Cryptocat pour iOS ne sera disponible qu'en février

Cryptocat pour iOS ne sera disponible qu’en février

Le 14, pour souhaiter une bonne St Valentin à la NSA ?

Avatar de l'auteur
David Legrand

Publié dans

Logiciel

09/01/2014 2 minutes
24

Cryptocat pour iOS ne sera disponible qu'en février

Après un premier refus par Apple, l'application Cryptocat destinée à iOS a été validée par les services de la société. Pour autant, sa sortie ne sera pas précipitée et l'équipe indique qu'il faudra attendre février pour une mise en ligne publique.

Cryptocat 2.1

 

C'est finalement d'ici un mois que l'on devrait voir arriver la première version de Cryptocat pour iOS. Pour rappel, cet outil actuellement disponible sous la forme d'applications pour différents navigateurs et OS X vous permet d'échanger avec des tiers en chiffrant vos conversations, sans rien avoir à installer de particulier. Vous choisissez un pseudo, un salon de discussion et c'est parti !

 

Le prochain défi de l'équipe est le passage au mobile, avec l'arrivée d'application Android et iOS pour commencer. Le projet est open source (voir ces dépôts GitHub) et chacun peut donc déjà les essayer ou analyser leur code. Mais c'est la disponibilité dans les différents « Store » qui est attendue par les utilisateurs. Pour cela, il avait été fait le choix d'attendre, le temps que des analyses aient pu être menées afin de vérifier que le niveau de sécurité procuré était suffisant.

 

 

Après un premier refus de l'application par Apple, qui n'avait pas été détaillé mais qui avait fait grand bruit, la firme de Cupertino a finalement donné son accord à sa publication. Tout s'est en effet débloqué dès les premiers jours de l'année, notamment grâce à l'intervention de l'EFF. Pour autant, le responsable du projet Nadim Kobeissi vient de préciser sur Twitter que l'équipe attendait de disposer de retours supplémentaires au niveau de la sécurité avant de passer à une mise en ligne publique.

 

Selon lui, tout devrait donc être finalisé d'ici le mois de février.

Écrit par David Legrand

Tiens, en parlant de ça :

Sommaire de l'article

Introduction

Commentaires (24)


Je trouve ça malsain d’avoir ce genre d’appli sur iOS. Le système est trop fermé pour qu’il n’y aie pas de risque qu’il contienne un keylogger ou qu’Apple enregistre quand même les clefs de chiffrement et les conversations en clair. Du coup, les gens croient qu’ils sont en sécurité alors qu’en réalité non, et ça c’est plus dangereux que lorsqu’on sait qu’on ne l’est pas.


J’attends cette appli avec impatience…


[mode parano : ON] C’est pour leur laisser le temps d’implémenter la backdoor demandée par Apple. [mode parano : OFF]



Plus sérieusement, l’open-source n’est une vraie garantie que si l’utilisateur compile son logiciel lui-même. Personnellement, je n’aurais aucune confiance dans un binaire mis à disposition par Apple sur son store.








Nnexxus a écrit :



[mode parano : ON] C’est pour leur laisser le temps d’implémenter la backdoor demandée par Apple. [mode parano : OFF]



Plus sérieusement, l’open-source n’est une vraie garantie que si l’utilisateur compile son logiciel lui-même. Personnellement, je n’aurais aucune confiance dans un binaire mis à disposition par Apple sur son store.





ça tombe bien, tu peux le faire.









Nnexxus a écrit :



[mode parano : ON] C’est pour leur laisser le temps d’implémenter la backdoor demandée par Apple. [mode parano : OFF]



Plus sérieusement, l’open-source n’est une vraie garantie que si l’utilisateur compile son logiciel lui-même. Personnellement, je n’aurais aucune confiance dans un binaire mis à disposition par Apple sur son store.







C’est pas parano c’est totalement vrai lol … le seul moyen a priori sur pour moi dans l’absolu est une rom cyaogen ( voir ta propre rom mais bon un peu abusé là ) et ou surtout tu compiles et installe toi même l’application … et là tu as une chance ( j’ai dit une chance <img data-src=" /> )









David_L a écrit :



ça tombe bien, tu peux le faire.







Et c’est possible d’installer un logiciel hors AppStore sur un iPhone ? C’est une vraie question, je n’ai pas d’iPhone, mais ça me semble aller à l’encontre de l’environnement fermé et contrôlé voulu par Apple.









Flo_1 a écrit :



Je trouve ça malsain d’avoir ce genre d’appli sur iOS. Le système est trop fermé pour qu’il n’y aie pas de risque qu’il contienne un keylogger ou qu’Apple enregistre quand même les clefs de chiffrement et les conversations en clair. Du coup, les gens croient qu’ils sont en sécurité alors qu’en réalité non, et ça c’est plus dangereux que lorsqu’on sait qu’on ne l’est pas.







C’est exactement ce que j’allais dire.



Ca ressemble beaucoup trop a “Apple a pris le temps d’insérer du code espion au bon endroit pour que tout soit décryptable sur demande”.



Du coup, ça se transforme d’une appli sécurisée en un pot de miel http://fr.wikipedia.org/wiki/Honeypot) pour attirer les “clients”



J’ espère que, pour Android, Cryptocat sera dispo en apk hors google play ou via F-Droid.


Il faut lui laisser le temps d’être “Apple/NSA Compliant” via AppStore ? ;)










Nnexxus a écrit :



Plus sérieusement, l’open-source n’est une vraie garantie que si l’utilisateur compile son logiciel lui-même. Personnellement, je n’aurais aucune confiance dans un binaire mis à disposition par Apple sur son store.







Oui enfin avant de compiler avec ces petites mimines, il faut d’abord éplucher l’intégralité du code source pour s’assurer qu’il est clean. Tu peux compiler toi même le noyau Linux mais rien ne te garanti qu’il n’y ait pas de portes dérobées dans le code (pour ressortir les vieux trolls <img data-src=" />)







Oliewan a écrit :



J’ espère que, pour Android, Cryptocat sera dispo en apk hors google play ou via F-Droid.







Y a pas de raisons qu’il ne soit pas sur F-Droid à terme <img data-src=" />












Nnexxus a écrit :



[mode parano : ON] C’est pour leur laisser le temps d’implémenter la backdoor demandée par Apple. [mode parano : OFF]



Plus sérieusement, l’open-source n’est une vraie garantie que si l’utilisateur compile son logiciel lui-même. Personnellement, je n’aurais aucune confiance dans un binaire mis à disposition par Apple sur son store.





C’est relativement faux

D’une part compiler les yeux fermer sans lire ligne par ligne le code est le comprendre ne sert à rien

prends les sources de … disons Gimp compile les rien ne te prouve en les compilant que il y a pas un énorme backdoor.virus.trojan au fin fond d’un fichier source dont tu ne t’ai même pas rendu compte de l’existence

D’autre part

tu es développeur tu compile ton logiciel tu calcul une clé de hash

et que la personne qui installe calcul cette même clé …..

(bon ok dans le cas d’une application issue d’un market ça me parait difficile a faire …)



On en revient à un problème de confiance. Lire (et surtout comprendre) le code source de tous les logiciels qu’on utilise est utopique pour un particulier. D’autant plus que dans le domaine de la sécurité, les failles peuvent être particulièrement subtiles (cf le problème de génération des clés SSH chez Debian). Il arrive donc un moment où il faut faire confiance à celui qui nous fournit le logiciel, que ce soit sous forme de sources ou de binaire.



Dans le cas de Cryptocat, soit on récupère le binaire sur le store d’Apple, et alors on fait confiance à Apple. Rien ne les empêche de décompiler le soft fourni par les développeurs pour y ajouter un espion (d’ailleurs ils n’ont même pas besoin de décompiler, les sources étant publiques…). Soit on fait confiance aux dévs et à la communauté en récupérant leurs sources et en les compilant à la main (d’ailleurs si ça se trouve ils fournissent peut-être directement un binaire iOS sur leur site). Mais alors je repose ma question : est-ce qu’on peut facilement installer un binaire hors-store sur une machine iOS ?








Nnexxus a écrit :



[mode parano : ON] C’est pour leur laisser le temps d’implémenter la backdoor demandée par Apple. [mode parano : OFF]



Plus sérieusement, l’open-source n’est une vraie garantie que si l’utilisateur compile son logiciel lui-même. Personnellement, je n’aurais aucune confiance dans un binaire mis à disposition par Apple sur son store.







Le problème c’est qu’il faut aussi vérifier le compilateur, ça commence à en faire du boulot <img data-src=" />









Nnexxus a écrit :



Mais alors je repose ma question : est-ce qu’on peut facilement installer un binaire hors-store sur une machine iOS ?





Pour autant que je sache, il faut jailbreaker son appareil ios pour installer des binaires tiers. Donc non, on ne peut pas installer facilement un binaire.









Nnexxus a écrit :



Mais alors je repose ma question : est-ce qu’on peut facilement installer un binaire hors-store sur une machine iOS ?







Facilement sur un device non jailbreaké : non.



En gros pour la distribution “AdHoc”, il faut un compte développeur, que le binaire soit signé et qu’il comporte la liste (max 100 de mémoire) des UDIDs autorisés à exécuter l’appli.

Il faut en plus un certificat à installer sur le device (qui fait la paire avec la signature de l’application).












Nnexxus a écrit :



Plus sérieusement, l’open-source n’est une vraie garantie que si l’utilisateur compile son logiciel lui-même.







YO DAWG



Et tu utilises quoi pour compiler ton appli? Clang, un compilo Apple!

Et comment tu compile? Avec XCode, un logiciel… Apple!

Et tu dois utiliser des Frameworks Network/CG/… qui sont fournis par… Apple!

Et tu linke avec… des librairies Apple!

Et qui signe ton appli pour la faire tourner sur tes iOS? Apple!

Et tu tournes dans une sandbox sur ton iOS ? Apple!



Bref, la compilation est très loin de te garantir la virginité de ton exécutable.












t-la a écrit :



En gros pour la distribution “AdHoc”, il faut un compte développeur, que le binaire soit signé et qu’il comporte la liste (max 100 de mémoire) des UDIDs autorisés à exécuter l’appli.

Il faut en plus un certificat à installer sur le device (qui fait la paire avec la signature de l’application).







Plus ou moins vrai. Le vrai souci, c’est d’avoir un compte développeur. Ensuite pour lancer une appli sur ton device, c’est très simple. Pas besoin d’UDID si tu lances ton appli depuis XCode.









Gui13 a écrit :



Plus ou moins vrai. Le vrai souci, c’est d’avoir un compte développeur. Ensuite pour lancer une appli sur ton device, c’est très simple. Pas besoin d’UDID si tu lances ton appli depuis XCode.







Il a parlé d’installer un binaire, pas de compiler des sources. D’où ma précision sur le mode Ad Hoc.

A moins qu’on puisse directement balancer un binaire signé depuis XCode sur un device, mais je ne me suis jamais amusé à ça.









Flo_1 a écrit :



Je trouve ça malsain d’avoir ce genre d’appli sur iOS. Le système est trop fermé pour qu’il n’y aie pas de risque qu’il contienne un keylogger ou qu’Apple enregistre quand même les clefs de chiffrement et les conversations en clair. Du coup, les gens croient qu’ils sont en sécurité alors qu’en réalité non, et ça c’est plus dangereux que lorsqu’on sait qu’on ne l’est pas.







Ton propos est un peu réducteur même si en partie vrai, le problème n’est pas iOS en particulier mais quasiment tous les OS mobiles actuels. Et en plus ça dépend de ce que tu entends pas sécurité.



Premièrement, je dirai que le type dont la sécurité est la préoccupation n°1 n’a rien à faire sur un OS mobile et un smartphone. Si par sécurité, tu entends risque pour sa vie en utilisant cryptocat, alors c’est de l’inconscience pure et simple de la part de la personne qui va l’utiliser.

Nadim Kobeisssi le dit lui-même sur le site de Cryptocat, personne ne devrait risquer sa vie sur du code, et encore moins du code aussi récent.



Ensuite, l’usage principal de Cryptocat est simplement de garder un peu de vie privée et d’essayer de généraliser le chiffrement de nos communications. Il n’y a donc rien d’absurde à être sur les Stores mobiles.

Le Keylogger dont tu parles n’a pour l’instant jamais été prouvé, on sait qu’il est possible de prendre la main de l’extérieur sur un smartphone (quel que soit l’OS d’ailleurs), mais pour l’instant on a aucun début de preuve que Apple collecte tout ce que l’on tape sur ses téléphones.



P.S.: un keylogger peut très bien être mis en place à posteriiori sur un un système libre et opensource aussi. Moins facile à mettre en place que sur du proprio mais toujours bien possible aussi.

<img data-src=" />









XalG a écrit :



Le problème c’est qu’il faut aussi vérifier le compilateur, ça commence à en faire du boulot <img data-src=" />





Et vérifier que toutes les puces utilisés dans la machine qui compil/utilise le binaire n’ont pas de failles hardware. <img data-src=" />









BenGamin a écrit :



Et vérifier que toutes les puces utilisés dans la machine qui compil/utilise le binaire n’ont pas de failles hardware. <img data-src=" />







M’en parle pas, j’ai mis 6 mois pour changer une barette de Ram, j’attaque la deuxième là ! <img data-src=" />




sans rentrer dans le débat de la paranoïa anti apple/ anti compilateur et le purisme “il y a rien de mieux que l’assembleur sur carte perforé”, crypto-cat a une histoire de sécurité médiocre relaté dans ce post: decryptocat



la sécurité c’est un métier, et un métier dur

le plaisir que se donne la NSA a casser des sécurités ( même avancé) montre bien qu’on est pas dans une situation facile …








canti a écrit :



sans rentrer dans le débat de la paranoïa anti apple/ anti compilateur et le purisme “il y a rien de mieux que l’assembleur sur carte perforé”, crypto-cat a une histoire de sécurité médiocre relaté dans ce post: decryptocat



la sécurité c’est un métier, et un métier dur

le plaisir que se donne la NSA a casser des sécurités ( même avancé) montre bien qu’on est pas dans une situation facile …







Et encore un post tout aussi médiocre sur une seule partie de l’histoire ! <img data-src=" />

Le simplisme et la haine de certains font plus de tort à la cause de la protection des données que le soit-disant message qu’ils essayent de faire passer …









Glyphe a écrit :



Et encore un post tout aussi médiocre sur une seule partie de l’histoire ! <img data-src=" />

Le simplisme et la haine de certains font plus de tort à la cause de la protection des données que le soit-disant message qu’ils essayent de faire passer …







tu veux bien nous éclairer sur le reste de l’histoire? <img data-src=" />