Après un premier refus par Apple, l'application Cryptocat destinée à iOS a été validée par les services de la société. Pour autant, sa sortie ne sera pas précipitée et l'équipe indique qu'il faudra attendre février pour une mise en ligne publique.
C'est finalement d'ici un mois que l'on devrait voir arriver la première version de Cryptocat pour iOS. Pour rappel, cet outil actuellement disponible sous la forme d'applications pour différents navigateurs et OS X vous permet d'échanger avec des tiers en chiffrant vos conversations, sans rien avoir à installer de particulier. Vous choisissez un pseudo, un salon de discussion et c'est parti !
Le prochain défi de l'équipe est le passage au mobile, avec l'arrivée d'application Android et iOS pour commencer. Le projet est open source (voir ces dépôts GitHub) et chacun peut donc déjà les essayer ou analyser leur code. Mais c'est la disponibilité dans les différents « Store » qui est attendue par les utilisateurs. Pour cela, il avait été fait le choix d'attendre, le temps que des analyses aient pu être menées afin de vérifier que le niveau de sécurité procuré était suffisant.
Apple has green-lighted Cryptocat for iPhone, but we've decided to wait for more extensive audits before releasing. It's coming in February.
— Nadim Kobeissi (@kaepora) 8 Janvier 2014
Après un premier refus de l'application par Apple, qui n'avait pas été détaillé mais qui avait fait grand bruit, la firme de Cupertino a finalement donné son accord à sa publication. Tout s'est en effet débloqué dès les premiers jours de l'année, notamment grâce à l'intervention de l'EFF. Pour autant, le responsable du projet Nadim Kobeissi vient de préciser sur Twitter que l'équipe attendait de disposer de retours supplémentaires au niveau de la sécurité avant de passer à une mise en ligne publique.
Selon lui, tout devrait donc être finalisé d'ici le mois de février.
Commentaires (24)
#1
Je trouve ça malsain d’avoir ce genre d’appli sur iOS. Le système est trop fermé pour qu’il n’y aie pas de risque qu’il contienne un keylogger ou qu’Apple enregistre quand même les clefs de chiffrement et les conversations en clair. Du coup, les gens croient qu’ils sont en sécurité alors qu’en réalité non, et ça c’est plus dangereux que lorsqu’on sait qu’on ne l’est pas.
#2
J’attends cette appli avec impatience…
#3
[mode parano : ON] C’est pour leur laisser le temps d’implémenter la backdoor demandée par Apple. [mode parano : OFF]
Plus sérieusement, l’open-source n’est une vraie garantie que si l’utilisateur compile son logiciel lui-même. Personnellement, je n’aurais aucune confiance dans un binaire mis à disposition par Apple sur son store.
#4
#5
#6
#7
#8
J’ espère que, pour Android, Cryptocat sera dispo en apk hors google play ou via F-Droid.
#9
Il faut lui laisser le temps d’être “Apple/NSA Compliant” via AppStore ? ;)
#10
#11
#12
On en revient à un problème de confiance. Lire (et surtout comprendre) le code source de tous les logiciels qu’on utilise est utopique pour un particulier. D’autant plus que dans le domaine de la sécurité, les failles peuvent être particulièrement subtiles (cf le problème de génération des clés SSH chez Debian). Il arrive donc un moment où il faut faire confiance à celui qui nous fournit le logiciel, que ce soit sous forme de sources ou de binaire.
Dans le cas de Cryptocat, soit on récupère le binaire sur le store d’Apple, et alors on fait confiance à Apple. Rien ne les empêche de décompiler le soft fourni par les développeurs pour y ajouter un espion (d’ailleurs ils n’ont même pas besoin de décompiler, les sources étant publiques…). Soit on fait confiance aux dévs et à la communauté en récupérant leurs sources et en les compilant à la main (d’ailleurs si ça se trouve ils fournissent peut-être directement un binaire iOS sur leur site). Mais alors je repose ma question : est-ce qu’on peut facilement installer un binaire hors-store sur une machine iOS ?
#13
#14
#15
#16
#17
#18
#19
#20
#21
#22
sans rentrer dans le débat de la paranoïa anti apple/ anti compilateur et le purisme “il y a rien de mieux que l’assembleur sur carte perforé”, crypto-cat a une histoire de sécurité médiocre relaté dans ce post: decryptocat
la sécurité c’est un métier, et un métier dur
le plaisir que se donne la NSA a casser des sécurités ( même avancé) montre bien qu’on est pas dans une situation facile …
#23
#24