Les entreprises du secteur des technologies telles que Snapchat et Microsoft, propriétaire de Skype, n’ont pas mis en place les mesures les plus élémentaires de protection de la vie privée sur leurs services de messagerie instantanée, mettant ainsi en danger les droits fondamentaux de leurs utilisateurs, a déclaré Amnesty International vendredi 21 octobre.
Le nouveau classement des messageries en fonction de cinq critères relatifs à la protection de la vie privée réalisé par Amnesty International examine les 11 entreprises auxquelles appartiennent les applications de messagerie les plus répandues, pour évaluer la manière dont elles utilisent le chiffrement pour protéger la vie privée et la liberté d’expression de leurs utilisateurs.
Si vous pensiez que les services de messagerie instantanée étaient protégés, vous risquez d'être surpris. En réalité, nos communications sont menacées en permanence par les cybercriminels et par l'espionnage des États.
Sherif Elsayed-Ali, directeur de l'équipe Technologie et droits humains à Amnesty International
« Si vous pensiez que les services de messagerie instantanée étaient protégés, vous risquez d’être surpris. En réalité, nos communications sont menacées en permanence par les cybercriminels et par l’espionnage des États. Les jeunes, qui partagent massivement leurs informations personnelles et leurs photos sur des applications comme Snapchat, sont tout particulièrement vulnérables » a déclaré Sherif Elsayed-Ali, directeur de l’équipe Technologie et droits humains à Amnesty International.
Amnesty International a établi que le chiffrement de bout en bout (une façon de brouiller les données de sorte que seuls l’expéditeur et le destinataire d’un message puissent le lire) était l’exigence minimale à mettre en place par les entreprises du secteur des technologies pour garantir que les informations personnelles échangées dans les applications de messagerie restent privées. Les entreprises ayant reçu les plus mauvaises notes du classement n’ont pas mis en place un niveau de chiffrement suffisant dans leurs applications de messagerie.
« C’est aux entreprises du secteur des technologies de réagir aux menaces contre la vie privée et la liberté d’expression de leurs utilisateurs. Pourtant, nombre d’entre elles échouent au premier obstacle, en ne mettant pas en place un niveau de chiffrement suffisant. Des millions de personnes utilisent des applications de messagerie qui les privent de la protection la plus élémentaire de leur vie privée », a déclaré Sherif Elsayed-Ali.
Le classement réalisé par Amnesty International classe les entreprises du secteur des technologies sur une échelle de 1 à 100 en fonction de leurs bons résultats sur cinq points :
- identifier les menaces en ligne à l’encontre de la vie privée et de la liberté d’expression de leurs utilisateurs ;
- appliquer par défaut le chiffrement de bout en bout ;
- sensibiliser les utilisateurs aux menaces contre leurs droits et au niveau de chiffrement mis en place ;
- rendre publiques les informations sur les demandes de données d’utilisateurs par des gouvernements auprès de l’entreprise, et leur réaction à ces demandes ;
- publier les détails techniques de leurs systèmes de chiffrement.
Tencent, Blackberry et Snapchat obtiennent moins de 30/100
L’entreprise chinoise Tencent ferme le classement, avec une note de zéro sur cent. Elle remporte le titre d’entreprise prenant le moins de mesures relatives à la vie privée sur les messageries, et la moins transparente. Elle est suivie par Blackberry et Snapchat, qui obtiennent respectivement 20 et 26 points. Malgré l’engagement de Microsoft envers les droits humains, l’entreprise continue d’utiliser un système de chiffrement faible sur Skype, ce qui lui donne une note de 40 et la laisse à quatre places du bas du classement. Aucune de ces entreprises ne propose le chiffrement de bout en bout des communications de ses utilisateurs.
Snapchat, une entreprise basée aux États-Unis utilisée quotidiennement par plus de 100 millions de personnes, a également écopé de mauvais résultats. En dépit d’un engagement politique en faveur de la vie privée, dans la pratique, l’entreprise n’en fait pas suffisamment pour protéger la vie privée de ses utilisateurs. Elle n’a, par exemple, pas déployé le chiffrement de bout en bout, et n’informe pas ses utilisateurs avec transparence de son usage du chiffrement ni des menaces contre leurs droits humains.
Facebook et Apple en tête du classement
Aucune entreprise n’offre de protection de la vie privée à toute épreuve, mais Facebook, dont les applications Facebook Messenger et WhatsApp cumulent 2 milliards d’utilisateurs, a reçu la meilleure note : 73/100. Parmi les 11 entreprises étudiées, c’est Facebook qui utilise le plus le chiffrement pour faire face aux menaces contre les droits humains, et qui est la plus transparente sur les mesures mises en place.
Cependant, même si le chiffrement de bout en bout est désormais une option dans sa nouvelle fonctionnalité « conversation secrète », le mode par défaut de Facebook Messenger utilise un système de chiffrement plus faible, ce qui signifie que Facebook a accès à toutes les données. WhatsApp utilise le chiffrement de bout en bout par défaut et est réputée pour les informations claires fournies aux utilisateurs sur le chiffrement au sein de l’application.
Apple a obtenu une note de 67 sur 100, en fournissant le chiffrement de bout en bout complet de toutes les communications sur ses applications iMessage et Facetime. Cependant, l’entreprise doit faire plus d’efforts pour informer ses utilisateurs que les messages SMS sont moins sécurisés que les iMessages. L’entreprise devrait également adopter un protocole de chiffrement plus ouvert qui permette une vérification indépendante complète.
Le chiffrement de bout en bout : une protection élémentaire que peu d’entreprises proposent
Les services de messagerie instantanée comme WhatsApp, Skype et Viber sont utilisés par des centaines de millions de personnes tous les jours. Parmi elles, des défenseurs des droits humains, des membres de l’opposition et des journalistes qui vivent dans des pays où leur travail peut les mettre en danger.
Le futur du respect de la vie privée et de la liberté d'expression en ligne dépend, pour une très grande partie, du bon vouloir des entreprises du secteur des technologies : vont-elles fournir des services qui protègent nos communications, ou offrir celles-ci sur un plateau d'argent aux oreilles indiscrètes ?
Sherif Elsayed-Ali, directeur de l'équipe Technologie et droits humains à Amnesty International
Dans un contexte où les piratages massifs de données sont trop fréquents, et où les opérations de surveillance de masse des États sont toujours aussi intenses, il est primordial de mettre en place le plus haut niveau de chiffrement possible et d’être transparent sur les entités qui ont accès aux données liées aux messages, afin de protéger celles-ci. Seules trois entreprises, Apple, Line et Viber, ont obtenu tous les points sur l’application par défaut du chiffrement de bout en bout à toutes leurs applications de messagerie.
« La plupart des entreprises du secteur des technologies ne respectent pas les normes en vigueur lorsqu’il s’agit de protéger la vie privée de leurs utilisateurs. Des militants du monde entier comptent sur le chiffrement pour se protéger de l’espionnage des autorités, et il est inacceptable que les entreprises du secteur des technologies les rendent ainsi vulnérables en ne prenant pas de mesures appropriées pour faire face aux risques en termes de droits humains », a déclaré Sherif Elsayed-Ali.
« Le futur du respect de la vie privée et de la liberté d’expression en ligne dépend, pour une très grande partie, du bon vouloir des entreprises du secteur des technologies : vont-elles fournir des services qui protègent nos communications, ou offrir celles-ci sur un plateau d’argent aux oreilles indiscrètes ? »
Amnesty International demande aux entreprises d’appliquer par défaut le chiffrement de bout en bout dans leurs applications de messagerie. Cela aidera à protéger les droits des simples citoyens, des militants pacifiques et des minorités opprimées à travers le monde, en leur permettant d’exercer leur liberté d’expression. L’organisation appelle également les entreprises du secteur des technologies à publier tous les détails des politiques et des pratiques qu’ils ont mis en place pour s’acquitter de leurs responsabilités en termes de respect des droits à la vie privée et à la liberté d’expression.
Complément d’information
Le classement n’évalue pas la sécurité des applications et ne doit pas être considéré comme une validation d’une application ou d’une autre pour les journalistes, militants, défenseurs des droits humains ou toute autre personne vulnérable. Le classement n’a pas évalué la performance globale des entreprises en matière de droits humains ni leur respect de la vie privée à travers tous leurs services.
Amnesty International a adressé des lettres aux 11 entreprises évaluées, sollicitant des informations sur les normes de chacune d’entre elles vis-à-vis du chiffrement, ainsi que des détails sur les politiques et les pratiques que ces entreprises mettent en place pour s’acquitter de leurs responsabilités en termes de droits humains au regard de leurs applications de messagerie instantanée. Huit de ces entreprises ont répondu ; nous n’avons reçu aucune réponse de Blackberry, Google et Tencent.
Les applications qui ne proposent pas le chiffrement de bout en bout utilisent une méthode de chiffrement appelée « chiffrement de transport » qui protège moins efficacement la vie privée. Ces deux méthodes de chiffrement sont difficiles à décrypter, mais contrairement au chiffrement le bout en bout, le chiffrement de transport ne protège pas les messages lorsqu’ils transitent par les serveurs de l’entreprise.