Line sur Android et iOS : des conversations chiffrées qui s'autodétruisent

Line sur Android et iOS : des conversations chiffrées qui s’autodétruisent

À quand dans WhatsApp ? Viber ? Kik ? OnChat ? Tous les autres ?

Avatar de l'auteur
Vincent Hermann

Publié dans

Société numérique

25/07/2014 3 minutes
27

Line sur Android et iOS : des conversations chiffrées qui s'autodétruisent

Line est une application de messagerie très utilisée en Asie, et qui gagne graduellement en visibilité en Europe et dans le monde occidental. Alors que les questions de sécurité se font toujours plus pressantes, une nouvelle version apporte la possibilité de créer des conversations chiffrées qui s’autodétruisent.

Line

 

Sur iOS et Android, Line propose depuis peu une nouvelle mouture de son client de messagerie. Comme nous l’avions souligné dans notre dossier consacré à ce sujet, Line fait partie des solutions qui montent car elles présentent de très nombreuses fonctionnalités. Au point que certains pourraient lui préférer d’ailleurs des applications plus simples. Et au lot actuel, il faudra désormais ajouter la conversation sécurisée.

 

Le principe est simple : on choisit un ou plusieurs contacts avec qui démarrer une conversation possédant un temps d’expiration. Cette conversation sera chiffrée de bout en bout et s’effacera d’elle-même au bout du temps imparti. Ce que les utilisateurs apprécieront sans doute, d’autant que Line précise que les données sont détruites partout, y compris sur leurs serveurs. La durée peut aller de deux secondes (sic) à une semaine. Dans le cas où des messages seraient envoyés mais non lus, Line précise que le destinataire a deux semaines pour les lire. Passé ce délai, la conversation sera quand même supprimée.

 

line
Crédits : The Next Web

 

Toutefois, comme le signale The Next Web, ce type de fonctionnalité n’est pas neuf. Il s’agit justement de l’un des points forts de Telegram, qui existe sur iOS, Android, Windows Phone, ainsi que sous Windows, OS X et Linux. Le fonctionnement est à ce point identique que les messages avertissant du fonctionnement sont presque les mêmes, ainsi que les durées proposées avant destruction des messages.

 

Il est probable que cette fonctionnalité se répandra avec le temps. Dans le sillage des révélations d’Edward Snowden, la question de la vie privée et de sa préservation revient régulièrement sur le tapis, forçant de nombreuses entreprises à s’adapter. On ne peut que regretter qu’il ait fallu tant de preuves pour que le chiffrement commence réellement à se répandre dans les solutions grand public. Il ne faut pas oublier cependant que nous ne sommes pas en présence de solutions open source et que Line ne propose pas davantage d'API publiques, contrairement en partie à Telegram (code source des clients et API documentée).

Écrit par Vincent Hermann

Tiens, en parlant de ça :

Sommaire de l'article

Introduction

Fermer

Commentaires (27)


matroska
Le 25/07/2014 à 16h 28

Telegram c’est bien, mais bien moins utilisé et connu que Line, ça n’a rien à voir même…



Mais je préfère soutenir Telegram, ça m’a l’air plus sérieux. Enfin, je dis ça, je dis rien, vu qu’on ne peut pas savoir exactement…



<img data-src=" />


Commentaire_supprime
Le 25/07/2014 à 16h 30

Sur NXI, on a aussi des conversations qui s’autodétruisent grâce à l’application “admin pas content”. Par contre, elles sont en clair.



<img data-src=" /><img data-src=" /><img data-src=" /><img data-src=" /><img data-src=" />


Glyphe
Le 25/07/2014 à 16h 35

Ne pas mentionner dans l’article que cette soit-disant sécurité se base sur un code source fermé et donc pas auditable me semble plus relever de la pub que d’une analyse intéressante.



Il est toujours bon de rappeler que la sécurité par l’obscurité n’est jamais une solution viable même pour le grand public !


Jarodd Abonné
Le 25/07/2014 à 16h 42

@Glyphe : existe-t-il une appli qui propose la même protection, mais open-source ?


Glyphe
Le 25/07/2014 à 16h 49







Jarodd a écrit :



@Glyphe : existe-t-il une appli qui propose la même protection, mais open-source ?







Avec messages se supprimant automatiquement au bout d’un certain délai non mais sans cela il y a Textsecure sinon :https://whispersystems.org/



Mais mon message voulait surtout faire remarquer que vous devez faire confiance totalement dans cette société :





  1. Vous ne savez pas quelle est la méthode de chiffrement retenue, rien ne dit que ce soit du chiffrement de bout en bout. (J’ai cherché sur leur site, pas une seule mention des mécanismes, des algos ou librairies qui entrent en jeu)



  2. Au vu du fait que le message passe par les servers de la société, si ce n’est pas du chiffrement de bout en bout, il est peut-être stocké en clair sur leurs servers (vu que le délai peut-être de plusieurs semaines)



  3. Qu’est-ce qui vous dit que quand le message apparait supprimé pour les utilisateurs, il est bien réellement supprimé des servers de la société ? (cf Facebook)



    Tout ça pour dire que qualifier cette messagerie de sécurisée me semble pour le moins capilotracté <img data-src=" />



127.0.0.1
Le 25/07/2014 à 17h 01

@Glyphe: +1



Ca s’autodétruit seulement si on le veut bien. Preuve en est la capture d’écran dans la news: on voit les messages, et ca fait 1 heure que la news est postée. <img data-src=" />


after_burner
Le 25/07/2014 à 17h 05







Glyphe a écrit :



Avec messages se supprimant automatiquement au bout d’un certain délai non mais sans cela il y a Textsecure sinon :https://whispersystems.org/



Mais mon message voulait surtout faire remarquer que vous devez faire confiance totalement dans cette société :





  1. Vous ne savez pas quelle est la méthode de chiffrement retenue, rien ne dit que ce soit du chiffrement de bout en bout. (J’ai cherché sur leur site, pas une seule mention des mécanismes, des algos ou librairies qui entrent en jeu)



  2. Au vu du fait que le message passe par les servers de la société, si ce n’est pas du chiffrement de bout en bout, il est peut-être stocké en clair sur leurs servers (vu que le délai peut-être de plusieurs semaines)



  3. Qu’est-ce qui vous dit que quand le message apparait supprimé pour les utilisateurs, il est bien réellement supprimé des servers de la société ? (cf Facebook)



    Tout ça pour dire que qualifier cette messagerie de sécurisée me semble pour le moins capilotracté <img data-src=" />







    Tu pense que NXI va aller réquisitionner les serveurs de line pour vérifier???



    D’ailleurs que le code source soit open ne te permettra pas de savoir si les données sont chiffrées sur leur serveurs non plus… <img data-src=" />



    Je pense qu’il est possible de voir si les messages envoyés le sont en clair ou pas, sans voir le code, ce que tu demandes est à un autre niveau, et avec les moyens de la NSA, rien n’est sûr à 100%.



sleipne Abonné
Le 25/07/2014 à 17h 07







after_burner a écrit :



Je pense qu’il est possible de voir si les messages envoyés le sont en clair ou pas, sans voir le code, ce que tu demandes est à un autre niveau, et avec les moyens de la NSA, rien n’est sûr à 100%.





Line est une société Japonaise, pas de Patriot act aussi facilement <img data-src=" />



after_burner
Le 25/07/2014 à 17h 12







sleipne a écrit :



Line est une société Japonaise, pas de Patriot act aussi facilement <img data-src=" />







Ouais mais ils ont des espions partout. <img data-src=" />



Pis Androïd, iOS, WP, c’est américain. <img data-src=" /><img data-src=" />



Glyphe
Le 25/07/2014 à 17h 12







after_burner a écrit :



Tu pense que NXI va aller réquisitionner les serveurs de line pour vérifier???



D’ailleurs que le code source soit open ne te permettra pas de savoir si les données sont chiffrées sur leur serveurs non plus… <img data-src=" />



Je pense qu’il est possible de voir si les messages envoyés le sont en clair ou pas, sans voir le code, ce que tu demandes est à un autre niveau, et avec les moyens de la NSA, rien n’est sûr à 100%.







Toi tu dois pas avoir beaucoup de connaissances (si pas du tout vu ton message) en programmation. Ce qui n’est pas un reproche non plus mais bon c’est toujours mieux de commenter un sujet quand on le connait un minimum.



Bien entendu qu’on peut vérifier dans le code source si la méthode de chiffrement est de bout en bout ou pas, le code source est ce que fait l’application et les méthodes qu’elle utilise pour chiffrer les messages.

Selon la méthodologie retenue on peut évidemment différencier du chiffrement “simple” du chiffrement de bout en bout …



ThomChroma
Le 25/07/2014 à 17h 17







sleipne a écrit :



Line est une société Japonaise, pas de Patriot act aussi facilement <img data-src=" />





+1 Au Japon la NSA a les yeux bridés.



after_burner
Le 25/07/2014 à 17h 23







Glyphe a écrit :



Toi tu dois pas avoir beaucoup de connaissances (si pas du tout vu ton message) en programmation. Ce qui n’est pas un reproche non plus mais bon c’est toujours mieux de commenter un sujet quand on le connait un minimum.



Bien entendu qu’on peut vérifier dans le code source si la méthode de chiffrement est de bout en bout ou pas, le code source est ce que fait l’application et les méthodes qu’elle utilise pour chiffrer les messages.

Selon la méthodologie retenue on peut évidemment différencier du chiffrement “simple” du chiffrement de bout en bout …







Je ne suis pas un expert en chiffrement, mais si le code de l’application du coté du client permet de s’assurer que les données sont chiffrées de bout en bout alors je retire ce que j’ai dit.<img data-src=" />



Mais comme on l’entend beaucoup ces temps ci, il y a des failles qui permettent de casser ces méthodes de chiffrements et cela concerne les programmes qu’ils soient open source ou pas.



Glyphe
Le 25/07/2014 à 17h 33







after_burner a écrit :



Je ne suis pas un expert en chiffrement, mais si le code de l’application du coté du client permet de s’assurer que les données sont chiffrées de bout en bout alors je retire ce que j’ai dit.<img data-src=" />



Mais comme on l’entend beaucoup ces temps ci, il y a des failles qui permettent de casser ces méthodes de chiffrements et cela concerne les programmes qu’ils soient open source ou pas.







Pour être un peu plus explicite, dans le cas du chiffrement de bout en bout, le server ne sert qu’à transmettre les paquets entre les clients (et initialement à établir les connexions sécurisées). Il ne s’occupe pas du tout du chiffrement en lui-même, on veut justement qu’il ne s’en occupe pas.

Seul les 2 clients font du chiffrement “entre-eux”, du coup il est assez logique que dans le code source des softs client se trouvent tout le nécessaire pour comprendre comment ils chiffrent. :)




Flo_1
Le 25/07/2014 à 17h 43



Cette conversation sera chiffrée de bout en bout et s’effacera d’elle-même au bout du temps imparti.





Mais oui…









Jarodd a écrit :



@Glyphe : existe-t-il une appli qui propose la même protection, mais open-source ?







Pour le texte, il faut passer par le protocole XMPP avec le chiffrement OTR (ChatSecure, Jitsi…)

Pour l’audio / vidéo SIP avec ZRTP (CSipSimple, Jitsi…)



Flo_1
Le 25/07/2014 à 17h 49







Glyphe a écrit :



Toi tu dois pas avoir beaucoup de connaissances (si pas du tout vu ton message) en programmation. Ce qui n’est pas un reproche non plus mais bon c’est toujours mieux de commenter un sujet quand on le connait un minimum.



Bien entendu qu’on peut vérifier dans le code source si la méthode de chiffrement est de bout en bout ou pas, le code source est ce que fait l’application et les méthodes qu’elle utilise pour chiffrer les messages.

Selon la méthodologie retenue on peut évidemment différencier du chiffrement “simple” du chiffrement de bout en bout …







Le problème dans ce cas, c’est que même si le serveur ne voit pas exactement les messages, il voit quand même qui discute avec qui. Ce qui parfois suffit à connaître le contenu des messages.



Donc disposer du code du serveur et pouvoir utiliser l’application avec un serveur au choix est quand même un grand plus.



unCaillou
Le 25/07/2014 à 18h 19

On attend surtout la sortie de cryptocat. ¦¦¦¦


Dataman
Le 25/07/2014 à 19h 03

wickr,qui fonctionne bien…


Bylon
Le 25/07/2014 à 21h 05







Glyphe a écrit :



Ne pas mentionner dans l’article que cette soit-disant sécurité se base sur un code source fermé et donc pas auditable me semble plus relever de la pub que d’une analyse intéressante.



Il est toujours bon de rappeler que la sécurité par l’obscurité n’est jamais une solution viable même pour le grand public !







Je suis 200% d’accord !..



Ce qui est assez vicieux cependant, c’est que Telegram qui est cité dans l’article se dit “Open Source” mais il met surtout en avant les clients open source… ce qui nous intéresse c’est évidemment le côté serveur… voire qu’il n’y ait pas de serveur du tout, comme quand on fait de l’audio/visio en WebRTC. <img data-src=" />



Je rajouterai aussi que tout client de messagerie qui ne permet pas d’importer une clé de chiffrement qu’on lui fournit nous-même n’est pas non plus digne de confiance. C’est peut être plus “compliqué” de fabriquer une clé et la fournir, mais au moins on est sûr qu’il n’y a pas un “double de la clé” qui traîne quelque part. <img data-src=" />



Arcy Abonné
Le 25/07/2014 à 22h 02

Messages qui s’autodétruisent, comme sur Snapchat ?



<img data-src=" />


Darth
Le 25/07/2014 à 22h 25

c’est quoi l’appli qui soit disant tu envoyer le SMS , le receveur le lisais et le SMS etait cencé etre detruit , alors qu’au final c’etait conservé sur les serveur beaucoup plus longtemps ??? snapchat non ? <img data-src=" />



ca va pas etre pour celui la ??


superbar
Le 26/07/2014 à 04h 02

Il y a www.autodestructible.com qui propose ca par sms ou email depuis plusieurs annees…. donc c est pas nouveau.


Lutty
Le 26/07/2014 à 09h 10







TomGun a écrit :



+1 Au Japon la NSA a les yeux bridés.





<img data-src=" />



jaguar_fr Abonné
Le 26/07/2014 à 12h 26







Jarodd a écrit :



@Glyphe : existe-t-il une appli qui propose la même protection, mais open-source ?





La partie “cliente” de Telegram (appli mentionnée dans l’article) est open source



troun
Le 26/07/2014 à 19h 05







Jarodd a écrit :



@Glyphe : existe-t-il une appli qui propose la même protection, mais open-source ?







Oui! en plus sans serveur central (mais forcement pas aussi hype que les autres)



Kirito
Le 27/07/2014 à 14h 48

je prefere telegram <img data-src=" />


Zeurf
Le 28/07/2014 à 18h 49