Messagerie chiffrée : Wickr met en ligne le code de son moteur cryptographique
Non, ce n'est pas open source
Le 16 février 2017 à 13h30
3 min
Logiciel
Logiciel
Le service de messagerie chiffrée et éphémère Wickr a publié le code de son moteur cryptographique, développé en interne. Le but est de fournir des gages de sécurité, sans pour autant permettre l'utilisation commerciale de cet outil. Une quasi-obligation, tant le chiffrement des conversations passe désormais par du code ouvert.
L'ouverture du code devient un passage obligé pour le chiffrement des discussions. Dernier en date, Wickr, qui a mis en ligne celui de son moteur cryptographique, une implémentation du Wickr Secure Messaging Protocol. Un livre blanc est aussi proposé, pour guider son analyse.
D'ailleurs, cette publication n'est pas destinée à la réutilisation du code, mais simplement à son évaluation. « Ce n'est pas une licence open source » prévient Wickr Inc. Plus globalement, Wickr table sur le besoin d'outils capables d'oublier le contenu des conversations. Au regard des derniers changements politiques, « il n'est plus responsable de tout stocker en permanence et de s'attendre à ce que les informations sensibles restent sûres », écrit-elle dans son billet de blog.
Une version professionnelle disponible depuis décembre
Fondée en 2012, la société américaine propose un service de messagerie instantanée éphémère, avec chiffrement de bout en bout et confidentialité persistante (perfect forward secrecy). Elle promet également la protection des métadonnées contre d'éventuels attaquants, même si les précisions concernent uniquement le transport de ces données, chiffré via TLS.
Le service grand public, gratuit, est accompagné d'une édition professionnelle payante, depuis décembre dernier. Il propose des communications chiffrées de bout en bout, « une gestion d'utilisateurs entièrement côté clients » et des transferts de fichiers allant jusqu'à 1 Go. L'un des principaux arguments de vente reste, bien entendu, la possibilité de détruire automatiquement le contenu.
En gage de transparence, l'entreprise propose également un Transparency Report, devenu commun chez les grandes entreprises du secteur. Le code a déjà subi au moins trois audits de sécurité, dont deux en 2014. Un programme de recherche de failles rémunérée (bug bounty) est également ouvert. Publier le code est donc une manière d'ajouter une corde à son arc.
Le grand mouvement vers le chiffrement des conversations
Avec cette publication, Wickr suit clairement le mouvement lancé par d'autres services et des associations, comme l'Electronic Frontier Foundation (EFF). Des outils comme Cryptocat misent sur leur code ouvert pour convaincre les internautes, quand le protocole Signal devient un standard pour les communications chiffrées (Cryptocat, Google Allo, Facebook Messenger, Signal lui-même, WhatsApp)... Ce qui n'empêche pas certaines déconvenues dans son implémentation.
Dans le même mouvement, le service Wire a ouvert son code côté client en juillet dernier. Son chiffrement s'appuie d'ailleurs aussi sur Signal (ex-Axolotl). À noter que fin janvier, l'outil a ajouté Collection, une fonction de sauvegarde des fichiers envoyés dans une conversation pour une durée plus ou moins limitée. Face à lui, Keybase a lancé sa fonction de discussion instantanée il y a quelques jours, en proposant par ailleurs l'échange de fichiers entre utilisateurs.
Mais le logiciel utilisé côté serveur reste souvent un grand point d'interrogation, soit parce qu'il n'est pas publié, soit parce qu'il n'est pas garanti que le code publié corresponde bien à celui en production. Une question que toutes les publications de moteur de chiffrement et de code de clients ne règleront pas, malgré la publicité qu'elles offrent.
Messagerie chiffrée : Wickr met en ligne le code de son moteur cryptographique
-
Une version professionnelle disponible depuis décembre
-
Le grand mouvement vers le chiffrement des conversations
Commentaires (7)
Vous devez être abonné pour pouvoir commenter.
Déjà abonné ? Se connecter
Abonnez-vousLe 16/02/2017 à 14h03
Il me semble que wickr était utilisé dans dans certains épisodes de Mr Robot.
Le 16/02/2017 à 14h38
Merci pour le rappel du scepticisme obligatoire quand un éditeur distribue le code d’une appli fermée.
Le 16/02/2017 à 14h39
Closed-source.
" />
Le 16/02/2017 à 15h33
” cette publication n’est pas destinée à la réutilisation du code, mais simplement à son évaluation. « Ce n’est pas une licence open source » prévient Wickr Inc. “
Bah si, en publiant les sources, c’est open source, de fait. Ce qu’ils ont voulu dire, c’est sans doute que ce n’est pas libre pour autant. Faudra qu’ils révisent la différence en open source et logiciel libre.
Le 16/02/2017 à 15h43
Pendant ce temps-là, Telegram…
Le 16/02/2017 à 17h00
C’est triste d’arriver au chiffrement grand publique à cause d’une poignée de con ( qui dirigent le monde certe ).
Le 16/02/2017 à 20h33
Ah c’est cool, enfin une app de messagerie qui ne réclame pas ton numéro de mobile.
Parce que toutes les autres qui se disent respecter la “privacy” et commencent par réclamer cet identifiant, moi ça me fait doucement rigoler !
Bravo à eux donc, je garde et à tester plus tard.
Merci NxI