jeudi 19 octobre 2017

Accueil du site > Informatique > Sécurité Informatique > Messageries instantanées : mots de passe et conversations sont-ils (...)

Messageries instantanées : mots de passe et conversations sont-ils sécurisés ?

ZDNet.fr

mercredi 11 juin 2008, sélectionné par Spyworld

logo

Yahoo Messenger, AIM, Lotus Sametime, Skype ou Google Talk... Les messageries instantanées n’utilisent pas toutes le chiffrement pour protéger connexions et conservations... Quel niveau de sécurité offrent-elles ? Tour d’horizon.

Peut-on faire réellement confiance à la sécurité des solutions de messagerie instantanée, largement répandues y compris en entreprise ? Le besoin de protection n’a jamais été aussi important, puisque les conversations échangées sur ces réseaux peuvent intéresser des pirates : grâce à des outils faciles d’accès, ils ont le moyen de les consulter y compris en temps réel.

Or tous les réseaux n’offrent pas le même niveau de confidentialité et de sécurité. Pour faire le point, notre rédaction américaine a fait le tour des fournisseurs de solutions de messageries instantanées populaires, en leur posant dix questions.

Le chiffrement n’est toujours pas une évidence

D’emblée, il apparaît que la sécurité, et notamment le chiffrement, ne sont toujours pas une évidence, douze ans après l’arrivée de ICQ. Seule la moitié des services l’ont intégré : AOL Instant Messenger, Google Talk, Lotus Sametime d’IBM et Skype.

Petite précision utile : aucun des fournisseurs n’indique conserver trace du contenu des communications. Concernant les données de connexion, Microsoft affirme n’en garder aucune, tandis que Google et Skype assurent les supprimer rapidement. Ce qui explique l’usage modéré du chiffrement.

Le chiffrement est pourtant cruciale Avec une connexion sans fil ouverte, il suffit de télécharger un logiciel tel que dSniff pour intercepter des communications non chiffrées. À titre d’exemple, la police américaine dispose d’un plug-in fourni par l’éditeur WildPackets permettant d’intercepter et de consulter des conversations mises sur écoute - e-mail, appels VoIP sont aussi dans la liste.

Pour autant, se targuer d’utiliser un système de chiffrement ne suffit pas. Si l’algorithme n’est pas assez puissant ou si des erreurs ont été commises lors de son implémentation, il peut être facile à contourner. L’étude manque donc, de fait, de précision à ce niveau.

Facebook Chat montré du doigt

Elle n’est d’ailleurs pas exhaustive, puisque certaines solutions de messagerie n’apparaissent pas en tant que tel. C’est le cas de Jabber, qui est intégré à Google Talk, iChat d’Apple, Adium (OS X), Trillian Pro (avec un plug-in) et Psi. Il utilise le chiffrement tant pour la connexion que pour protéger les conversations.

Jabber mérite une mention spéciale même s’il ne figure pas dans le tableau. Alors que la quasi-majorité des fournisseurs interrogés utilise des systèmes fermés, propriétaires, il repose sur des standards ouverts définis par l’IETF (Internet Engineering Task Force). Jabber, connu sous le nom technique XMPP, permet aux entreprises de gérer leurs propres serveurs Jabber, en offrant plus de souplesse.

La palme du mauvais candidat va à Facebook Chat, qui s’avère le moins sûr et le moins respectueux de la vie privée. Il fait l’impasse sur le chiffrement pour protéger les connexions - permettant à autrui de faire une moisson de mots de passe -, et les conversations. Contacté, Facebook s’est refusé clairement à tout commentaire.

Apple a, quant à lui, été écarté de l’enquête, car son logiciel iChat utilise le réseau d’AOL Instant Messenger. Les utilisateurs de Macintosh disposant d’un abonnement au service .Mac (désormais rebaptisé MobileMe) peuvent activer le chiffrement pour la messagerie instantanée, les conversations audio et vidéo, et les transferts de fichiers.


Connexion (log-in) sécurisée
Conversions sécurisées
Connexions utilisateur conservées dans les logs
Logs du contenu des messages conservés Durée de conservation
AOL AIM
Oui
Oui
Oui
Non
Pas de réponse
AOL ICQ
Oui
Non
Oui
Non
Pas de réponse
Facebook Chat [1]
Non
Non
Refuse de répondre
Refuse de répondre [2]
Refuse de répondre
Google Talk
Oui
Oui [3]
Oui
Non [4]
4 semaines
Lotus Sametime d’IBM
Oui
Oui
Oui
Paramétrable
Paramétrable
Windows Live Messenger de Microsoft
Oui
Non [5]
Non
Non
-
Skype
Oui
Oui
Oui
Non
« Pas longtemps »
Yahoo Messenger
Oui
Non
Oui
Non
« Aussi longtemps que nécessaire »


- [1] Malgré un délai d’une semaine, Facebook a refusé de répondre aux questions.
- [2] Réponse ambiguë chez Facebook : le site indique à la fois que l’historique des conversations « n’est pas enregistré dans les logs en permanence », et qu’il est archivé pendant 90 jours.
- [3] Le chiffrement est activé par défaut sur le client téléchargeable, désactivé par défaut pour le web, et n’est pas pris en charge par le gadget Google Talk.
- [4] Paramétrable : les utilisateurs peuvent choisir d’archiver leurs conversations Gmail s’ils le souhaitent.
- [5] Les conversations ne sont pas chiffrées, mais les fichiers échangés via Windows Live Messenger le sont.


Envoyer : Newsletter Imprimer : Imprimer Format PDF : Enregistrer au format PDF PartagerPartager :