Particulièrement active depuis les révélations d'Edward Snowden, l'association Electronic Frontier Foundation publie un classement de trente-neuf applications et services de messagerie avec comme principal critère les meilleures pratiques en matière de sécurité.

Ce vaste champ de la sécurité englobe des préoccupations comme le chiffrement et la confidentialité des communications. La méthodologie de l'EFF a ainsi été guidée par plusieurs questions posées :

  • Les messages sont-ils chiffrés tout au long de leur transit ?
  • Est-ce que le chiffrement empêche le fournisseur du service de lire des communications ?
  • L'utilisateur peut-il vérifier les identités des contacts ?
  • Les anciennes communications sont-elles sécurisées si les clés de chiffrement sont volées ?
  • Le code est-il disponible pour un audit indépendant ?
  • La sécurité implémentée est-elle correctement documentée ?
  • Le code a-t-il été audité ?

Avec les réponses à ces questions, il ressort que les outils les mieux lotis sont ceux qui sont les moins connus du grand public et ciblent spécifiquement des besoins de confidentialité : CryptoCat, ChatSecure avec le plugin Orbot (un projet du Guardian), Signal, Silent Phone, Silent Text, TextSecure.

Les très mauvais élèves sont les applications de messagerie instantanée chinoise QQ et sud-africaine MXit avec une satisfaction nulle sur tous les critères.

Concernant les applications grand public plus connues dans nos contrées, le constat est très sévère pour Yahoo! Messenger et Viber, tandis que ce n'est pas très glorieux pour WhatsApp, Facebook Chat, Google Hangouts ou encore Skype.

FaceTime et iMessage d'Apple s'en sortent par contre mieux. Ils sont alors retenus par l'EFF comme les meilleurs produits de masse même si l'association souligne qu'ils n'offrent pas une protection complète comme de la surveillance sophistiquée ou des formes ciblées.

EFF-classement-applications-messagerie-confidentialite
Le classement de l'EFF fait cependant grincer quelques dents du côté des experts de la sécurité informatique. Des critiques portent sur le fait que le critère du chiffrement des métadonnées n'est pas pris en compte, que le critère de l'audit ne signifie pas que celui-ci a été rendu public. La définition même de la sécurité telle que retenue par l'EFF est également remise en cause.