Beaucoup d’activité actuellement dans les applications de messagerie. Viber reçoit une fonctionnalité de conversation avec date d’expiration, Signal dispose de ses appels vidéo en version finale et Telegram prépare l’arrivée des appels audio.
La plupart des applications mobiles de messagerie proposent une fonctionnalité dite de conversation secrète, ou Secret Chat. Telegram en dispose par exemple, de même que Messenger. L’idée est toujours la même : la conversation ne laisse aucune trace, les échanges étant supprimés après un temps défini par le créateur de la conversation. Par exemple, on peut indiquer qu’un message est effacé 15 secondes après avoir été lu.
Viber se dote donc de cette fonctionnalité dans sa dernière révision, du moins pour Android et iOS pour l’instant. Pour en profiter, il faut se rendre dans une conversation active puis cliquer sur le nom du contact en haut. Dans le menu qui s’ouvre, il faut sélectionner « Ouvrir le tchat secret ». Une autre conversation s’ouvre alors, avec ses propres règles. Comme sur Snapchat – qui a largement popularisé ce type de fonctionnalité – l’utilisateur est averti quand le contact prend une capture d’écran.
Notez qu'en cas de discussion avec un contact dont l'application n'est pas à jour, Viber proposera de lui suggérer d'aller récupérer la dernière version.
Les appels vidéo de Signal désormais en version finale
Il y a environ un mois, Signal activait une fonctionnalité en bêta pour ceux qui étaient intéressés : les appels vidéo. Tout aussi chiffrés que le reste des communications dans cette application, ces appels sont d’abord audio, et c’est une fois la communication établie que l’on peut cliquer sur l’icône caméra pour activer la vidéo.
Cette fonction est désormais finalisée et accessible aux utilisateurs sous Android et iOS. Plus besoin de l'activer dans les paramètres de l'application. Par contre, l’intégration à iOS 10 via CallKit a été modifiée pour installer quelques barrières de sécurité supplémentaires.
Comme l’avaient indiqué en effet les développeurs le mois derniers, CallKit s’avère pratique, puisqu’il intègre les services VoIP pour les faire apparaître comme des appels classiques : même interface, journal des appels, etc. Or, les appels sont justement synchronisés entre les appareils iOS par le compte iCloud. Une option spécifique permet donc de couper ce lien, les appels apparaissant dans le journal comme provenant d’un « Contact Signal ».
Telegram prépare l’arrivée des appels audio
La version bêta de l’application de messagerie permet aux utilisateurs de tester les appels audio, fonction phare manquant cruellement à celui qui joue les outsiders. Ils fonctionnent comme on s’y attend : un téléphone apparaît simplement en haut à droite de la conversation, on appuie dessus et l’appel se lance.
Telegram a l’air d’avoir manifestement réfléchi à sa copie, particulièrement sur les droits d’appel. Par défaut, tout le monde peut appeler l’utilisateur. Cependant, il est possible de réduire la liste aux seuls contacts, voire d’interdire purement et simplement que d’autres nous joignent. Il est également possible de définir des listes blanche et noire, en fonction du premier réglage.
Ce blocage est important, car Telegram offre la possibilité d’être contacté autrement que par le seul numéro de téléphone. Pour ceux qui n’ont pas envie en effet de communiquer cette information, on peut en effet définir un pseudo, à la manière d’un Kik ou d’un SnapChat. Il fallait donc éviter les cas d’abus. Cela étant, un réglage par défaut braqué sur « Mes contacts uniquement » aurait sans doute été préférable.
Des appels chiffrés de bout en bout
Autre élément important : les appels audio sont chiffrés de bout en bout. Telegram fournit même, à l’instar de WhatsApp, une image et un texte pour pouvoir comparer ces éléments sur le smartphone d’un contact. S’ils sont identiques, c’est que le chiffrement est garanti. Détail intéressant, les appels semblent impossibles sur les appareils rootés, afin que le chiffrement reste protégé.
L’installation de Telegram bêta ne peut se faire que sur Android, en cherchant l’APK dans le canal officiel « tgbeta ». Une fois l’opération réalisée, le téléphone n’apparait pas tout de suite dans les conversations. Il faut passer par quelques manipulations décrites dans un guide.
Notez que l’équipe semble être à pied d’œuvre pour toutes les versions. Sur iOS notamment, l’application doit bientôt supporter les thèmes et les appels audio. L’actuelle bêta, qu’on peut voir dans le canal tgbeta, est entièrement réécrite en Swift 3.0 et propose une interface modernisée. Les versions finales devraient débarquer dans les semaines qui viennent, y compris pour les clients « desktop ». À voir d’ailleurs si ces derniers supporteront les appels ou s’ils devront attendre une version ultérieure.
Commentaires (28)
#1
Merci pour cet article.
En gros, quelle est la différence entre toutes ces applis :
Whatsapp, Tango, Viber, Skype, Telegram etc… ?
J’ai l’impression qu’il ne s’agit que d’un copier-coller sans différenciation véritable…
#2
Le modèle économique, la position géographique des entreprises , parfois l’ouverture du code….
#3
Et un peu plus que le modèle économique, la boite derrière l’application a aussi son importance
#4
Oui, c’est même très important avec ce profilage permanent…
" />
Bref je croyais que Viber était allemand, mais en réalité c’est une société israélienne rachetée par un groupe japonais
#5
Pour le grand public, ça semble pareil, non ?
Il y a vraiment une différence de modèle économique ? Tous sont gratuits avec parfois de la pub, non ?
#6
#7
#8
Telegram est vraiment sympa.
J’ai essayé whatsapp, mais fans l’utilisation, telegram est vraiment meilleur.
Si les apells arrivent, alors y’a plus grand chose qui va lui manquer
#9
peut-être ne pas oublier la techno de chiffrement et son implémentation.
" />
#10
Oui effectivement
" />
#11
Sinon on peut consommer Français avec de l’open source qui plus est :p
#12
C’est dommage que tu ne sois pas plus explicite pour les non-avertis.
#13
Si je ne dis pas de bêtise, Signal est la seule application qui chiffre ses messages par défaut de bout en bout, qui est Open Source et qui a été audité.
#14
L’EFF avait fait un tableau comparatif sur la sécurité des applications de messagerie : https://www.eff.org/node/82654
La dernière mise à jour du tableau des scores date d’avril 2016 mais il sera bientôt mis à jour.
#15
Le n°90 de mars/avril 2017 du magazine MISC a un dossier intéressant sur les messageries sécurisées (“Telegram, Signal, WhatApp… : Quelle confiance leur accorder ?”).
#16
wire.com !
#17
Il y a Ring, Linphone, et surement d’autres. Mais c’est moins grand public que ceux cités dans l’article.
#18
curieux de voir leur attaque “man in the contacts”. ^^
#19
Oui, moi aussi. Je n’ai pas encore fini le dossier. ^^
#20
à mon avis c’est bêtement une façon de savoir si une cible est sur Signal, aucunement de la compromettre.
" />
Comme Signal détecte automatiquement si un des contacts utilise Signal, il suffit d’ajouter le numéro de la cible dans ses contacts pour savoir si celle-ci l’utilise.
je vois pas comment il pourraient aller plus loin.
comme c’est payant, j’attend ton compte-rendu.
#21
J’ai du mal à piger la différence entre Signal et Telegram. Ils n’offrent pas la même chose (grosso modo) ?
#22
Signal et Telegram sont toutes deux des messageries (chat avec un contact ou à un groupe, appel et partage d’images et de vidéos qui peuvent être lu depuis l’appli) s’appuyant sur le numéro de téléphone. Je dirais qu’ici s’arrête la comparaison.
Voici en gros ce que fait Telegram et que ne fait pas Signal : Partage de fichiers, Stickers (groupe d’images statiques ou animées que l’on peut ajouter à l’appli), Groupe publique, Bots, Stockage jusqu’à 1,5Go dans le cloud, Close Source pour la partie serveur et Open Source pour la partie client, cryptographie “maison”.
Voici en gros ce que fait Signal et que ne fait pas Telegram : Chiffrement de bout en bout par défaut des messages, Open Source, Meilleur paramétrage de sécurité par défaut (par défaut sur Telegram quelqu’un interceptant le code de vérification envoyé par SMS peut accéder à tous les échanges enregistrés dans le cloud et ses contacts ne seront pas prévenu par l’appli).
#23
Il existe aussi Threema!
Comme les autres c’est chiffré de bout en bout. Il a à peu près les mêmes service que Signal avec le gros avantage que la liaison du compte avec le numéro de téléphone est facultative. L’identifiant étant un ID au hasard (par exemple: JU8F4SM). De plus l’interface est très agréable (plus que Signal) et c’est Suisse (est-ce un argument?). Mais l’application coûte 2,99€ (ce qui peut aller à l’encontre de la culture internet du tout gratuit ^^).
#24
Voici un lien qui peut t’intéresser :www.securingapps.com/blog/ManInTheContacts_CYBSEC16.pdf
Sur l’attaque man in the middle des applications se servant du numéro de téléphone comme identifiant.
Et en vidéo là : youtube.com/watch?v=t3_OXOGe510
#25
Même chose que BlackPearl :)
https://www.youtube.com/watch?v=t3_OXOGe510
http://www.securingapps.com/blog/ManInTheContacts_CYBSEC16.pdf
#26
oui merci je viens de regarder, en fait j’avais déjà vu mais ailleurs, je savais pas que ça s’appelait “man in the contacts”. ^^
c’est justement la fameuse “faille” découverte chez Whatsapp dont tout le monde a parlé au mois de février (qui n’en est pas vraiment une, c’est une feature d’après eux, plus user-friendly), qui fait qu’en théorie on pourrait se faire passer pour un contact et récupérer un ancien message non encore reçu.
ça fonctionne “pas” avec Signal, puisque tout changement de clé déclenche une notification chez le contact en face (si le mec s’en fout par contre, on peut rien pour lui).
on va pas refaire le débat, mais justement c’est là qu’on voit la différence (et l’importance) entre le protocole d’une part (Signal et Whatsapp utilisent le même protocole) et l’implémentation d’autre part (puisque whatsapp ne prévient pas par défaut que la clé utilisateur a changé, et surtout renvoit automatiquement le message non reçu au contact en face, même si ce contact a changé de clé, cf “faille whatsapp” de février).
#27
Merci, je viens de voir que ce lien est aussi en référence dans le dossier de la revue. ^^
#28
Merci 
" />