Connexion
Abonnez-vous

Messagerie chiffrée : Wickr met en ligne le code de son moteur cryptographique

Non, ce n'est pas open source

Messagerie chiffrée : Wickr met en ligne le code de son moteur cryptographique

Le 16 février 2017 à 13h30

Le service de messagerie chiffrée et éphémère Wickr a publié le code de son moteur cryptographique, développé en interne. Le but est de fournir des gages de sécurité, sans pour autant permettre l'utilisation commerciale de cet outil. Une quasi-obligation, tant le chiffrement des conversations passe désormais par du code ouvert.

L'ouverture du code devient un passage obligé pour le chiffrement des discussions. Dernier en date, Wickr, qui a mis en ligne celui de son moteur cryptographique, une implémentation du Wickr Secure Messaging Protocol. Un livre blanc est aussi proposé, pour guider son analyse.

D'ailleurs, cette publication n'est pas destinée à la réutilisation du code, mais simplement à son évaluation. « Ce n'est pas une licence open source » prévient Wickr Inc. Plus globalement, Wickr table sur le besoin d'outils capables d'oublier le contenu des conversations. Au regard des derniers changements politiques, « il n'est plus responsable de tout stocker en permanence et de s'attendre à ce que les informations sensibles restent sûres », écrit-elle dans son billet de blog.

Une version professionnelle disponible depuis décembre

Fondée en 2012, la société américaine propose un service de messagerie instantanée éphémère, avec chiffrement de bout en bout et confidentialité persistante (perfect forward secrecy). Elle promet également la protection des métadonnées contre d'éventuels attaquants, même si les précisions concernent uniquement le transport de ces données, chiffré via TLS.

Le service grand public, gratuit, est accompagné d'une édition professionnelle payante, depuis décembre dernier. Il propose des communications chiffrées de bout en bout, « une gestion d'utilisateurs entièrement côté clients » et des transferts de fichiers allant jusqu'à 1 Go. L'un des principaux arguments de vente reste, bien entendu, la possibilité de détruire automatiquement le contenu.

En gage de transparence, l'entreprise propose également un Transparency Report, devenu commun chez les grandes entreprises du secteur. Le code a déjà subi au moins trois audits de sécurité, dont deux en 2014. Un programme de recherche de failles rémunérée (bug bounty) est également ouvert. Publier le code est donc une manière d'ajouter une corde à son arc.

Le grand mouvement vers le chiffrement des conversations

Avec cette publication, Wickr suit clairement le mouvement lancé par d'autres services et des associations, comme l'Electronic Frontier Foundation (EFF). Des outils comme Cryptocat misent sur leur code ouvert pour convaincre les internautes, quand le protocole Signal devient un standard pour les communications chiffrées (Cryptocat, Google Allo, Facebook Messenger, Signal lui-même, WhatsApp)... Ce qui n'empêche pas certaines déconvenues dans son implémentation.

Dans le même mouvement, le service Wire a ouvert son code côté client en juillet dernier. Son chiffrement s'appuie d'ailleurs aussi sur Signal (ex-Axolotl). À noter que fin janvier, l'outil a ajouté Collection, une fonction de sauvegarde des fichiers envoyés dans une conversation pour une durée plus ou moins limitée. Face à lui, Keybase a lancé sa fonction de discussion instantanée il y a quelques jours, en proposant par ailleurs l'échange de fichiers entre utilisateurs.

Mais le logiciel utilisé côté serveur reste souvent un grand point d'interrogation, soit parce qu'il n'est pas publié, soit parce qu'il n'est pas garanti que le code publié corresponde bien à celui en production. Une question que toutes les publications de moteur de chiffrement et de code de clients ne règleront pas, malgré la publicité qu'elles offrent.

Commentaires (7)

Vous devez être abonné pour pouvoir commenter.

Abonnez-vous
votre avatar

Il me semble que wickr était utilisé dans dans certains épisodes de Mr Robot.

votre avatar

Merci pour le rappel du scepticisme obligatoire quand un éditeur distribue le code d’une appli fermée.

votre avatar

Closed-source.



<img data-src=" />

votre avatar

” cette publication n’est pas destinée à la réutilisation du code, mais simplement à son évaluation. « Ce n’est pas une licence open source » prévient Wickr Inc. “

Bah si, en publiant les sources, c’est open source, de fait. Ce qu’ils ont voulu dire, c’est sans doute que ce n’est pas libre pour autant. Faudra qu’ils révisent la différence en open source et logiciel libre.

&nbsp;

votre avatar

Pendant ce temps-là, Telegram…

votre avatar

C’est triste d’arriver au chiffrement grand publique à cause d’une poignée de con ( qui dirigent le monde certe ).

&nbsp;







matroska a écrit :



Closed-source.



<img data-src=" />





C’est limite du troll patent… Tu ouvre la source avec interdiction d’utiliser, certains vont forcément s’en inspirer &gt; profit !


votre avatar

Ah c’est cool, enfin une app de messagerie qui ne réclame pas ton numéro de mobile.



Parce que toutes les autres qui se disent respecter la “privacy” et commencent par réclamer cet identifiant, moi ça me fait doucement rigoler !



Bravo à eux donc, je garde et à tester plus tard.



Merci NxI

Messagerie chiffrée : Wickr met en ligne le code de son moteur cryptographique

  • Une version professionnelle disponible depuis décembre

  • Le grand mouvement vers le chiffrement des conversations

Fermer