Le choix difficile des IM mobiles en entreprise
Si un WhatsApp revendique 350 millions d’utilisateurs actifs par mois, est-il pertinent de laisser ses collaborateurs l’utiliser dans un contexte professionnel ? Rien n’est moins sûr.
Ils sont nombreux et populaires. Les services de messagerie instantanée rencontrent un vif succès et se lance une guerre sans merci. En tête, WhatsApp, avec 350 millions d’utilisateurs actifs par mois à fin octobre. Derrière lui, WeChat, qui en revendiquait 250 millions en août. Tango assure en compter plus de 150 millions, contre plus de 280 millions pour Line. Et il faut bien sûr composer avec Viber, Skype, ou encore Facebook Messenger et BBM, récemment devenu multi-plateformes.
Des doutes sur la sécurité
Mais qu’en est-il de la qualité du chiffrement revendiqué par les éditeurs de ces applications et de la confidentialité des données ? Elle peut préoccupante pour des usages professionnels, et notamment pour l’échange de données sensibles. Un étudiant en informatique néerlandais de l’université d’Utrecht a découvert, début octobre, que l’application WhatsApp contient elle-même des vulnérabilités connues de longue date permettant d’intercepter une connexion sur un réseau Wi-Fi et de déchiffrer les messages échangés. Le Pdg de WhatsApp n’y a toutefois vu qu’un scénario « plus théorique par nature » que réaliste, dénonçant un certain « sensationnalisme ». Mais ce n’était pas la première fois que la sécurité des échanges utilisant cette application grand public avait été mise en doute. Le Canada s’est ainsi plus tôt cette année inquiété de l’utilisation, par WhatsApp, du numéro IMEI du smartphone et /ou de son adresse MAC pour générer les clés d’authentification. Un point depuis corrigé. En outre, WhatsApp assure qu’un compte utilisateur ne peut être vérifié qu’avec un numéro de téléphone et un seul terminal. Et si cette application apparaît en première ligne du fait de son succès, rien ne dit que ses concurrents soient exempts de faiblesses. Et pourtant, en Inde, des médecins ont décidé d’utiliser WhatsApp pour communiquer dans le cadre de situations d’urgence, s’échangeant des images d’interventions chirurgicales ou encore des résultats de scanners.
Des solutions pour entreprises
Et pourtant, les alternatives conçues pour les entreprises émergent. Il en va ainsi de Brosix, qui fonctionne tant sur Mac, PC, que smartphone Android ou iPhone et iPad. Le service permet les conversations écrites en ligne et hors ligne, les appels vocaux et vidéo, mais également les transferts de fichiers. Il est proposé à partir de 0,8 $ par mois et par utilisateur et permet, dans toutes ses versions, d’administrer les comptes des utilisateurs. Ou encore Hall qui, à partir de 50 $ par mois pour un nombre illimité d’utilisateurs, propose également des contrôles d’administration. Les services Hall sont accessibles sur terminaux mobiles comme sur clients lourds et à partir d’une interface Web. Il en va de même pour HipChat qui pourra, à terme, être déployé sur des serveurs en local - une possibilité qui n’est proposée pour l’heure qu’en bêta test. TeamWire met quant à lui en avant une anonymisation totale des données utilisateurs sur ses serveurs et garantit un stockage des données au sein de l’Union européenne.
Sans compter sur un nouvel entrant, GoComm, orienté communications et organisation entre membres d’une même équipe avec gestion de tâches. Zula, présidé par Jeff Pulver, vise également la collaboration en équipe, gratuitement, mais sans système d’administration. Et bien sûr, il y a l’application Good Connect de Good Technology, spécialiste des solutions de gestion de la mobilité d’entreprise, retenue notamment par l’Américain Union Bank, et qui peut s’intégrer à Lync, OCS, ou encore IBM Sametime. Et l’on peut ajouter à ces spécialistes du domaine du mobile ceux proposant des fonctionnalités plus étendues de réseau social d’entreprise, comme Yammer, fondu officiellement dans l’offre de Microsoft fin 2012.
De nouveaux outils pensés pour la sécurité
Mais certains développeurs d’applications grand public de messagerie instantanée ont commencé à se pencher très sérieusement sur la confidentialité et la sécurité des échanges. L’application Redact est conçue dans cet esprit. Elle exploite largement le chiffrement et repose sur une transmission des messages en pair-à-pair. Une fois supprimé du terminal de l’émetteur, un message est aussitôt supprimé de celui du destinataire, sans possibilité pour lui de s’y opposer. Pas de numéro de téléphone non plus, ni de nom d’utilisateur, mais un identifiant unique par utilisateur. Les créateurs britanniques de Redact, installés à Genève, ont même lancé un concours doté d’un prix de 10 000 £ à destination de ceux qui aspirent à casser la sécurité de leur application. Malheureusement absent en France, Redact fait l’objet d’une demande de certification par l’autorité britannique de validation des outils techniques utilisés par le gouvernement.
Une autre application, ChatSecure, propose quant à elle de chiffrer les échanges sur des services de messagerie instantanée classiques - Facebook, Google Talk, AIM, XMPP - en mode OTR, un système qui permet d’empêcher l’attribution ferme des messages aux participants d’une conversation après qu’elle a eu lieu. Las, ChatSecure n’est pas encore disponible en France. Ungkue l’est, en revanche, et gratuitement. Et là aussi, les auteurs n’ont pas négligé la sécurité, permettant notamment à l’utilisateur de limiter les possibilités d’installation de l’application sur un second terminal et de supprimer les clés de chiffrement stockées sur les serveurs d’Ungkue.
Enfin, Peter Sunde, co-fondateur de Pirate Bay, travaille actuellement avec deux autres développeurs à une nouvelle application de messagerie instantanée, helm.is. Pas de chiffrement en mode OTR, là, mais XMPP associé à PGP. Les messages ne resteront stockés sur les serveurs d’helm.is que jusqu’à leur relève par le destinataire. Un seul terminal par utilisateur sera autorisé dans un premier temps. Et les trois développeurs prévoient d’ouvrir leur code « autant que possible » pour examen par des tiers.