Messagerie chiffrée : Wickr met en ligne le code de son moteur cryptographique

Le service de messagerie chiffrée et éphémère Wickr a publié le code de son moteur cryptographique, développé en interne. Le but est de fournir des gages de sécurité, sans pour autant permettre l'utilisation commerciale de cet outil. Une quasi-obligation, tant le chiffrement des conversations passe désormais par du code ouvert.

L'ouverture du code devient un passage obligé pour le chiffrement des discussions. Dernier en date, Wickr, qui a mis en ligne celui de son moteur cryptographique, une implémentation du Wickr Secure Messaging Protocol. Un livre blanc est aussi proposé, pour guider son analyse.

D'ailleurs, cette publication n'est pas destinée à la réutilisation du code, mais simplement à son évaluation. « Ce n'est pas une licence open source » prévient Wickr Inc. Plus globalement, Wickr table sur le besoin d'outils capables d'oublier le contenu des conversations. Au regard des derniers changements politiques, « il n'est plus responsable de tout stocker en permanence et de s'attendre à ce que les informations sensibles restent sûres », écrit-elle dans son billet de blog.

Une version professionnelle disponible depuis décembre

Fondée en 2012, la société américaine propose un service de messagerie instantanée éphémère, avec chiffrement de bout en bout et confidentialité persistante (perfect forward secrecy). Elle promet également la protection des métadonnées contre d'éventuels attaquants, même si les précisions concernent uniquement le transport de ces données, chiffré via TLS.

Le service grand public, gratuit, est accompagné d'une édition professionnelle payante, depuis décembre dernier. Il propose des communications chiffrées de bout en bout, « une gestion d'utilisateurs entièrement côté clients » et des transferts de fichiers allant jusqu'à 1 Go. L'un des principaux arguments de vente reste, bien entendu, la possibilité de détruire automatiquement le contenu.

En gage de transparence, l'entreprise propose également un Transparency Report, devenu commun chez les grandes entreprises du secteur. Le code a déjà subi au moins trois audits de sécurité, dont deux en 2014. Un programme de recherche de failles rémunérée (bug bounty) est également ouvert. Publier le code est donc une manière d'ajouter une corde à son arc.

Le grand mouvement vers le chiffrement des conversations

Avec cette publication, Wickr suit clairement le mouvement lancé par d'autres services et des associations, comme l'Electronic Frontier Foundation (EFF). Des outils comme Cryptocat misent sur leur code ouvert pour convaincre les internautes, quand le protocole Signal devient un standard pour les communications chiffrées (Cryptocat, Google Allo, Facebook Messenger, Signal lui-même, WhatsApp)... Ce qui n'empêche pas certaines déconvenues dans son implémentation.

Dans le même mouvement, le service Wire a ouvert son code côté client en juillet dernier. Son chiffrement s'appuie d'ailleurs aussi sur Signal (ex-Axolotl). À noter que fin janvier, l'outil a ajouté Collection, une fonction de sauvegarde des fichiers envoyés dans une conversation pour une durée plus ou moins limitée. Face à lui, Keybase a lancé sa fonction de discussion instantanée il y a quelques jours, en proposant par ailleurs l'échange de fichiers entre utilisateurs.

Mais le logiciel utilisé côté serveur reste souvent un grand point d'interrogation, soit parce qu'il n'est pas publié, soit parce qu'il n'est pas garanti que le code publié corresponde bien à celui en production. Une question que toutes les publications de moteur de chiffrement et de code de clients ne règleront pas, malgré la publicité qu'elles offrent.

• Consulter le code source de Wickr