Aller au contenu
Accueil > Protégez Votre Vie Privée > Solutions > Communication Chiffrée > Wire Messenger sort de nos recommandations

Wire Messenger sort de nos recommandations

  • par

Nous avons récemment appris que Wire, la populaire plateforme de messagerie chiffrée de bout en bout que nous utilisons et recommandons en priorité, avait été vendue ou transférée à une société américaine. Après quelques temps, Wire a finalement confirmé qu’elle avait changé de holding et qu’elle serait désormais une société basée aux États-Unis, dans une démarche qu’elle a qualifiée de “simple et pragmatique“, alors qu’elle s’efforçe de prendre pied sur le marché des entreprises. Cette nouvelle est également venue s’ajouter à celle selon laquelle Wire avait accepté plus de huit millions de dollars de capital-risque de Morpheus Ventures, ainsi que d’autres investisseurs.

Morpheus Ventures détient aujourd’hui un portefeuille comprenant des entreprises dans les domaines de la santé, de l’intelligence artificielle, de l’assurance-vie et de l’analyse des données des clients : autrement dit des secteurs qui ont historiquement utilisé des méthodes de collecte de données invasives pour se développer. Nous pouvons donc légitimement nous interroger sur les raisons pour lesquelles une société de capital-risque ayant un portefeuille centré sur les données des consommateurs voudrait investir dans une entreprise dont la mission prétend protéger ces mêmes informations ?

En 2019, Wire a annoncé qu’elle avait conclu un partenariat avec FedResults, dans le cadre d’une initiative visant à mettre la plateforme de messagerie sécurisée de Wire à la disposition des agences fédérales américaines. Cela a suscité quelques interrogations, mais n’a pas alarmé la communauté de la protection de la vie privée, car Wire est resté basé en Suisse et doit respecter les strictes lois suisses sur la protection de la vie privée. Aujourd’hui, cependant, alors que la plupart des activités de Wire continueront d’être gérées à partir de leurs bureaux suisses, avec une nouvelle propriété basée aux États-Unis, il n’est pas tout à fait clair quelle sera la juridiction des États-Unis sur les données de Wire.

C’est en tout cas suffisamment inquiétant car Wire stocke des métadonnées non chiffrées pour chaque utilisateur.

Dans une interview avec TechCrunch, le PDG de Wire, Morten Brøgger, a évoqué les lois sur la vie privée : “Nous sommes en Suisse, qui possède les meilleures lois sur la vie privée au monde” – elle est soumise au cadre du Règlement général sur la protection des données (RGPD) en plus de ses propres lois locales – “et Wire appartient maintenant à une nouvelle holding de groupe, mais il n’y a pas de changement dans le contrôle”.

Même s’il dit vrai, ses déclarations et la nouvelle situation soulèvent d’autres questions. Wire étant désormais une société américaine avec des contrats de partenariat avec les autorités fédérales américaines, ces dernières auront-elles désormais un moyen de pression pour obliger Wire à renoncer aux métadonnées sur ses utilisateurs ? Wire doit répondre à des investisseurs et pourrait ne pas risquer de perdre des contrats importants avec des clients comme le gouvernement fédéral américain. Il s’agit bien sûr d’une situation hypothétique, mais qui doit néanmoins être prise en considération lorsque nous déciderons des services à recommander sur pypo.eu.

Wire a également procédé discrètement à un ajustement de sa propre politique de confidentialité. Une version précédente de cette politique (18 juillet 2017) stipulait qu’elle ne partagerait les données des utilisateurs que lorsque la loi l’exigeait. Maintenant (mise à jour le 1er septembre 2018), il est écrit qu’ils partageront les données des utilisateurs lorsque “nécessaire”. Que signifie nécessaire et nécessaire pour qui ? Nécessaire aux forces de l’ordre, aux actionnaires ou aux annonceurs ? Nécessité ne vaut pas loi. Le mot “nécessaire” est un changement alarmant car il s’agit d’une terminologie volontairement vague qui pourrait être utilisée comme un outil pour justifier toute action. Ce changement ne laisse pas l’utilisateur très confiant sur le fait que l’entreprise va ou non partager ses données.

Un autre signal d’alarme, et l’un des plus importants pour nous, est que Wire a décidé de ne pas divulguer expressément ce changement de politique à ses utilisateurs. Ce n’est pas non plus très rassurant de la part d’une entreprise dont le modèle économique repose sur un service de confidentialité et principalement sur la confiance avec ses utilisateurs.

La vie privée et la sécurité ne reposent pas uniquement sur une technologie solide, mais sur la confiance. Il est vrai que nous pouvons toujours examiner le code source ouvert de Wire sur GitHub, mais nous ne pouvons jamais être sûrs que ce code est exactement le même que celui qui tourne sur leurs serveurs en pratique. Pourtant, nous leur faisions confiance dans le passé parce que Wire s’était forgé une réputation dans ce domaine. Nous pensons maintenant que Wire a rompu ce lien de confiance. En décidant de cacher à ses utilisateurs des informations concernant sa propriété et ses politiques de confidentialité Wire a brisé la confiance que notre communauté lui a accordée, et pire encore, il semble presque faire fi des inquiétudes exprimées par la communauté de la protection de la vie privée qui les tenait depuis longtemps en haute estime.

En raison de ces préoccupations permanentes, et de cette rupture de confiance dans l’organisation de Wire, nous avons pris la décision de retirer Wire de nos recommandations.

Il convient de noter que cela ne signifie pas nécessairement que Wire n’est pas sûr, mais nous pensons qu’il est de notre devoir de recommander des produits et services que nous, en tant qu’équipe, nous sentons à l’aise de soutenir.

Nous devons, en premier lieu, croire en la sécurité, la confidentialité et l’intégrité de nos recommandations, et nous pensons que nous ne pouvons plus le faire avec Wire pour le moment.

En attendant un éventuel retournement de Wire, nous vous recommandons de privilégier Signal ou Threema, également basé en Suisse ainsi que l’application décentralisée et basée sur Matrix : Riot.im totalement gratuite et multi-plateforme.