La France travaille à une messagerie d'État chiffrée pour « cet été »

La France travaille à une messagerie d’État chiffrée pour « cet été »

Prêts pour l’Émeute ?

Avatar de l'auteur
Guénaël Pépin

Publié dans

Internet

13/04/2018 3 minutes
48

La France travaille à une messagerie d'État chiffrée pour « cet été »

Le gouvernement ambitionne de mettre en place sa propre messagerie chiffrée d'ici juillet. Selon nos informations, elle reprend un outil existant, déjà exploité par la suite Citadel de Thales. Le chiffrement de bout en bout des communications pourrait être de la partie.

Depuis la campagne présidentielle, l'an dernier, les messageries sécurisées comme WhatsApp et Telegram sont au coeur d'une grande crainte. Les membres actuels du gouvernement et les parlementaires passent massivement par ces outils étrangers, au contenu pas toujours chiffré, pour leurs communications. La possibilité que des informations sensibles transitent par ces canaux est importante, alors que la France dispose pourtant d'outils « souverains » pour cet usage.

La question a été posée à Mounir Mahjoubi, le secrétaire d'État au Numérique, par un auditeur de France Inter ce matin. « Nous travaillons à une messagerie sécurisée publique, qui ne sera pas dépendante d'offres privées » a répondu l'ancien président du Conseil national du numérique. Avant d'assurer que les membres du gouvernement utilisent au moins deux applications de type Telegram, évitant de placer tous leurs œufs dans le même panier.

En marge d'un entretien, Henri Verdier, le numéro un de la Direction interministérielle du numérique (DINSIC) nous a livré quelques précisions sur ce projet.

La même base que Citadel de Thales

« C'est un projet géré par la DINSIC parce qu'il n'est pas nécessaire de recourir à des prestataires extérieurs », nous explique Henri Verdier. Le projet devrait mobiliser quelques développeurs. « Ça ne coûte pas cher de reprendre une souche libre, de la sécuriser et de la redesigner un peu... »

Quid des outils existants ? « On a quand même un accord de coopération et d'interopérabilité avec Thales, qui porte un projet qui s'appelle Citadel – et qui est lui-même sur souche libre. Ce serait dommage de se tirer dans les pattes alors qu'on part de la même souche » poursuit le numéro un de la DINSIC.

« Nous testons déjà une version alpha. Je pense qu'on déploiera à l'été, peut-être en juillet. Le parti pris, c'est que c'est une messagerie auditée par l’État, opérée par l’État, mais qui ne sera pas réservée à l'État. Vous pourrez la télécharger dans les magasins d'applications normaux et la mettre sur votre téléphone », conclut l'ancien directeur de la mission Etalab. 

Une souche qui s'appellerait Riot

Quelle est donc cette « souche » libre qu'exploite Citadel de Thales ? Selon nos informations, il s'agirait de Riot, un outil de communication de groupe, à la logique inspirée de celle d'IRC. Il est fondé sur le protocole de messagerie instantanée Matrix, et permet la création de canaux chiffrés de bout en bout, même s'ils n'ont pas forcément à l'être. L'outil se rapproche concrètement d'un Slack auto-hébergeable et sécurisé, avec la possibilité d'intégrer des services tiers via des bots.

Des applications sont effectivement disponibles sur les principaux magasins d'applications. Pour l'utiliser avec un serveur de l'État, il suffirait donc de pointer ces clients vers celui-ci, comme n'importe quel hébergement personnel. Il reste tout de même à connaître l'importance des changements apportés par la DINSIC et le contrôle qu'aura éventuellement l'agence nationale de cybersécurité, l'ANSSI, sur cet outil.

Propos recueillis auprès d'Henri Verdier par Xavier Berne.

48

Écrit par Guénaël Pépin

Tiens, en parlant de ça :

Sommaire de l'article

Introduction

La même base que Citadel de Thales

Une souche qui s'appellerait Riot

Le brief de ce matin n'est pas encore là

Partez acheter vos croissants
Et faites chauffer votre bouilloire,
Le brief arrive dans un instant,
Tout frais du matin, gardez espoir.

Commentaires (48)


Je me demande si ces nouveaux développements vont profiter aux logiciels suscités ou s’ils vont rester coincés dans les arcanes des développements utilisant des logiciels open-source mais dont les avancées ne sont pas publiées par leurs auteurs…



Financement public = code libre ?


Tiens c’est marrant je voulais tester Riot en auto-hébergé pour de la visio mais grosse flemme de tout mettre en place.


En esperant que ça fonctionne mieux que SAIP


Manque plus que personne l’utilise et voilà… et on a un outil crée par l’état français


Quand il parle de ne pas se tirer dans les pattes avec Thalès, je comprends qu’il y aura partenariat privé-public. Mais pas sûr que ca retombe dans le libre pour autant.. (pas sûr genre, sûr de l’inverse presque)


L’été sera chaud ! <img data-src=" />


&nbsp;

« Ça ne coûte pas cher de reprendre une souche libre, de la sécuriser et de la redesigner un peu… » &nbsp;





Ok, celle-là je la garde pour la prochaine news sur le contrat openbar avec MS.

&nbsp;Argument ultime du numéro un de la Direction interministérielle du numérique pour préférer des logiciels open-source à ceux payants.

&nbsp;








MoonRa a écrit :



Manque plus que personne l’utilise et voilà… et on a un outil crée par l’état français





C’est nécessairement dans le cahier des charges comme toute bonne applie d’Etat;

&nbsp;“il est demandé au développateur :

. de créer une surcouche d’interface inspirée de windows 95 pour éviter toute phase d’apprentissage des agents habitués à cet environnement,

. l’API de chiffrement bien que reposant sur Citadel de Thales sera downgradée pour reposer sur celle de BULL avant son rachat en 1995.




  • CLAUSE DE PENALITE EN CAS DE FONCTIONNEMENT:

    Les agents sont très soucieux de retrouver le mode de fonctionnement habituel dans les administrations. En cas de fonctionnement sans plantage au moins une fois par jour une pénalité de fonctionnement sera retenue sur les salaires des développateurs.

  • CLAUSE DE DEVELOPPEMENT EN METHODE AGILE:

    La capacité d’adaptation aux évolutions durant le développement est un impératif. Dès à présent, il est demandé qu’à l’occasion du plantage attendu dans la clause précédente, qu’un écran bleu s’affiche ainsi qu’une boite de dialogue demandant si l’agent veut envoyer un rapport à microsoft, là encore pour ne pas perturber les process internes mis en œuvre au sein des administrations depuis des années”.



    Oui c’est dredi ! <img data-src=" />



Bon, puisque c’est ‘dredi : j’espère que Louvois messenger aura le même succès que le cloud souverain et les mêmes performances que SAIP&nbsp;<img data-src=" />


Si on pouvait éviter le sarcasme automatique au prétexte que c’est vendredi, ce serait sympa. :)


<img data-src=" />



Plus sérieusement, si je comprends bien l’intérêt de l’outil pour les parlementaires et les ministères, je ne vois pas bien l’intérêt pour le particulier. Même en n’ayant rien à cacher, autant utiliser le logiciel dans sa version originale, sans la surcouche Made in France.


Tiens en parlant de ça, pas une petite niouze sur Telegram INterdit en Russie aujourd’hui ?


Le Brief devrait reprendre lundi, on en profitera pour en parler. :)








Quiproquo a écrit :



<img data-src=" />



Plus sérieusement, si je comprends bien l’intérêt de l’outil pour les parlementaires et les ministères, je ne vois pas bien l’intérêt pour le particulier. Même en n’ayant rien à cacher, autant utiliser le logiciel dans sa version originale, sans la surcouche Made in France.





Et d’une t’arrêtes tout de suite la gaudriole goguenarde d’avant le samedi , et de deux c’est un projet du gouvernement, donc c’est pour ton bien ! ^^



La question derrière est de savoir ce qui sera éventuellement reversé vers la “souche libre”. S’ils améliorent l’ergonomie, ce serait déjà un bon ajout.


Bha l’intéret c’est qu’avec un peu de bol on pourrai faire certaiens démarches administratives via ce biais ?



Genre chatter avec un conseiller X, qui nous demande un papier Y, qu’on lui transmet en live de manière sécurisé avec des outils opensource et qu’ils nous répondent en moins de deux semaines que le document est reçu et traité.



Ouai c’est une sorte de science fiction mais ça serait ptet pas mal.








Gnppn a écrit :



Le Brief devrait reprendre lundi, on en profitera pour en parler. :)





<img data-src=" /><img data-src=" />





Il reste tout de même à connaître l’importance des changements apportés par la DINSIC et le contrôle qu’aura éventuellement l’agence nationale de cybersécurité, l’ANSSI, sur cet outil.





Clair qu’une messagerie chiffrée developpée par un GVT qui fait tout pour tuer le chiffrement, ça donne pas très envie. Perso, sans moi.








MoonRa a écrit :



Manque plus que personne l’utilise et voilà… et on a un outil crée par l’état français







La fameuse French Tech. :)









MoonRa a écrit :



Manque plus que personne l’utilise et voilà… et on a un outil crée par l’état français





Ben à priori, il y a tout de même un besoin en interne, et ils décident de l’ouvrir au public des fois que ça intéressent des gens (pas forcément le grand public, ça peut être des entreprises privées par exemple).

&nbsp;



Ça ne dépend que de leur définition de “chiffrement end to end”.

Suffit de définir que end1=client et end2=server.

Et “Hop”, tous les messages sont archivés sur un serveur Thalès.



Pour des contraintes légales (savoir qui a dit quoi à qui), meme Citadel doit fonctionner sur ce principe: apres tout, ce n’est pas un système grand publique mais pour le gvmt !








Ricard a écrit :



La fameuse French Tech. :)





Si c’est aussi bien penser que impot.gouv… tu ne peux pas rentrer sans d’abord visionner une vidéo de 30 s sur le prélèvement à la source, lorsque tu as pu enfin te loguer la vidéo se lance à nouveau (mais tu peux la zapper). Testez si vous avez vos codes, c’est à hurler de rire! Comme tu dis la French Tech !



Vu … enfin laissé défiler jusqu’à ce que ça rende la main .. Ouais eu la flemme du F12 pour 30s :/








Tophe a écrit :



Ça ne dépend que de leur définition de “chiffrement end to end”.

Suffit de définir que end1=client et end2=server.

Et “Hop”, tous les messages sont archivés sur un serveur Thalès.



Pour des contraintes légales (savoir qui a dit quoi à qui), meme Citadel doit fonctionner sur ce principe: apres tout, ce n’est pas un système grand publique mais pour le gvmt !







Ben c’est un système pour le grand public aussi, pas seulement pour le GVT.<img data-src=" />



Hum, je ne comprends pas trop les commentaires trolls.



Le besoin de l’Etat est de communiquer via des applications chiffrées pour des raisons de confidentialité. A l’heure actuelle, ils utilisent des technologies françaises et étrangères.

&nbsp;

L’idée derrière le projet est de fournir un Slack like au gouvernement afin de faciliter la communication entre les membres du gouvernement. Pour le coup, je trouve que c’est plutôt une bonne idée.



Par contre, je ne pense pas qu’il faille attendre des contributions à la souche libre :).


J’aurais du être plus précis, je parlais spécifiquement de Citadel de Thales, qui - à ma connaissance - n’est pas grand publique.



Autre sujet, quand je vois Thales et communication dans la meme phrase, je pense à ‘Teorem’ <img data-src=" />








Nicky5 a écrit :



Vu … enfin laissé défiler jusqu’à ce que ça rende la main .. Ouais eu la flemme du F12 pour 30s :/





Merci de l’avoir testé car je me demandais si c’était pas un bug de la vidéo sur mon navigateur. :)



Riot étant publié sous licence Apache 2.0, la question est en effet ouverte.



Trois choix sont possibles :





  • Pas de publication du code

  • Licence permissive

  • Licence avec obligation de réciprocité







    Seul le choix deux permet de réintégrer le code upstream.


Waw ! Perso j’utilise Riot depuis les premières heures, j’ai vécu les horreurs des débuts du chiffrement pàp… Et ça fait super plaisir de lire ça, vraiment.

Pour une fois que le gouvernement français prend une décision pas trop conne, c’est vraiment cool.


Mais du coup (je ne suis pas spécialiste), il n’y a pas un risque que la nouvelle messagerie chiffrée fasse doublon avec Citadel ? Voire avec les autres services de messagerie similaires déjà traités par l’ANSSI ?




Prêts pour l’Émeute ?





l’Émeute icône, bien sur :-)










crocodudule a écrit :



Si c’est aussi bien penser que impot.gouv… tu ne peux pas rentrer sans d’abord visionner une vidéo de 30 s sur le prélèvement à la source, lorsque tu as pu enfin te loguer la vidéo se lance à nouveau (mais tu peux la zapper). Testez si vous avez vos codes, c’est à hurler de rire! Comme tu dis la French Tech !





C’est de la pédagogie imposée. La vidéo dure plus de 30s chez moi (59 il y a deux jours de mémoire)





« Ça ne coûte pas cher de reprendre une souche libre, de la sécuriser et de la redesigner un peu… »





Donc la base est libre mais pas sécurisée ? Elle permet la “création de canaux sécurisés” mais c’est un peu par hasard, ce n’est pas ce qui était prévu au départ ?



Ca promet…


Riot intègre du chiffrement de bout en bout et sa conception est tournée vers la sécurité. Cela n’empêche pas de blinder l’installation de l’instance.


Pour info, ils ont une page et une plaquette sur le site du groupe:

https://www.thalesgroup.com/fr/citadel-team#

Pour ce qui est de l’état de la plateforme actuelle, je trouve la version web bien moins bonne que mattermost dans la version que j’avais à mon ancien poste il y a un an. Et pour leur faire remonter des bugs, pas de bug tracker, il faut envoyer un message dans leur room: en gros, aucun suivi des bugs. J’ai essayé d’en remonter, ça m’a l’air encore moins efficace que d’écrire un message sur un magasin d’applications ^^ Le support du markdown est lacunaire, aucune possibilité d’éditer un message, les problèmes d’identité ont l’air d’être gérés à la main par un admin. Il y a encore du travail mais entre ça et microsoft communicator 2007, je choisis citadel sans hésiter !


echo ‘debhttps://riot.im/packages/debian/ stretch main’ &gt; /etc/apt/sources.list.d/matrix-riot-im.list

apt-get install riot-web

cp -f images/Arnaud_Marin.gif /opt/Riot/resources/webapp/home/images/logo.svg





Voila, c’est sécurisé et redesigné un peu. <img data-src=" />


L’application de l’état ne sera pas forcément libre car la licence de Riot (Apache) n’impose pas que les travaux dérivés soient publiés sous une licence libre.



Donc même si l’état publie son app sur le PlayStore, je n’y toucherai pas car elle pourrait contenir une backdoor (ils seraient con de ne pas le faire…)



Si l’état jouait le jeu il reverserait ses améliorations au projet Riot. Le libre ce n’est pas simplement piller.

&nbsp;




La France travaille





Le gouvernement ambitionne





projet géré par la DINSIC





quelques développeurs





Où comment faire passer une souris pour un éléphant.


Matrix, sérieusement ?



Pourquoi ne pas avoir simplement pris une direction XMPP ?








Gnppn a écrit :



Riot intègre du chiffrement de bout en bout et sa conception est tournée vers la sécurité. Cela n’empêche pas de blinder l’installation de l’instance.





Les clés de chiffrement sont ou ? On peut mettre les nôtres ?



Dans un coffre fort de la DGSI bien sûr <img data-src=" />



  1. les clef privées sont stockées localement



    1. non, car les clef sont créées à la volée par le client, et la clef qui chiffre chaque message est à usage unique.



Moi, je me pose une question simple :*

Sachant que les différents gouvernements cherchent à espionner protéger les concitoyens avec des boites noires dans les datacentres. Vont ils implémenter volontairement une backdoor dans l’appli ?

Il n’y a pas de raison que le pékin moyen soit espionné et pas le parlementaire !

&nbsp;


Super ! Ne reste plus qu’à attendre que des terroristes l’utilisent et à sortir le pop-corn en écoutant Collomb.


J’utilise Riot depuis 7 mois (et je les soutiens sur Patreon). C’est une excellente alternative à Slack. Niveau UX, je trouve que Slack est encore au-dessus, mais le focus de l’équipe de Matrix/Riot aujourd’hui est de stabiliser les fonctionnalités et améliorer la UX, afin de sortir la version 1.0.



D’après leurs dires, ce sera “encore mieux que Slack”, mais bon, j’attends de voir quand même ;)

Mais honnêtement, hormis quelques bugs d’interface, l’application est largement utilisable et agréable à utiliser.



Par rapport à l’annonce, mon point de vue est que tout ce qui est développé avec les impôts des contribuables devrait être open source afin d’en faire profiter aux contribuables aussi. Matrix/Riot serait donc un parfait exemple d’améliorations faites par l’état et qui profitent en retour à toute la communauté. Avec la polémique sur l’open data en ce moment, j’espère que ça se concrétisera.


ça serait aussi une belle occasion de faire taire les trolls, les haters, et les habituels complotistes. <img data-src=" />


Un peu pareil. Puis la dernière fois que j’avais regardé, c’était pas en version stable.