Line généralise le chiffrement de bout en bout, sauf pour les groupes

À qui le tour ?

Le 01 juillet 2016 à 09h15

4 min

Société numérique

Société

Alors même que Line a annoncé son intention de rentrer en bourse, il active aujourd’hui le chiffrement de bout en bout. Un mouvement qui se répand progressivement dans les plateformes de messagerie pour assurer une meilleure sécurité. On ne sait cependant pas ce qui est utilisé pour cette mesure.

Line est l’une des solutions de messagerie instantanée les plus utilisées dans le marché asiatique, avec une base de 220 millions d’utilisateurs actifs mensuels environ. Comme nous l’indiquions récemment, l’entreprise va prochainement tenter de s’introduire en bourse. Elle n’est toujours pas rentable, mais le dernier bilan a montré des signes nets d’amélioration. La plateforme de communication doit par contre lutter contre un ralentissement du nombre de nouveaux utilisateurs.

Une génération du chiffrement E2E

C’est donc dans un contexte de fébrilité que Line a annoncé la généralisation du chiffrement de bout en bout (ou E2E). Chez l’éditeur, cette fonctionnalité portait en fait déjà un nom : Letter Sealing. Elle était active chez une partie des utilisateurs. Il s’agit d’un mouvement important, dans la continuité de ce qui avait été annoncé par WhatsApp, puis par Viber.

Il manque cependant une information capitale dans le billet de blog de Line : la technologie utilisée. Dans son centre d’aide, l’éditeur précise que Sealing Letter est « conçu de manière à ce que les messages stockés sur nos serveurs soient chiffrés et ne puissent être lus que par l’émetteur et le destinataire d’un message ». La solution retenue serait donc du même acabit que celle de WhatsApp. Ce dernier a repris le protocole Signal et ne possède aucune clé de déchiffrement. Les données transitent donc par ses serveurs sans qu’ils puissent les lire. On se rappelle d’ailleurs que cette fonctionnalité a créé des tensions entre l’éditeur et le FBI.

Les conversations secrètes disparaissent dans la foulée

Line précise cependant que la généralisation du chiffrement E2E entraine la disparition d’une autre fonctionnalité : les Hidden Chats (conversations secrètes). Elles étaient déjà chiffrées et permettaient justement ce genre de protection. Résultat, Line les supprime. En outre, il existe une différence importante avec WhatsApp : les conversations de groupe ne profitent pas encore de Letter Sealing.

Autre différence avec WhatsApp, Line dispose de conversations synchronisées. Il n’est pas limité à un seul appareil et dispose par ailleurs de clients desktop pour Windows et OS X (dans les Stores respectifs). Dans son centre d’aide, l'éditeur précise d’ailleurs que les utilisateurs de ces versions devront passer par une procédure afin d’activer le chiffrement. Il faudra ouvrir une nouvelle fenêtre de conversation, cliquer sur « Verify your identity » et entrer alors le code à six chiffres dans l’application mobile, qui enverra une notification pour l’occasion.

À quand les autres ?

Globalement, les messageries instantanées avancent dans le « bon sens » avec la généralisation d’une technologie qui ajoute une vraie couche supplémentaire de sécurité. On notera cependant que plusieurs solutions majeures de communication ne possède toujours aucun chiffrement E2E. À commencer par Messenger, la deuxième plateforme la plus utilisée au monde après WhatsApp. Skype n’en possède pas non plus, et Google a perdu une occasion de marquer les esprits en le mettant de côté pour sa future solution Hello.

On peut se demander cependant si cette généralisation ne risque pas d’imposer une telle pression aux forces de l’ordre que les différents législateurs pourraient prendre la situation en main et en limiter l’usage. Ce risque existe bel et bien, et aucune balance n’a pour l’instant été trouvé dans ce domaine. Il suffit de voir aux États-Unis la manière dont les débats avancent sans jamais parvenir à une solution.

Commentaires (15)

Abonnez-vous pour prendre part au débat

Déjà abonné ? Se connecter

Cet article est en accès libre, mais il est le fruit du travail d'une rédaction qui ne travaille que pour ses lecteurs, sur un média sans pub et sans tracker. Soutenez le journalisme tech de qualité en vous abonnant.

Accédez en illimité aux articles

Profitez d’un média expert et unique

Intégrez la communauté et prenez part aux débats

Partagez des articles premium à vos contacts

Abonnez-vous

JCDentonMale

Le 01/07/2016 à 09h33

Bizarre, jamais entendu parler. WeChat et QQ par contre… Ça cartonne en Chine.

jinge

Le 01/07/2016 à 09h42

Et sinon ya un réseau social en chine? :) Type facebook ou vk

Alastor

Le 01/07/2016 à 10h03

JCDentonMale a écrit :

Bizarre, jamais entendu parler. WeChat et QQ par contre… Ça cartonne en Chine.

LINE est surtout très très utilisé au Japon.

Darkzealot

Le 01/07/2016 à 11h20

Je m’en suis servi pour jouer à des jeux mobiles. C’est pratique pour la communication de guildes.

la_hyene Premium

Le 01/07/2016 à 12h06

Mis à part ces derniers jours, jamais vu. Par contre Telegram, j’ai gouté et adopté - rapide multiposte et multiplateforme- cool, mais tout anglais. Sauf tes contenus (je vous vois venir)" />

kamuisuki

Le 01/07/2016 à 12h48

JCDentonMale a écrit :

Bizarre, jamais entendu parler. WeChat et QQ par contre… Ça cartonne en Chine.

Wechat est en train de dominer QQ qui était avant leader. 

Line n’a pas beaucoup de concurrence au Japon j’ai l’impression.

Ce qui marche pas trop mal dans les deux pays c’est Skype .

kamuisuki

Le 01/07/2016 à 12h50

jinge a écrit :

Et sinon ya un réseau social en chine? :) Type facebook ou vk
C'est compliqué , c'est plus des messageries que réelement des reseaux sociaux. (YY/QQ/Weichat.. )      
Il y a RenRen aussi je crois .
Ils ont un concurrent* de Youtube aussi (Youku.)      
*Si on peut appeler ça concurrent.. vu que youtube est bloqué un peu partout.
&nbsp;

hellmut Premium

Le 01/07/2016 à 12h56

En outre, il existe une différence importante avec WhatsApp : les conversations de groupe ne profitent pas encore de Letter Sealing

peut-être que c’est justement leur protocole qui les bloque à ce niveau.

reste que sans infos sur le protocole en question, impossible de considérer Line comme une messagerie sécu.

Timothée

Le 01/07/2016 à 13h53

Quand il auront une vrai appli Windows Phone…

marba

Le 01/07/2016 à 19h28

Si vous voulez une application crédible (pas une société à but lucratif) utilisez signal. Client opensource, end to end meme pour les groupes, et ils assurent ne pas conserver les méta-données, ce que fais line, whatsapp… (ils intègrent tous le chiffrement pour la com’, mais ils n’ont absolument pas l’intention de protéger votre vie privée)

Soriatane Premium

Le 02/07/2016 à 06h19

Tu es sur que du vrai Open source? Ça dépend d’une librairie fermé de Google -> exit les alternatives à Android. Ils interdisent à d’autres applications que la leur de se connecter à leur serveurs et une portion de leur code est fermée ( celle liée à la téléphonie sûrement une histoire de brevets).

Donc dans les faits pas de forks. Pas d’interopérabilité qui me semble cruciale pour un truc qui de l’échange des informations.

Un billet qui explique cela mieux que moihttps://framablog.org/2016/06/27/le-chiffrement-ne-suffira-pas/

v6relou

Le 02/07/2016 à 06h58

“Il n’est pas limité à un seul appareil et dispose par ailleurs de clients desktop pour Windows et OS X (dans les Stores respectifs).”

Pas vraiment, pour l’installer sur un autre téléphone, l’historique est supprimé sur l’ancien.

Et puis si théoriquement on peut se logguer avec un mot de passe sur pc, je n’ai jamais réussi qu’à le faire avec le qr code… qui nécessite le téléphone.

Bref, du multi-device assez relatif…

marba

Le 02/07/2016 à 14h57

Merci pour le billet.

J’avais déjà conscience des lacunes de Signal (notamment des gapps obligatoires sur android). Seulement la plupart de leurs choix sont justifiés :

https://whispersystems.org/blog/the-ecosystem-is-moving/

«If anything, protecting meta-data is going to require innovation in new protocols and software. Those changes

are only likely to be possible in centralized environments with more control, rather than less. Just as

making the changes to consistently deploy end to end encryption in federated protocols like email has

proved difficult, we’re more likely to see the emergence of enhanced metadata protection in centralized

environments with greater control.»

Plus de centralisation = Plus de flexibilité sur les évolutions, les metadata s’effacent plus facilement (seul whispersystems les a)

Un client unique, une marque pour assurer la fiabilité du client finale et éviter à l’utilisateur la qualité du client.

Bref, de toutes les «apps» qui existent du même genre, Signal est la meilleure solution. Après si on veut vraiment protéger sa vie privée, mieux vaut ne pas utiliser de téléphone, mais c’est déjà un bon début.

chr_yokohama

Le 02/07/2016 à 20h25

J’utilise quotidiennement Line depuis des années avec mes contacts japonais. 

Excellent. Les stamps sont sympa, certains étant même sonores….. 

line c’est “man da to li” comme ils disent….

(b) 

 

Soriatane Premium

Le 04/07/2016 à 08h01

Dépendre d’un seul prestataire est extrêmement dangereux.

Pour ce qui est de l’évolution c’est une fausse excuse, HTTP/2 , SPDY  prouvent que l’on peut faire évoluer un protocole à plusieurs.

Là j’ai juste l’impression que  Open Whisper Systems vend une marque à Google & Co en jouant sur la notoriété de ses membres. On est loin de l’époque de PGP qui est devenu un RFC.

Avec Signal, on a bien des RFC ( a RFC 3711 pour SRTP  et RFC 6189pour ZRTP) mais cela n’est pas suffisant.

 