Visioconférence : Mozilla encense Signal dans un comparatif

Mozilla visioconférence

À quelles applications faire confiance pour la visiconférence ? Mozilla rend ses conclusions… en affichant une préférence pour Signal.

« Si vous voulez simplement discuter en face-à-face, c’est probablement l’application la plus sécurisée sur notre liste. »

Cette affirmation, relative à Signal, émane de Mozilla.

La liste en question comprend 15 applications qui incluent chacune une composante de visioconférence.

Outre la sécurité, la fondation s’est intéressée aux garanties offertes en matière de vie privée.

Les observations qui en résultent viennent enrichir le guide « *confidentialité non incluse », jusqu’alors centré sur les produits technologiques connectés.

L’évaluation se fonde en partie sur cinq « mesures élémentaires que toutes les entreprises devraient mettre en œuvre pour protéger la vie privée » :

  • Du chiffrement
  • Des mises à jour de sécurité
  • L’exigence de mots de passe robustes
  • Une gestion des vulnérabilités
  • Une politique de confidentialité

L’essentiel des applications examinées répondent au moins partiellement à ces exigences. Houseparty fait presque figure d’exception avec son seul critère pour les mots de passe : une longueur d’au moins 5 caractères.

La garantie du B2B…

Concernant le chiffrement, les implémentations « de bout en bout » sont loin d’être systématiques. Et lorsqu’elles sont effectives, c’est sur un nombre limité de fonctionnalités.

Sur ce volet, les applications orientées B2B ne se distinguent pas forcément.
Elles ne ressortent pas davantage pour ce qui est de la collecte et de l’exploitation de données personnelles. Cisco (avec Webex), LogMeIn (avec GoToMeeting) et BlueJeans se livrent à cette pratique, en liaison avec des tiers, entre autres à des fins de marketing.

Les applications axées B2C ne sont pas en reste. Parmi elles, Messenger et WhatsApp. Les données personnelles qu’elles amassent peuvent faire l’objet de croisements au sein de la « famille Facebook ». L’éventail de tiers potentiellement destinataires est large.

Large est également le périmètre de collecte de Skype et de Teams. Qu’elles soient démographiques, transactionnelles ou comportementales, les données peuvent alimenter le ciblage de la publicité sur les sites et applications de Microsoft… et faire l’objet d’une communication à des partenaires, dont Facebook.

… ou de l’open source ?

Et Signal, dans tout ça ?
Le service assure un chiffrement de bout en bout. Mais uniquement sur mobile, les appels vidéo n’étant pas disponibles sur l’application desktop. Quant aux collectes de données, elles sont exclues.

Mozilla s’est intéressé à une autre solution open source qui présente un profil de confidentialité similaire : Jitsi Meet. Le chiffrement n’y est cependant pas implémenté de bout en bout. En revanche, pas besoin de créer un compte pour l’utiliser.

Toutes les applications testées disposent d’au moins un canal pour faire remonter les failles de sécurité. Un grand nombre d’éditeurs ont monté un programme de bug bounty. Parfois dédié, parfois étendu d’autres produits.

Le rythme de mise à jour des applications va de deux, trois fois par an (FaceTime, Google Duo) à au moins une fois par mois (Zoom, Webex, Teams…). Il est globalement plus rapide sur les versions mobiles s’il en existe.

Photo d’illustration © signal.org