmative aux sept questions.

ChatsecureOrbot

Chatsecure est un service de messagerie gratuit au code source ouvert crypté, qui fonctionne sur iPhone et Android. Il a été développé par le Guardian Project et répond à toutes les conditions établies par l’EFF, mais seulement lorsqu’il est utilisé simultanément avec le plugin privé Orbot par Tor.

CryptoCat

CryptoCat est un service de messagerie au code source ouvert crypté disponible sur les navigateurs Chrome, Firefox, Safari et Opera ainsi que sur les systèmes d’exploitation OS X de Mac et sur iPhone.

Cet été, les développeurs de CryptoCat ont collecté des fonds pour mettre au point une version Android et permettre le chiffrement des vidéos sur chat.

Signal and Redphone

Signal, RedPhone et Textsecure sont des plateformes de messagerie sécurisées pour iOS ainsi que des plateformes sécurisées d’appel et de SMS pour Android, et ayant toutes été développées par Whisper Systems. Chacune d’entre elles est gratuite, au code source ouvert et proposent un chiffrement de bout-en-bout et un espace de stockage sécurisé.

Silent Circle

Silent Phone et Silent Text sont des services d’appel et de messagerie sécurisés, développés par Silent Circle. Ces services sont payants mais compatibles avec iOS et Android, et fonctionnent sur le bureau. Silent Circle a aussi développé son propre smartphone sécurisé en apportant quelques changements au système d’exploitation Android, baptisé Blackphone et l’entreprise propose de l’assistance aux sociétés clientes.

Presque parfait : six réponses positives

jitsiostel

Jitsi est un logiciel libre qui propose des services de messagerie instantanée, audio, vidéo, et de bureau chiffrés. Il prend aussi en charge des protocoles de messagerie parmi les plus répandus quand on l’associe au service d’appel chiffré Ostel, mais il ne répond pas par une affirmation à la question de l’EFF : Un contrôle de sécurité indépendant a-t-il été effectué dans les 12 derniers mois ?

Mailvelope

Mailvelope est une extension de navigateur permettant d’envoyer des e-mails cryptés sous un chiffrage OpenPGP standard. Le service est compatible avec Yahoo, Gmail, Outlook et GMX. Elle aurait pu faire partie de ceux qui ont passé le test haut la main si elle déployait une confidentialité persistante parfaite.

pidgin-adium

La messagerie Off The Record (OTR) d‘Adium pour Mac et les versions de Pidgin’s sous Windows sont essentiellement des plugins qui transforment la messagerie OTR en une application de chat. Ces deux services sont en bonne position dans le classement de  l’EFF mais aucune des deux n’a subi un contrôle de sécurité indépendant au cours des douze derniers mois.

Retroshare

RetroShare se présente comme un service de communication décentralisé, de plateforme croisée et au code source ouvert. Les utilisateurs peuvent chatter, partager des fichiers et s’identifier grâce à leur vraie identité en toute sécurité. Et pourtant, comme plusieurs de ses collègues, il se classe dans la catégorie des presque parfaits, car lui non plus n’a pas passé de contrôle de sécurité indépendant.

subrosa

Subrosa est aussi une plateforme qui chiffre ses communications de bout-en-bout. Elle se placerait en tête du classement si elle appliquait la confidentialité persistante, qui permettrait de sécuriser les anciennes communications si jamais la clé de chiffrement devenait publique.

Mention passable :

Pour finir, on a aussi voulu récompenser les services qui ont répondu de manière affirmative à plus de la moitié des questions de l’EFF. FaceTime et iMessage d’Apple suivent des lignes de conduite exemplaires en matière de sécurité ; iPGMail, PGP pour Mac (GPGTools), PGP pour Windows (Gpg4win) sont aussi sur la bonne voie ; SureSpot, l’application de messagerie chiffrée pour iOS et Android ont répondu de manière affirmative à cinq des questions ; tout comme le service de messagerie privée basé sur le cloud ; et le service de messagerie au chiffrage de bout-en-bout Threema.

La semaine prochaine nous repasseront ensemble la liste des services de messagerie les moins sécurisés. Vous pouvez consulter l’analyse complète de l’EFF et consulter le classement de vos services de messagerie préférés.