L’Electronic Frontier Foundation (EFF), l’ONG internationale de protection des libertés sur Internet, vient de lancer « Encrypt It Already », une campagne musclée pour pousser les géants de la tech à enfin généraliser le chiffrement de bout en bout. Apple et Google sont dans le viseur sur deux points précis : tenir leurs promesses sur le RCS, et empêcher leurs IA de fouiner dans Signal et WhatsApp.
Le nom de la campagne sonne familier ? C’est voulu. « Encrypt It Already » (Ndlr : « Chiffrez, bon sang ») est le successeur spirituel de « Fix It Already », la campagne 2019 de l’EFF qui tapait sur les entreprises pour qu’elles corrigent enfin des problèmes de sécurité qui traînaient depuis des années. Cette fois, l’annonce publiée sur le blog de l’EFF cible le chiffrement de bout en bout, présenté comme la meilleure protection existante pour nos conversations et nos données.
L’EFF divise ses demandes en trois catégories : « Tenez vos promesses » (fonctionnalités annoncées mais pas encore livrées), « Les réglages par défaut comptent » (fonctionnalités existantes mais désactivées par défaut), et « Protégez nos données » (nouvelles fonctionnalités que les entreprises devraient lancer).
Signal menacé par une attaque de phishing parrainée par un État (spoiler : WhatsApp peut-être aussi)
Apple et Google : promesse non tenue sur le RCS chiffré
Dans la première catégorie, l’EFF s’en prend directement à Apple et Google. Les deux géants ont promis le chiffrement de bout en bout pour le protocole RCS (le remplaçant des SMS). Pour le moment, ce n’est pas le cas : Apple et Google chiffrent bien les communications si vous restez dans leur pré carré respectif (Messages chez Apple, Messages chez Google), mais pas si vous envoyez des messages d’un environnement à l’autre.
Apple a promis le chiffrement de bout en bout pour le RCS et la norme (avec le RCS Universal Profile 3.0) le permet techniquement. Des rumeurs indiquent qu’iOS 18.3 pourrait amener ce chiffrement dans les appareils Apple, les opérateurs français prenant déjà en charge cette fonction sur la version bêta.
« Arrêtez de laisser l’IA accéder à Signal et WhatsApp »
Le second cas où Apple et Google sont épinglés concerne un sujet brûlant : l’accès de leurs IA aux données des applications de messagerie chiffrée. L’EFF regrette qu’Apple et Google permettent aux fonctionnalités d’IA (Apple Intelligence, Google AI) d’accéder aux données de certaines applications comme Signal ou WhatsApp.
La solution proposée par l’EFF est simple : une autorisation de plus. Empêcher par défaut les IA d’interagir avec les apps de messagerie sécurisée, et laisser l’utilisateur choisir explicitement si l’IA peut accéder aux données… ou pas. C’est une voie qu’Apple pourrait suivre dans une future mise à jour de ses systèmes, même si certains considèrent ce type d’autorisation comme contraignant.
L’EFF pointe aussi Meta (pour Facebook Messenger qui devrait chiffrer les messages de groupe), Bluesky (pour le chiffrement des messages privés promis mais pas livré), Telegram (qui devrait activer le chiffrement de bout en bout par défaut pour les DM), WhatsApp (qui devrait chiffrer les sauvegardes par défaut), Ring (pour ses caméras qui devraient activer le chiffrement par défaut), et Google (pour les sauvegardes Google Authenticator et les données de sauvegarde Android).
Dans tous les cas, l’ONG propose aux utilisateurs d’aller se plaindre directement aux entreprises, avec des liens vers les pages qui permettent de demander l’ajout de fonctions : page feedback Apple, support Bluesky, formulaire feedback Facebook.
Pour Telegram et Ring, l’EFF a déjà fait les demandes et demande simplement aux utilisateurs de voter pour les fonctionnalités demandées sur les forums officiels.
Le message de l’EFF est clair : « Le chiffrement de bout en bout protège ce que nous disons et ce que nous stockons d’une manière qui donne aux utilisateurs — pas aux entreprises ou aux gouvernements — le contrôle sur les données. Ces protections de la vie privée devraient être la norme pour une gamme de produits, des montres connectées aux apps de notes, mais au lieu de ça c’est une fonctionnalité rare limitée à un petit ensemble de services. Ces demandes ne sont qu’un début. Nous méritons ce type de protection pour un bien plus large éventail de produits et services. Il est temps de chiffrer tout ça, maintenant. »
