A cercare di capire quanti dei miliardi di comunicazioni che ogni giorno transitano su tablet, cellulari e computer sono al riparo dagli occhi indiscreti di governi curiosi, aziende a caccia di dati e hacker dispettosi ci ha pensato l'organizzazione no profit Electronic Frontier Foundation (EFF). Il gruppo, che si occupa di tutela dei diritti digitali e libertà di parola, ha collaborato con il sito ProPublica e con l'università di Princeton per redigere la Secure Messaging Scorecard, una specie di classifica di impermeabilità dei dispositivi per le chat e i messaggi.
I vari sistemi sono stati valutati sulla base di sette parametri relativi alla crittografia dei messaggi, alla possibilità per il provider di leggerli, alla possibilità di verificare l'identità dei contatti, alla sicurezza in caso di violazione delle chiavi cifrate di protezione, alla revisione indipendente del codice, alla documentazione del design di sicurezza e alla verifica da parte di Audit esterni del codice di sicurezza.
Se la risposta alle domande è positiva, si ottiene luce verde, se negativa, rossa. Nella speciale e colorata pagella redatta dalla EFF, solo sei servizi sono stati promossi a pieni voti e hanno ottenuto la spunta verde in tutti i sette parametri: ChatSecure/Orbot, CryptoCat, Signal/Redphone (un'app che permette di fare telefonate criptate), Silent Phone e Silent Text e TextSecure.
A tutti gli altri, anche i migliori, manca sempre qualcosa. Per esempio ai poco noti ma molto solidi Jitsi, Off the Record Messaging e Retroshare, che pure si difendono bene rispondendo a sei parametri su sette, manca la parte di auditing di una parte terza e a Mailvelope e a Subrosa (anche qui 6 su 7) manca il sistema di protezione delle conversazioni passate nel caso di violazione delle chiavi di accesso.
"I tool che sono più facili da usare per il grande pubblico non mettono in pratica sistemi di protezione particolarmente efficaci - hanno commentato dalla EFF presentando la ricerca - i sistemi di messaggistica più sicuri spesso sono anche i più complessi e meno accessibili”.
Ma se i programmi più di nicchia e da 'smanettoni' sono quelli più sicuri come se la cavano i sistemi più popolari e diffusi, quelli che tutti usiamo ogni giorno? La risposta è chiara: abbastanza male.
Tra i servizi di messaggistica più popolari, il punteggio migliore (5/7) se lo aggiudicano i due prodotti di casa Apple: FaceTime e iMessage. Entrambi hanno il pregio di usare il sistema Perfect Forward Secrecy che permette, nel caso in cui le chiavi di protezione cifrata vengano violate, di accedere solo alle conversazioni dell'ultima sessione, senza poter vedere quelle precedenti.
Porta a casa cinque punti su sette anche Telegram, il sistema lanciato nel 2013 e considerato il principale rivale di WhatsApp, che permette di scegliere tra chat normali e segrete. I messaggi di quest'ultimo tipo hanno la caratteristica di autocancellarsi e di essere scritti in codice end-to-end, cosa che li rende visibili solo ai dispositivi da cui i messaggi partono. Nonostante questo, ai tecnici di San Francisco che hanno stilato la classifica qualcosa non torna: a quanto risulta dall'indagine in caso di furto delle chiavi cifrate che proteggono il sistema, sembra non ci sia modo di proteggere gli scambi archiviati, e non c'è un sistema di auditing esterno che verifichi il codice.
Diversa la situazione per altri popolarissimi programmi, come Facebook Chat, Google Hangouts, SnapChat, WhatsApp e Skype. Tutti i sistemi di messaggistica più diffusi in Italia portano a casa solo due luci verdi a testa: garantiscono tutti di rendere illegibili i contenuti dei messaggi ma poi poco altro. Solo Skype, come provider, si impegna a non leggere le conversazioni degli utenti.
Facebook, ad esempio, assicura di criptare i messaggi dei suoi utenti e di avere un sistema di verifica esterno per il codice di sicurezza, cosa che dovrebbe far dormire sonni tranquilli, ma poi lascia a desiderare sulle altre voci: lascia libera accessibilità al provider, non consente di verificare la veridicità dei profili, non rilascia i documenti circa il design di sicurezza e non protegge gli scambi archiviati.
Stessa cosa, secondo l'indagine, fa WhatsApp. Peggio ancora la pagella di BlackBerry Messenger, Viber e Yahoo Messenger. Per tutti e tre la bocciatura è netta poiché rispondono con un sì solo alla voce legata alla crittografia dei messaggi. Un sistema di sicurezza che però, da solo, vale poco e mostra il fianco a chi voglia o sappia violarlo.
Fanalino di coda della classifica, con sole voci negative, per altri due sistemi di messaggistica, quasi sconosciuti dalle nostre parti, ma molto popolari altrove: il sudafricano Mxit e QQ, un "WhatApp cinese" da 800 milioni di utenti e un numero incalcolabile di conversazioni. Tutte comodamente leggibili.
