Emails, messages, calendriers, stockages en ligne, photos, on a présenté ici plusieurs solutions pour chiffrer vos données. Pourtant, un maillon essentiel reste étonnamment vulnérable : votre carnet d'adresses. Et c'est d'autant plus important sur smartphones. Alors qu'Apple et Google multiplient les promesses de confidentialité, vos contacts ne bénéficient pas toujours d'un véritable chiffrement.
Amis, famille, médecins, collègues, spécialistes médicaux, avocats... votre carnet d'adresses contient une mine d'informations avec pour ces personnes : numéros de téléphone, poste, adresse physique, codes d'accès aux immeubles, sans parler des événements liés au calendrier… et pourtant aucun éditeur ne semble avoir réellement pris la peine de développer une app spécifique.
Des contacts vulnérables par défaut
Sur iOS, nous retrouvons la fonctionnalité Protection avancée des données. Celle-ci chiffre de bout en bout vos sauvegardes, vos photos, vos notes ou encore vos fichiers d'iCloud Drive. Vous seul détenez les clés de chiffrement. Cependant, Apple se garde bien d'appliquer un tel chiffrement à iCloud Mail, Contacts et Calendar.…
Même chose du côté d'Android. Google Messages utilise désormais le chiffrement de bout en bout par défaut pour les conversations RCS. Vos échanges sont protégés. Mais l'application Google Contacts, elle, synchronise votre carnet d'adresses sur les serveurs de Mountain View sans cette protection. Google utilise le TLS pour sécuriser le transport, mais stocke les données de manière accessible sur ses serveurs.
On imagine qu'Apple et Google font ce choix pour conserver une compatibilité avec le protocole standard CardDAV. Si nous étions cyniques, nous avancerions également que ce carnet d'adresses vaut de l'or. Il cartographie votre vie sociale, professionnelle et intime bien mieux que le contenu de vos messages. Pour le profilage publicitaire et l'analyse comportementale, savoir qui vous connaissez est une donnée critique que les géants tech semblent rechigner à verrouiller.
Un manque étonnant chez Proton, un plus chez Tuta
En introduisant son calendrier chiffré, Proton décrivait ce dernier comme un journal intime de nos activités, qu'il s'agisse d'une réunion professionnelle ou d'un rendez-vous personnel. Mais alors que dire d'un carnet d'adresses ! À l'heure actuelle, seule une liste des contacts est enfouie au sein de l'application Proton Mail. Est-on vraiment censé trifouiller dans une application de messagerie pour passer un coup de fil à un contact ? Une application dédiée - ne serait-ce qu'une web app encapsulée - permettrait non seulement de passer un appel, d'envoyer un email, mais aussi de partager facilement un fichier du Drive, un mot de passe et peut-être, plus tard, d'initier une visio ou un chat.…
Sur ce point, l'entreprise allemande Tuta semble avoir un temps d'avance. Le service chiffre l'intégralité des fiches contacts, métadonnées incluses. Son application mobile permet désormais une synchronisation bi-directionnelle : votre téléphone affiche le nom de l'appelant, mais la donnée reste chiffrée sur les serveurs.
Quelle solution adopter ?
Ceux qui veulent "dégoogliser" leur smartphone sans changer d'interface peuvent se tourner vers EteSync. Ce n'est pas une application de contacts, mais un adaptateur qui tourne en arrière-plan. Il chiffre vos contacts avant qu'ils ne quittent votre appareil. Vous continuez d'utiliser l'application Contacts native de Samsung ou d'Apple, mais le serveur ne reçoit qu'un bloc de données illisible. Bon, en pratique, sur iOS, on a trouvé le service un peu chaotique…
Pour les puristes du "hors-ligne", Fossify Contacts est la réponse radicale. Née du rachat de la suite Simple Mobile Tools, cette application open-source stocke vos fiches localement, sans aucune permission d'accès à Internet. C'est la version numérique du carnet papier : inviolable à distance, mais qui exige donc une rigueur absolue sur les sauvegardes manuelles… pas forcément l'idéal sur ce point... Et puis, elle n'est disponible que sur Android.
Alors, oui, certains pensent probablement à une synchronisation avec un serveur personnel, par exemple via NextCloud. Si l'outil est excellent pour reprendre la main sur ses fichiers, il ne chiffre pas vos contacts par défaut. Le protocole CardDAV nécessite que le serveur puisse lire les fiches. Certes vos données peuvent être stockées chez vous, sur un serveur personnel, mais vous ne gagnez pas forcément en confidentialité.
Bref, pour l'heure, Tuta semble être le seul à proposer une solution satisfaisante. Reste qu'au travers de notre avis, nous avions trouvé la messagerie un peu trop dépouillée en termes de fonctionnalités. Dommage. On espère que la donne changera cette année avec de nouvelles solutions pour un carnet d'adresses véritablement sécurisé, quelle que soit la plateforme.
