Pendant la pandémie, Mozilla informe les consommateurs sur les fonctionnalités en matière de sécurité et de confidentialité des applications d’appels vidéo populaires, ainsi que sur leurs failles.
[Mise à jour du 29 avril : Après la publication du guide de Mozilla, Discord a modifié son système de mots de passe. Par conséquent, Discord respecte désormais les critères élémentaires de sécurité de Mozilla. Rendez-vous ici pour en savoir plus.]
Aujourd’hui, le nombre de personnes qui utilisent les applications d’appels vidéo pour gérer leur entreprise, enseigner, consulter des professionnels de santé et rester en contact avec des amis a atteint un record. Il est plus important que jamais que cette technologie soit digne de confiance, mais certaines applications ne respectent pas la vie privée et la sécurité des utilisateurs.
C’est pourquoi Mozilla publie un guide des applications d’appels vidéo populaires, qui répertorie leurs fonctionnalités en matière de confidentialité et de sécurité ainsi que leurs failles. Ces informations permettent aux consommateurs de choisir les applications qui leur conviennent et d’éviter celles qui leur semblent louches.
Ce travail est un ajout au guide *Confidentialité non incluse publié tous les ans par Mozilla, qui évalue les fonctionnalités en matière de sécurité et de confidentialité des produits connectés populaires pendant la période des fêtes. Nous avons créé cette nouvelle édition pour répondre à la demande de notre communauté : le mois dernier, nous avons demandé de quelles informations ses membres avaient le plus besoin en ce moment, et l’immense majorité a souhaité en savoir plus sur la confidentialité et la sécurité des applications d’appels vidéo.
Dans cette dernière édition, les chercheurs de Mozilla ont examiné 15 applications, de Zoom à Skype en passant par HouseParty et Discord. Ils ont répondu à des questions essentielles telles que « Cette application partage-t-elle les données des utilisateurs, et si oui, avec qui ? », « Les utilisateurs sont-ils prévenus quand la réunion est enregistrée ? », « L’application respecte-t-elle les lois sur le secret médical des États-Unis ? » et bien d’autres.
Les chercheurs ont aussi déterminé si les applications respectent ou non les critères élémentaires de sécurité de Mozilla. Ces cinq critères incluent l’utilisation du chiffrement, l’existence de mises à jour de sécurité, la force des mots de passe demandés, la gestion des vulnérabilités et la présence d’une politique de confidentialité.
Au total, 12 applications respectent les critères élémentaires de sécurité de Mozilla : Zoom, Google Duo/Hangouts Meet, Apple FaceTime, Skype, Facebook Messenger, WhatsApp, Jitsi Meet, Signal, Microsoft Teams, BlueJeans, GoTo Meeting et Cisco WebEx.
Trois plateformes ne respectent pas les critères élémentaires de sécurité de Mozilla : Houseparty, Discord et Doxy.me.
Mais les critères élémentaires de sécurité ne sont qu’une des informations fournies dans notre guide. Qu’avons-nous trouvé d’autre lors de nos recherches ?
- Bonne nouvelle pour les consommateurs : la compétition fait rage dans le secteur des applications d’appels vidéo.
- Zoom a été critiqué pour des failles en matière de sécurité et de confidentialité. Étant donné le nombre d’applications d’appels vidéo disponibles, Zoom a agi rapidement pour résoudre ces problèmes. Ce n’est pas une attitude qu’on observe chez des entreprises comme Facebook, qui n’ont pas vraiment de concurrence.
- Quand une entreprise ajoute une fonctionnalité très appréciée par les utilisateurs, les autres suivent rapidement le mouvement. Par exemple, Zoom et Google Hangouts ont popularisé l’utilisation de liens permettant de rejoindre une réunion en un clic, et Skype a récemment mis en place cette fonctionnalité. Et la semaine dernière, Facebook a ajouté le système Messenger Rooms, qui permet à 50 personnes maximum de discuter en même temps sur Messenger, aussi longtemps qu’elles le souhaitent.
- Toutes les applications utilisent une forme de chiffrement, mais tous les chiffrements ne se valent pas.
- Toutes les applications d’appels vidéo examinées dans notre guide disposent d’un système de chiffrement. Mais elles n’utilisent pas toutes le meilleur : le chiffrement de bout en bout. Avec le chiffrement de bout en bout, seules les personnes qui participent à l’appel peuvent accéder à son contenu. Personne ne peut l’écouter, pas même l’entreprise. D’autres applications utilisent le chiffrement côté client, qui équivaut à ce que fait votre navigateur sur les sites web en « HTTPS ». Quand vos données passent d’un point à un autre, elles sont indéchiffrables. Cependant, à l’inverse du chiffrement de bout en bout, une fois que vos données sont sur les serveurs de l’entreprise, elles deviennent accessibles.
- Les applications d’appels vidéo destinées aux entreprises disposent de fonctionnalités différentes de celles qui visent une utilisation au quotidien.
- Ça peut sembler évident, mais la différence est importante. Les applications d’appels vidéo comme FaceTime, Google Duo, Signal et Houseparty offrent des fonctionnalités d’appels vidéo très différentes et une plus grande facilité d’utilisation que les applications ciblant les entreprises, comme Zoom, BlueJeans, GoToMeeting, Microsoft Teams et Cisco Webex. Les consommateurs qui recherchent la simplicité préfèreront éviter les applications destinées aux entreprises. Elles sont plus adaptées aux professionnels qui souhaitent disposer de davantage de fonctionnalités et peuvent payer un abonnement.
- Il existe une grande diversité de risques.
- Facebook n’utilise pas le contenu de vos messages à des fins de ciblage publicitaire. Cependant, la plateforme collecte beaucoup d’autres informations personnelles : votre nom, votre adresse e-mail, votre localisation, la géolocalisation des photos que vous téléchargez, des informations sur vos contacts, des informations sur vous partagées par d’autres, et même toutes les données qui peuvent être collectées à votre sujet quand vous utilisez la caméra. Facebook déclare pouvoir utiliser toutes ces informations personnelles pour vous proposer des publicités ciblées. Le site partage également des informations avec un grand nombre de partenaires tiers, notamment des annonceurs, des vendeurs, des chercheurs universitaires et des services d’analyses.
- WhatsApp est une bonne application d’appels vidéo et gagne des points grâce à son utilisation du chiffrement de bout en bout pour les messages et les appels. Cependant, la plateforme est envahie par la désinformation. En particulier pendant cette période de pandémie, les théories du complot et les fausses informations pullulent sur WhatsApp.
- Houseparty est vraiment plus amusante que d’autres applications de notre liste, mais n’est pas sans défauts. Houseparty semble être un véritable aspirateur à données personnelles (mais leur politique de confidentialité est simple à comprendre et vous l’explique clairement).
- Discord collecte un peu trop d’informations à notre goût. Par exemple, la plateforme collecte des données sur vos contacts si vous la liez à vos comptes sur les réseaux sociaux. Et elle n’est pas sans toxicité : en cherchant bien, vous trouverez des recoins peu reluisants de Discord connus pour des pratiques misogynes, du harcèlement raciste et du trafic d’êtres humains.
- Bonne nouvelle : de nombreuses applications disposent de très bonnes fonctionnalités de sécurité et de confidentialité.
- Toutes les applications proposant une fonctionnalité d’enregistrement alertent tous les participants quand elle est activée.
- La majorité des applications permettent aux hôtes de mettre en place des règles (qui peut réactiver le son ou qui peut partager son écran, par exemple) qui facilitent la résolution rapide des incidents et du « trollage ».
- Les deux applications open source présentées dans le guide (Jitsi Meet et Signal) disposent de protections efficaces de la vie privée.