Cryptocat finalisé pour Android et iOS, publication après analyse des sources

Cryptocat finalisé pour Android et iOS, publication après analyse des sources

Chaque chose en son temps

Avatar de l'auteur
David Legrand

Publié dans

Société numérique

12/12/2013 2 minutes
30

Cryptocat finalisé pour Android et iOS, publication après analyse des sources

Comme annoncé il y a quelques semaines, Cryptocat arrive sur Android et iOS. Le code est désormais finalisé, mais avant de rendre les applications disponibles à tous, l'équipe veut que celles-ci soient analysées par des experts en sécurité.

Cryptocat iOS

 

Décidément, il y a du mouvement dans le monde de la messagerie sécurisée sur smartphone. Si Gibberbot / ChatSecure du Guardian Project existe depuis un moment, on apprenait récemment que CyanogenMod comptait intégrer nativement TextSecure comme protocole de gestion des SMS chiffrés. De son côté, Cryptocat arrive aussi sur plusieurs plateformes mobiles, mais a décidé de faire les choses correctement.

 

Ainsi, après des mois d'attente et de retard, on apprend que le code des applications Android et iOS est finalisé. Il serait simple de les distribuer en l'état, mais l'équipe a décidé de plutôt demander une analyse du code source par des experts en sécurité, ou toute personne qui voudrait donner son avis.

 

Pour cela, deux projets GitHub ont été mis en ligne. Chacun pourra s'y rendre, analyser les sources et déclarer des bugs ou des soucis de sécurité afin que tout soit corrigé avant une mise en ligne des applications qui n'a pas encore été datée. Tous ceux dont les contributions seront acceptées seront bien entendu crédités pour cela, et pourront être récompensés en T-shirt, stickers ou même de l'argent (la somme n'a pas été précisée) en fonction de l'importance de leur découverte.

 

Pour ceux qui voudraient en savoir plus, tout se passe par ici :

Écrit par David Legrand

Tiens, en parlant de ça :

Sommaire de l'article

Introduction

Fermer

Commentaires (30)


Romain_Ph
Le 12/12/2013 à 09h 57

La version finale sera disponible sur github aussi ? parce que moi perso je vais l’installer de ce pas sur mon tel et celui de ma femme directement :) <img data-src=" />



( je dis finale, car sur leur github ils disent que c’est pas ‘encore” finalisé … )


JCLB Abonné
Le 12/12/2013 à 10h 12

ça serait bien une appli de chiffrement de chat qui supporte les certifs S/MIME, ça permettrait de valider l’identité des correspondants.



En tout cas si ce produit est simple d’utilisation il va cartonner, bon il cartonnerait encore plus s’il permettait d’envoyer des photos à expiration comme snapchat <img data-src=" /> ou pas…


David_L Abonné
Le 12/12/2013 à 10h 16







JCLB a écrit :



ça serait bien une appli de chiffrement de chat qui supporte les certifs S/MIME, ça permettrait de valider l’identité des correspondants.



En tout cas si ce produit est simple d’utilisation il va cartonner, bon il cartonnerait encore plus s’il permettait d’envoyer des photos à expiration comme snapchat <img data-src=" /> ou pas…





C’est le cas ici, mais via le protocole OTR qui ne se base pas sur S/MIME (puisque cela dépend d’une autorité centrale qui n’est pas trop du goût de ce genre de solutions) ;)



JCLB Abonné
Le 12/12/2013 à 10h 20







David_L a écrit :



C’est le cas ici, mais via le protocole OTR qui ne se base pas sur S/MIME (puisque cela dépend d’une autorité centrale qui n’est pas trop du goût de ce genre de solutions) ;)





Mais il fonctionne avec une clé partagée échangée via Diffie-Hellman, et non sur un couple public-privé. C’est avantageux en conférence car on envoi les données une seule fois au serveur, par contre c’est moins bien que de l’asymétrique.



Mais bon, ils proposeront peut-être cela une fois l’implémentation OTR complètement fonctionnelle. Car finalement c’est cette dernière qui est a blâmer car ne proposant que du symétrique.



maverick78 Abonné
Le 12/12/2013 à 10h 34







romainsromain a écrit :



parce que moi perso je vais l’installer de ce pas sur mon tel et celui de ma femme directement :) <img data-src=" />





Au moins la NSA ne saura pas que c’est toi qui passe cherche le pain ce soir <img data-src=" />

Plus serieusement, autant dans les cas d’intelligence économique je peux comprendre mais la ?

J’espère que tu ne l’appelles jamais car ca n’est pas mieux et que tous les mails que tu lui envoies sont chiffrés.



®om
Le 12/12/2013 à 10h 35







JCLB a écrit :



ça serait bien une appli de chiffrement de chat qui supporte les certifs S/MIME, ça permettrait de valider l’identité des correspondants.



En tout cas si ce produit est simple d’utilisation il va cartonner, bon il cartonnerait encore plus s’il permettait d’envoyer des photos à expiration comme snapchat <img data-src=" /> ou pas…





PGP ou S/MIME n’est pas approprié pour la messagerie instantanée :

Off-the-Record Communication, or, Why Not To Use PGP



À lire aussi:

14 reasons not to start using PGP

Why the Web of Trust Sucks



PGP (GPG) est très bien, je l’utilise aussi, mais il faut bien avoir conscience des limites et de ce qu’on veut protéger, contre qui, et qu’est-ce qu’on ne protège pas et qu’on leake.



®om
Le 12/12/2013 à 10h 36







maverick78 a écrit :



Au moins la NSA ne saura pas que c’est toi qui passe cherche le pain ce soir <img data-src=" />

Plus serieusement, autant dans les cas d’intelligence économique je peux comprendre mais la ?

J’espère que tu ne l’appelles jamais car ca n’est pas mieux et que tous les mails que tu lui envoies sont chiffrés.





En quoi les Big Data sont-elles personnelles ? (internetactu)



Oby-Moine Abonné
Le 12/12/2013 à 10h 55

@®om

Tu peux nous dire brièvement pourquoi le pgp (ou gpg) n’est pas bien pour la messagerie instantanée ?


Ingénieur informaticien
Le 12/12/2013 à 10h 59







maverick78 a écrit :



Au moins la NSA ne saura pas que c’est toi qui passe cherche le pain ce soir <img data-src=" />







Va savoir les secrets qui s’échangent dans sa boulangerie …

Si ça se trouve ce sont les prochaines ventes d’Airbus qui s’y jouent !



Romain_Ph
Le 12/12/2013 à 10h 59







maverick78 a écrit :



Au moins la NSA ne saura pas que c’est toi qui passe cherche le pain ce soir <img data-src=" />

Plus serieusement, autant dans les cas d’intelligence économique je peux comprendre mais la ?

J’espère que tu ne l’appelles jamais car ca n’est pas mieux et que tous les mails que tu lui envoies sont chiffrés.







Bah genre ma femme qui bosse dans une administration sensible de l’état, ca peut lui être utile ;)



Commentaire_supprime
Le 12/12/2013 à 11h 00







maverick78 a écrit :



Au moins la NSA ne saura pas que c’est toi qui passe cherche le pain ce soir <img data-src=" />

Plus serieusement, autant dans les cas d’intelligence économique je peux comprendre mais la ?







Contrôle social. Dans une société totalitaire, toute information personnelle est utilisable et, très souvent, utilisée contre les individus afin de neutraliser leurs possibles penchants contestataires, si possible en les prévenant.



seboquoi
Le 12/12/2013 à 11h 03

Tout ça est évidemment très intéressant mais, en ce qui me concerne, je ne pourrais adopter ce genre d’habitude que quand tout le monde s’y sera mis….



Il faudrait que ce soit intégré de base dans les OS mobiles, et pas uniquement dans Cyanogen ou via des applis comme celle-là. Enfin j’imagine qu’il faut bien que ça comme comme ça mais on va devoir attendre un peu plus longtemps avant que tout le monde ne puisse profiter de ce niveau de protection de la vie privée.


maverick78 Abonné
Le 12/12/2013 à 11h 10







romainsromain a écrit :



Bah genre ma femme qui bosse dans une administration sensible de l’état, ca peut lui être utile ;)





Si c’est sensible alors je doute qu’elle ait le droit d’utiliser son téléphone perso pour en parler (d’ailleurs je doute qu’elle ait le droit d’en parler en fait, même avec toi) <img data-src=" />

Si c’est la flotte mobile de l’état, je doute que tu puisses agir sur le téléphone (enfin j’espère) et je pense qu’il y a déjà des précautions prises.







®om a écrit :



En quoi les Big Data sont-elles personnelles ? (internetactu)





Ca rejoint ce que je dis dans mon message, a quoi ca sert de s’envoyer des SMS cryptés quand de toute facon on peut te traquer, écouter tes conversations en clair, lire tes mails…

C’est comme avoir la meilleure porte blindée dans sa maison mais laisser la porte fenêtre du salon ouverte quand on part…



®om
Le 12/12/2013 à 11h 11







Oby-Moine a écrit :



@®om

Tu peux nous dire brièvement pourquoi le pgp (ou gpg) n’est pas bien pour la messagerie instantanée ?





En 2 mots : il ne permet pas la perfect forward secrecy ni la répudiation.



La première propriété permet de ne pas pouvoir déchiffrer les messages a posteriori si la clé est trouvée plus tard.

La seconde permet de pouvoir nier l’émission d’un message (alors qu’avec GPG tu signes tout ce que tu envoies).



Pour plus de détails, le pdf dont j’ai donné le lien est assez court et compréhensible (mais en anglais).



Romain_Ph
Le 12/12/2013 à 11h 14







maverick78 a écrit :



Si c’est sensible alors je doute qu’elle ait le droit d’utiliser son téléphone perso pour en parler (d’ailleurs je doute qu’elle ait le droit d’en parler en fait, même avec toi) <img data-src=" />

Si c’est la flotte mobile de l’état, je doute que tu puisses agir sur le téléphone (enfin j’espère) et je pense qu’il y a déjà des précautions prises.







C’est son tel perso ;) mais dès fois elle peut me confier ce qu’elle pense sur un tel ou un tel de ses chefs ou collègues qui parfois font des coup de * ou parfois les fous rires qu’elle à avec d’autres collègues.



Je considère que ces choses sont privées et ne regardent que nous deux …



Par contre elle est professionnelle et ne partagera jamais les infos elle même sur lesquelles elle bosse ;)



carbier Abonné
Le 12/12/2013 à 11h 28







maverick78 a écrit :



Ca rejoint ce que je dis dans mon message, a quoi ca sert de s’envoyer des SMS cryptés quand de toute facon on peut te traquer, écouter tes conversations en clair, lire tes mails…

C’est comme avoir la meilleure porte blindée dans sa maison mais laisser la porte fenêtre du salon ouverte quand on part…





Tu as raison… d’ailleurs puisque rien de personnel n’a d’importance et que tout peut être connu, je m’en vais de ce pas créer un blog pour donner à tout le monde mon niveau de salaire, mes maladies (si j’en ai), mon adresse, des photos de mes enfants avec leur nom et leur lieu de scolarité, etc. etc.



Wikus
Le 12/12/2013 à 11h 37







carbier a écrit :



Tu as raison… d’ailleurs puisque rien de personnel n’a d’importance et que tout peut être connu, je m’en vais de ce pas créer un blog pour donner à tout le monde mon niveau de salaire, mes maladies (si j’en ai), mon adresse, des photos de mes enfants avec leur nom et leur lieu de scolarité, etc. etc.





Il y a déjà Facebook pour ça <img data-src=" />



carbier Abonné
Le 12/12/2013 à 12h 09







FrenchPig a écrit :



Il y a déjà Facebook pour ça <img data-src=" />





Oula, ça y est je suis grillé, tout le monde va savoir que je n’utilise pas FB <img data-src=" />



Glyphe
Le 12/12/2013 à 12h 30







JCLB a écrit :



Mais il fonctionne avec une clé partagée échangée via Diffie-Hellman, et non sur un couple public-privé. C’est avantageux en conférence car on envoi les données une seule fois au serveur, par contre c’est moins bien que de l’asymétrique.



Mais bon, ils proposeront peut-être cela une fois l’implémentation OTR complètement fonctionnelle. Car finalement c’est cette dernière qui est a blâmer car ne proposant que du symétrique.







Vu qu’on en est au point de rajouter des couches, tu peux très bien chiffrer manuellement les messages que tu envoies dans Cryptocat via PGP/GPG <img data-src=" />

Bon c’est un peu overkill je trouve mais bon ça fonctionnera très bien.



Sinon je suis très content que cet outil de messagerie instantanée arrive sur les plateformes mobiles. C’est le projet de chat sécurisé le plus abouti et le plus ouvert que je connaisse. Il manquait d’audit au début du projet mais la notoriété aidant, de plus en plus de spécialistes en cryptographie se penchent sur son code et c’est de très bon augure pour la qualité du code.



A noter aussi que le Lead Developer (Nadim Kobeissi) n’a pas hésité à enlever momentanément une fonction comme le partage de fichiers par suspicion de bugs pouvant entrainer une faille de sécurité.

Je pense que c’est tout à l’honneur de ce projet qui se soucie d’abord de la sécurité et de ses utilisateurs !



source : https://github.com/cryptocat/cryptocat/issues/527



maverick78 Abonné
Le 12/12/2013 à 12h 33







carbier a écrit :



Tu as raison… d’ailleurs puisque rien de personnel n’a d’importance et que tout peut être connu, je m’en vais de ce pas créer un blog pour donner à tout le monde mon niveau de salaire, mes maladies (si j’en ai), mon adresse, des photos de mes enfants avec leur nom et leur lieu de scolarité, etc. etc.





Il y a une différence entre tout divulger publiquement et être parano, un juste milieu.

De toute facon les services de l’état savent déjà combien tu gagnes, qui sont tes enfants et ou ils sont scolarisés…



Ce que je dénonce également c’est la non cohérence : chiffrer ses sms ok, mais quid du reste des communications ? Tes cartes postales aussi sont chiffrées ?



Romain_Ph
Le 12/12/2013 à 12h 39







maverick78 a écrit :



Il y a une différence entre tout divulger publiquement et être parano, un juste milieu.

De toute facon les services de l’état savent déjà combien tu gagnes, qui sont tes enfants et ou ils sont scolarisés…



Ce que je dénonce également c’est la non cohérence : chiffrer ses sms ok, mais quid du reste des communications ? Tes cartes postales aussi sont chiffrées ?







Pour ta cohérence personnelle : une carte postale tu vas surement pas avoir les mêmes correspondances qu’avec ton/ta conjointe par SMS !



Sans compter que par SMS c’est souvent les coups de gueules, les ptit’s trucs, bref ce que je considère comme de l’intime ….



carbier Abonné
Le 12/12/2013 à 13h 02







maverick78 a écrit :



Il y a une différence entre tout divulger publiquement et être parano, un juste milieu.

De toute facon les services de l’état savent déjà combien tu gagnes, qui sont tes enfants et ou ils sont scolarisés…





Normal que l’Etat sache cela.

Mais par contre je ne savais pas qu’il n’y avait que les Etats qui pouvaient espionner tes correspondances.





maverick78 a écrit :



Ce que je dénonce également c’est la non cohérence : chiffrer ses sms ok, mais quid du reste des communications ? Tes cartes postales aussi sont chiffrées ?





Raisonnment binaire qu’est le tien.

Il faut un début à tout non ?



16ar
Le 12/12/2013 à 15h 28







maverick78 a écrit :



Il y a une différence entre tout divulger publiquement et être parano, un juste milieu.

De toute facon les services de l’état savent déjà combien tu gagnes, qui sont tes enfants et ou ils sont scolarisés…



Ce que je dénonce également c’est la non cohérence : chiffrer ses sms ok, mais quid du reste des communications ? Tes cartes postales aussi sont chiffrées ?





L’avantage du sms, c’est que ça part rapidement, c’est plus rapide qu’un mail, et ça permet de recevoir l’information, même sans edge ou 3G. Du coup, un sms chiffré est plus utile qu’un mail par PGP envoyé d’un mobile vers un autre mobile.



Internet a changé la vie privée. Avant, la vie privée n’allait pas plus loin que ta voix (hormis téléphone). Pour espionner ta vie privée, il fallait mettre en œuvre des moyens logistique très pointus et cher (installation de micros chez toi, sur ton téléphone, surveillance visuelle etc). Puisque maintenant, tout passe par Internet, il suffit de mettre des machines avec des gros disques durs aux bons endroits, et c’est bon. Ça coûte très cher également sauf que là, on n’espionne plus la vie privée d’une personne surveillée en particulier, mais celle de tout le monde.

On passe d’une surveillance spécifiques pour certaines personnes sous enquête à une surveillance généralisée. Ce n’est plus la même échelle, ce n’est plus le même problème.



Quand tu es chez toi, tu aimes bien avoir un peu d’intimité non ? Tu fermes tes portes, tu n’invites pas n’importe qui ?



BenGamin
Le 12/12/2013 à 17h 38







romainsromain a écrit :



Sans compter que par SMS c’est souvent les coups de gueules, les ptit’s trucs, bref ce que je considère comme de l’intime ….





Je te rejoint sur ce point. Loin de toute parano, le correspondance privée est privée. Banalité ou pas ce n’est pas la question.



Le sms/mail devrait être traité de la même façon qu’une lettre. Une entreprise privée ou publique qui se permettrai d’ouvrir toutes les lettres qu’elle transmet se ferait écarteler en place publique (enfin j’espère).



Nous avons tous le droit à une vie privée et je compte bien l’utiliser (ce droit). Quand bien même ce serait pour échanger des informations sans aucune importance pour n’importe qui d’autre.



En_transit
Le 12/12/2013 à 21h 11







maverick78 a écrit :



Il y a une différence entre tout divulger publiquement et être parano, un juste milieu.





“Le juste milieu, c’est le trou du cul”



Charles de Gaulle.



al_bebert
Le 13/12/2013 à 00h 08







BenGamin a écrit :



Je te rejoint sur ce point. Loin de toute parano, le correspondance privée est privée. Banalité ou pas ce n’est pas la question.



Le sms/mail devrait être traité de la même façon qu’une lettre. Une entreprise privée ou publique qui se permettrai d’ouvrir toutes les lettres qu’elle transmet se ferait écarteler en place publique (enfin j’espère).



Nous avons tous le droit à une vie privée et je compte bien l’utiliser (ce droit). Quand bien même ce serait pour échanger des informations sans aucune importance pour n’importe qui d’autre.







bof je compte pas le nombre de colis ouvert que j’ai reçu … et c’est pratiquement devenu systématique….



merci la douane qui contrôle chacun de mes achats modélisme pour on ne sais qu’elle raison… même pas la récupération de la TVA vu que je me suis pris cette taxe 1 fois seulement en 6 ans…









al_bebert a écrit :



bof je compte pas le nombre de colis ouvert que j’ai reçu … et c’est pratiquement devenu systématique….



merci la douane qui contrôle chacun de mes achats modélisme pour on ne sais qu’elle raison… même pas la récupération de la TVA vu que je me suis pris cette taxe 1 fois seulement en 6 ans…





Chacun de tes achats ??? <img data-src=" />



Tu dois vraiment être malchanceux. Car le nombres de colis vérifiés représentent à peine 4% du transit global. Et pour la TVA, ils se réfèrent souvent au bon de commande à l’extérieur du colis.



A moins que tu ne commandes systématiquement depuis une destination un peu craignos ? <img data-src=" />



al_bebert
Le 13/12/2013 à 08h 22







heiwa a écrit :



Chacun de tes achats ??? <img data-src=" />



Tu dois vraiment être malchanceux. Car le nombres de colis vérifiés représentent à peine 4% du transit global. Et pour la TVA, ils se réfèrent souvent au bon de commande à l’extérieur du colis.



A moins que tu ne commandes systématiquement depuis une destination un peu craignos ? <img data-src=" />







HK









al_bebert a écrit :



HK





Ceci explique cela…. HK capitale internationale de la contre façon ! <img data-src=" />



Oby-Moine Abonné
Le 14/12/2013 à 11h 33







®om a écrit :



En 2 mots : il ne permet pas la perfect forward secrecy ni la répudiation.



La première propriété permet de ne pas pouvoir déchiffrer les messages a posteriori si la clé est trouvée plus tard.

La seconde permet de pouvoir nier l’émission d’un message (alors qu’avec GPG tu signes tout ce que tu envoies).



Pour plus de détails, le pdf dont j’ai donné le lien est assez court et compréhensible (mais en anglais).









merci beaucoup pour ta réponse interessante, je vais tenter de lire ce pdf <img data-src=" />