News

Sécurité des applis de visioconférence : Signal au top, Zoom réagit enfin à ses failles

30 avril 2020

D’après nos tests, les applications de visioconférence sont loin d’être toutes logées à la même enseigne en matière de sécurité et de confidentialité. Signal montre l’exemple tandis que Zoom, avec sa dernière mise à jour, vient seulement de réagir à des lacunes que nous avons jugées très graves. Sur 11 applis, seules 4 présentent des risques minimes.

Elles auront été les stars du confinement. Mais sont-elles à la hauteur de leur soudaine popularité ? Les applications de visioconférence ont connu un essor sans précédent durant les mois de mars et avril 2020, sans pour autant que leur sécurité soit toujours irréprochable. Quant à leur respect de la vie privée, il continue à poser question dans de nombreux cas. Il s’agit pourtant d’aspects essentiels pour des applis de communication.

Une affaire de cryptage et de commerce de données

Un mauvais cryptage de vos appels peut permettre à des personnes malveillantes de les écouter. Il existe heureusement des normes minimales auxquelles les développeurs sont censés se conformer. Il en va de leur intérêt de le faire et, hormis quelques-uns, ils semblent l’avoir compris.

Quant au principe du cryptage de bout en bout ("end to end encryption"), qui rend vos conversations totalement privées, il n’est pas encore systématique. Pourtant, s’il n’est pas implémenté, vos messages et appels restent consultables par le développeur et les parties tierces de son choix.

La confidentialité de ces applications est donc tout sauf une évidence. On peut même dire que, par défaut, elle n’est pas la priorité de certains développeurs, qui trouvent un intérêt commercial à exploiter la quantité gigantesque de données qui transitent par eux.

Dans notre test de 11 applications, l'accent a donc été mis sur ce que font réellement ces programmes de vos données. Par exemple, votre adresse e-mail et adresse IP sont-elles envoyées au serveur de l’appli, voire à des serveurs tiers ? Les appels sont-ils cryptés ? Ce cryptage est-il réalisé de bout en bout ?

N’utilisez pas Zoom sans l’avoir mis à jour

Comme le montre le cas de Zoom, il s’est avéré également utile de comparer nos résultats avec les promesses faites par les applis à leurs utilisateurs. En effet, Zoom a longtemps prétendu disposer d’un cryptage de bout en bout, ce qui n'a jamais été le cas, y compris dans sa mise à jour la plus récente. Jusqu’à cette dernière version (5.0), il prétendait aussi avoir mis en place un cryptage AES 256 bits alors qu'en réalité, il s'agissait d’un cryptage AES 128 bits, bien plus faible.

La version 5.0 de Zoom, sortie fin avril, semble avoir corrigé ce dernier point avec beaucoup de retard, ainsi que d’autres éléments de sécurité pourtant basiques. Nous étudierons cette mise à jour en détail pour voir si elle est à la hauteur de ses promesses. Entre-temps, veillez à ne pas utiliser Zoom sans avoir installé cet update.

Seule une poignée d’applis présente des risques minimes

Comme attendu, les résultats de notre test sont mitigés. Seules quatre applis présentent des risques minimes, voire quasi-inexistants. Les autres applis ne sont pas déconseillées pour autant : sachez simplement qu’elles ont tendance à partager davantage vos données à des tiers.

Si votre vie privée est pour vous une préoccupation majeure, Signal est à recommander puisqu’il est le seul à avoir ouvert son code source, c’est-à-dire à offrir une transparence totale à ses utilisateurs. Dans le cas des autres applis, il restera toujours une part de doute sur les données exactes qu’elles collectent.

Application Risque Explication
Facetime Faible Cryptage de bout en bout. Aucune donnée partagée avec des tiers.
Google Duo Faible Les seules données envoyées à Google concernent l'appareil utilisé.
Signal Faible

La meilleure appli en matière de sécurité et confidentialité : non seulement elle utilise le cryptage de bout en bout, elle n’envoie aucune donnée, y compris à ses propres serveurs. C’est aussi la seule appli de ce test qui a ouvert son code source, pour une transparence totale. Attention, Signal ne permet de passer des appels qu'entre deux personnes. Vous ne pouvez donc pas l'utiliser en groupe.

 
Whatsapp Faible Bien qu’elle soit la propriété de Facebook, cette appli utilise le cryptage de bout en bout.
Messenger Moyen Le cryptage de bout en bout n’est pas activé par défaut. Facebook peut donc lire vos conversations s'il le souhaite et aussi les transmettre à des tiers (y compris aux autorités). Pour augmenter votre confidentialité, optez pour le mode secret. C'est d'ailleurs uniquement dans ce mode que le cryptage de bout en bout est disponible, et uniquement pour les messages texte. Messenger collecte également des données sur l'appareil mais rien d'alarmant.
Skype Moyen Cryptage de bout en bout pour les messages écrits, mais pas les vidéos.
Snapchat Moyen Cryptage de bout en bout uniquement sur les "snaps". Envoie des données de l’appareil à des tiers.
Viber Moyen Cryptage de bout en bout mais utilisation de nombreux trackers qui nuisent à la confidentialité.
Hangouts Moyen Pas de cryptage de bout en bout. Envoie des données de l’appareil à ses propres serveurs.
House Party Elevé Pas de cryptage de bout en bout. Envoie un grand nombre de données à ses propres serveurs, ainsi qu’à des tiers.
Zoom Elevé N’utilise pas le cryptage de bout en bout, alors même qu’il prétend le faire. Ne collecte pas beaucoup de données, mais présente des problèmes de sécurité qui permettent à un intrus d’entrer facilement dans une conversation. La version 5.0 est censée avoir corrigé ceci, de même que le niveau de cryptage qui était jusqu’ici d’une qualité inférieure à celle promise. N’utilisez pas cette appli sans l’avoir mise à jour.

Quelle application choisir et comment l’installer ?

Vous voulez en savoir plus sur les 11 applis que nous testées ? Consultez notre dossier complet à leur sujet. Nous vous expliquons aussi, pour les cinq plus populaires d’entre elles, leur procédure d’installation, pas à pas.

Vers le dossier des applis de visioconférence