Nouvelles applications de messagerie sécurisée

À l’heure où le développeur principal de Signal (la messagerie sécurisée mise en avant par Edward Snowden) annonce son envie de rendre son application plus accessible au grand public – par l’ajout de nouvelles fonctionnalités – de nouveaux acteurs arrivent sur le marché.

Session

On commence avec Session, application disponible sur Android, iPhone et ordinateur de bureau (Windows, Mac, Linux) qui annonce ne pas transmettre de « métadonnées ».

Point vocabulaire : « Une métadonnée (mot composé du préfixe grec meta, indiquant l’auto-référence ; le mot signifie donc proprement « donnée de/à propos de donnée ») est une donnée servant à définir ou décrire une autre donnée quel que soit son support (papier ou électronique). « 

Exemple : lorsque vous envoyez un message, les métadonnées sont :

  • la date et heure d’envoi du message
  • le numéro de l’expéditeur et du destinataire
  • l’adresse IP
  • le nom des opérateurs télécoms qui ont servi d’intermédiaires techniques
Les avantages présentés par l’équipe de Session

Pour se créer un compte avec l’application Session, vous n’avez pas besoin de communiquer votre numéro de téléphone ou votre adresse email. L’application va vous créer un identifiant unique (une longue série de chiffres et de lettres) qu’il vous faudra partager à vos contacts. Vous pourrez également transmettre un QR Code pour aller plus vite. Il s’agit donc de votre clé publique. Voilà la mienne.

Session étant disponible sur téléphone et ordinateur, vous avez la possibilité de synchroniser vos comptes (bien que le fonctionnement soit asynchrone et qu’il subsiste des bugs au moment où j’écris ces lignes).

Vous pouvez également sauvegarder localement vos conversations, qui seront chiffrées dans la mémoire de votre appareil, à l’aide d’une phrase de passe composée de 6 blocs de chiffres.

Après avoir commencé à discuter avec un de vos contacts, vous pourrez envoyer des emojis, des photos, des messages audio, des fichiers, des GIF. Et vous avez la possibilité de faire des messages éphémères, qui disparaîtront tout seuls après un temps donné.

Vous pourrez également créer des groupes (jusqu’à 10 participants) de discussion.

Tous vos messages passent par le réseau décentralisé Loki (basé sur une blockchain, et qui reprend le principe de nœuds comme le réseau Tor, avec en plus certaines idées de I2P) et donc à priori ne laissent pas de traces derrière eux. Pour toutes les informations techniques, je vous invite à lire leur livre blanc.

L’application est opensource, vous pourrez donc regarder dans le code pour voir plus en détails comment fonctionne l’application. En terme de chiffrement, l’application utilise le protocole créé par Signal, qui a été modifié, Signal utilisant un système centralisé.

En bref

Les choix techniques de l’équipe semble cohérent et bien documentés. C’est très appréciable, surtout quand on parle de sécurité. Les experts du domaine pourront donc regarder en détails dans les entrailles de l’application.

Au niveau des fonctionnalités, c’est un concentré de ce qu’on peut déjà trouver de bien sur les applications existantes. Cependant, l’utilisation d’un réseau en oignons ajoute, je pense, une couche de sécurité.

Cela me fait aussi penser à l’application Briar, mais avec un look plus moderne et une mise en relation plus simple.

Point positif, l’application ne présente aucun tracker.

BCM Messenger

On continue avec BCM Messenger, une application mobile disponible sur Android et iPhone.

Pour créer son compte, là aussi, pas besoin de numéro de téléphone ou d’adresse email, l’application va créer un identifiant unique que vous pourrez partager à vos contacts. On retrouve l’idée du QR Code.

BCM permet de créer des groupes allant jusqu’à 100 000 personnes. On est plus proche d’un super forum que d’un groupe de discussion mais la fonction peut intéresser certaines personnes.

Après avoir commencé à discuter avec un de vos contacts, vous pourrez envoyer des emojis, des photos, des messages audio, des fichiers et votre localisation GPS.

BCM utilise lui aussi le protocole de Signal pour le chiffrement des messages. Par contre, l’application n’est pas encore totalement opensource, mais c’est prévu à moyen terme.

Les fonctions sympas

L’application permet d’utiliser AirChat, une fonction qui utilise en Bluetooth ou le Wi-Fi pour parler à ses contacts, directement sans passer par le réseau internet.

Vous avez la possibilité de vous créer plusieurs comptes dans l’application, en parallèle, sans devoir vous déconnecter pour changer. Cela permet de compartimenter ses contacts pour ne pas tout mélanger.

On peut téléphoner à ses contacts de manière chiffrée et l’application permet de détruire son compte (sur son téléphone et sur les serveurs) en cas de perte de sa clé privée.

Il y a également un portefeuille de cryptomonnaie (Bitcoin et Ethereum) dans l’application, ainsi qu’un système de notes sécurisées.

En bref

Là encore, la plupart des fonctionnalités existe déjà dans d’autres application et le fait que l’application ne soit pas entièrement opensource peut poser problème aux plus frileux d’entre nous. De plus, on retrouve un tracker dans son code.

L’application semble être appréciée par la communauté Hacker (d’après son site), mais certains journalistes pointent le fait que les soutiens de Daech se sont rabattus sur cette plateforme depuis que Telegram -qui était accusée des mêmes maux – a fait le ménage de son côté. Encore de quoi alimenter les polémiques sur le chiffrement…

Le mot de la fin

Ces deux applications sont encore jeunes. Laissons leur le temps de gagner en maturité avant de se faire un avis définitif. Mais on peut tout de même se poser la question « a-t-on besoin d’autres applications de messagerie sécurisée ? »

La réponse est « oui » car les applications déjà existantes évoluent et modifient parfois les conditions d’utilisation et la confidentialité des utilisateurs. Je pense notamment à Wire (qui était très bien) et qui a décidé de déplacer sa holding aux États-Unis. Par conséquent, les autorités américaines disposent des outils légaux pour obliger les entreprises basées aux USA de fournir les données stockées sur leurs serveurs, y compris ceux situés à l’étranger, en cas de mandat ou d’assignation en justice.

Je rappelle que ce type de messagerie n’est utile que si vos contacts sont également présents dessus. Si vous avez des messages chiffrés mais personne à qui les envoyer, cela perd tout son intérêt.

La multiplication de ce type d’application permet tout de même d’utiliser différentes technologies (message Bluetooth, passer par Tor ou un autre réseau décentralisé, inscription anonyme) mais cela rend également plus difficile la migration de nos amis et familles vers ces différentes plateformes.

Il n’existe pas de solution parfaite.

Categories

16 Responses

  1. Bonjour,

    Je suis surpriw de ne pas voir le petit nouveau Olvid dans cet article. Ceci dit article très intéressant :). Les fournisseurs de services n’ont il pas obligation a transmettre les cles et autres aux autorités française si cette dernière en emet la demande ?

    • je ne connaissais pas Olvid. Mais il en sort tous les mois des appli de messagerie sécurisée, toujours soit disant mieux que les autres. Compliqué de se faire un avis sur tout. Mais du coup j’irai regarder de plus près cette application, pour un prochain article pourquoi pas.

      Pour la question sur les fournisseurs français, les opérateurs telecom sont en effet soumis aux autorités, mais les sms n’étant pas chiffré, métadonné ou pas, tout est conservé 1 an (en théorie). Un sms chiffré (avec silence) aura tout de même des métadonné. Et pour les applications de l’article, comme ça passe par la 3G ou le wifi, ce n’est pas le même canal.

      • Oui c’est sûr que sa pousse à une vitesse. Olvid est français et fait par des docteur cryptographie, et ils ont un super soutiens derrière !

        Merci pour les précisions, du coup je reste sur mon idée qu’Olvid reste une bonne alternative a Signal sans tiers de confiance :).

        • Olvid n’est pas open source donc tu n’a aucune garanti que le discourt tenu est vrai. Ensuite Olvid est français donc elle doit respecter la législation françaises et permettre un accès au services secrets donc forcément il y a une faille pour leur donner accès d’une manière ou une autre. Enfin c’est centralisé a priori et fais par une start-up qui veut faire de l’argent donc si ça marche, il y auras des mauvaises surprises.
          Pour moi Session est le top. Jusqu ici j’utilisais Riot qui est open source et crypté de bout en bout et disponible sur PC et smartphone. Le minimum.

          • Merci pour ton commentaire. Je suis d’accord avec tous les points soulevés. Ce qui n’empêche pas que peut etre je testerai l’appli mais en effet, pas open source, centralisé et basé en France, des points en moins sur la note finale.

  2. Hello, merci pour ton article même si je le trouve vraiment léger.
    Une application « sécurisée » qui n’est pas opensource, c’est juste red flag par exemple.

    Pareil pour Olvid qui n’est pas opensource contrairement à Telegram ou Signal, donc bon …

    • Je n’ai pas voulu faire un test complet de l’appli, je reste en surface en effet.
      Je suis d’accord sur la notion d’open source.
      Par contre Telegram ne l’est pas entièrement. Le code source côté serveur reste privateur.

  3. Je vous partage une autre app de messagerie sécurisé entrain de voir le jour, car encore en alpha mais c’est prometteur.
    https://berty.tech
    Du chiffrement de bout en bout en passant par IPFS pour éviter toute censure et anonyme car pas d’inscription avec une adresse email ou téléphone. Donc cela ressemble à Session.
    La team est française avec l’équipe sur Paris
    À voir lors du lancement !

  4. Du coup on ne sait toujours pas quelle sytème proposer aux vrai(e)s gens, celleux qui ne connaissent rien à la crypto et on plutôt WA, Messenger ou Snapchat comme habitude.

Laisser un commentaire

Votre adresse e-mail ne sera pas publiée. Les champs obligatoires sont indiqués avec *