Peut-on faire réellement confiance à la sécurité des solutions de messagerie instantanée, largement répandues y compris en entreprise ? Le besoin de protection n'a jamais été aussi important, puisque les conversations échangées sur ces réseaux peuvent intéresser des pirates : grâce à des outils faciles d'accès, ils ont le moyen de les consulter y compris en temps réel.

Or tous les réseaux n'offrent pas le même niveau de confidentialité et de sécurité. Pour faire le point, notre rédaction américaine a fait le tour des fournisseurs de solutions de messageries instantanées populaires, en leur posant dix questions.

Le chiffrement n'est toujours pas une évidence

D'emblée, il apparaît que la sécurité, et notamment le chiffrement, ne sont toujours pas une évidence, douze ans après l'arrivée de ICQ. Seule la moitié des services l'ont intégré : AOL Instant Messenger, Google Talk, Lotus Sametime d'IBM et Skype.

Petite précision utile : aucun des fournisseurs n'indique conserver trace du contenu des communications. Concernant les données de connexion, Microsoft affirme n'en garder aucune, tandis que Google et Skype assurent les supprimer rapidement. Ce qui explique l'usage modéré du chiffrement.

Le chiffrement est pourtant cruciale Avec une connexion sans fil ouverte, il suffit de télécharger un logiciel tel que dSniff pour intercepter des communications non chiffrées. À titre d'exemple, la police américaine dispose d'un plug-in fourni par l'éditeur WildPackets permettant d'intercepter et de consulter des conversations mises sur écoute - e-mail, appels VoIP sont aussi dans la liste.

Pour autant, se targuer d'utiliser un système de chiffrement ne suffit pas. Si l'algorithme n'est pas assez puissant ou si des erreurs ont été commises lors de son implémentation, il peut être facile à contourner. L'étude manque donc, de fait, de précision à ce niveau.

Facebook Chat montré du doigt

Elle n'est d'ailleurs pas exhaustive, puisque certaines solutions de messagerie n'apparaissent pas en tant que tel. C'est le cas de Jabber, qui est intégré à Google Talk, iChat d'Apple, Adium (OS X), Trillian Pro (avec un plug-in) et Psi. Il utilise le chiffrement tant pour la connexion que pour protéger les conversations.

Jabber mérite une mention spéciale même s'il ne figure pas dans le tableau. Alors que la quasi-majorité des fournisseurs interrogés utilise des systèmes fermés, propriétaires, il repose sur des standards ouverts définis par l'IETF (Internet Engineering Task Force). Jabber, connu sous le nom technique XMPP, permet aux entreprises de gérer leurs propres serveurs Jabber, en offrant plus de souplesse.

La palme du mauvais candidat va à Facebook Chat, qui s'avère le moins sûr et le moins respectueux de la vie privée. Il fait l'impasse sur le chiffrement pour protéger les connexions - permettant à autrui de faire une moisson de mots de passe -, et les conversations. Contacté, Facebook s'est refusé clairement à tout commentaire.

Apple a, quant à lui, été écarté de l'enquête, car son logiciel iChat utilise le réseau d'AOL Instant Messenger. Les utilisateurs de Macintosh disposant d'un abonnement au service .Mac (désormais rebaptisé MobileMe) peuvent activer le chiffrement pour la messagerie instantanée, les conversations audio et vidéo, et les transferts de fichiers.