Cryptocat finalisé pour Android et iOS, publication après analyse des sources

Cryptocat finalisé pour Android et iOS, publication après analyse des sources

Chaque chose en son temps

Avatar de l'auteur

David Legrand

Publié dansSociété numérique

12/12/2013
30
Cryptocat finalisé pour Android et iOS, publication après analyse des sources

Comme annoncé il y a quelques semaines, Cryptocat arrive sur Android et iOS. Le code est désormais finalisé, mais avant de rendre les applications disponibles à tous, l'équipe veut que celles-ci soient analysées par des experts en sécurité.

Cryptocat iOS

 

Décidément, il y a du mouvement dans le monde de la messagerie sécurisée sur smartphone. Si Gibberbot / ChatSecure du Guardian Project existe depuis un moment, on apprenait récemment que CyanogenMod comptait intégrer nativement TextSecure comme protocole de gestion des SMS chiffrés. De son côté, Cryptocat arrive aussi sur plusieurs plateformes mobiles, mais a décidé de faire les choses correctement.

 

Ainsi, après des mois d'attente et de retard, on apprend que le code des applications Android et iOS est finalisé. Il serait simple de les distribuer en l'état, mais l'équipe a décidé de plutôt demander une analyse du code source par des experts en sécurité, ou toute personne qui voudrait donner son avis.

 

Pour cela, deux projets GitHub ont été mis en ligne. Chacun pourra s'y rendre, analyser les sources et déclarer des bugs ou des soucis de sécurité afin que tout soit corrigé avant une mise en ligne des applications qui n'a pas encore été datée. Tous ceux dont les contributions seront acceptées seront bien entendu crédités pour cela, et pourront être récompensés en T-shirt, stickers ou même de l'argent (la somme n'a pas été précisée) en fonction de l'importance de leur découverte.

 

Pour ceux qui voudraient en savoir plus, tout se passe par ici :

30
Avatar de l'auteur

Écrit par David Legrand

Tiens, en parlant de ça :

Carte graphique AMD GeForce

Cartes graphiques : 30 ans d’évolution des GPU

Ha… la bonne époque d’un CF de 4870 X2 !

18:10 Hard 12

Google lance son opération de communications Gemini pour rivaliser avec OpenAI

Preprint not PR-print

17:31 IA 5
Ecran bleu de Windows

Linux : le composant systemd se dote d’un écran bleu de la mort

LoL Micro$oft

16:33 Soft 25

Sommaire de l'article

Introduction

Carte graphique AMD GeForce

Cartes graphiques : 30 ans d’évolution des GPU

Hard 12

Google lance son opération de communications Gemini pour rivaliser avec OpenAI

IA 5
Ecran bleu de Windows

Linux : le composant systemd se dote d’un écran bleu de la mort

Soft 25
Une petite fille en train d'apprendre à programmer et hacker logiciels et appareils électroniques

Un roman graphique explique les logiciels libres aux enfants

SoftSociété 17
Nouveautés pour Messenger

Meta lance (enfin) le chiffrement de bout en bout de Messenger, entre autres

Socials 5

#LeBrief : cloud européen, OSIRIS-REx a frôlée la catastrophe, CPU AMD Ryzen 8040

Windows en 2024 : beaucoup d’IA, mais pas forcément un « 12 »

Soft 18
Einstein avec des qubits en arrière plan

Informatique quantique, qubits : avez-vous les bases ?

HardScience 9
Notifications iPhone

Surveillance des notifications : un sénateur américain demande la fin du secret

DroitSécu 15

En ligne, les promos foireuses restent d’actualité

DroitWeb 19

#LeBrief : modalité des amendes RGPD, cyberattaque agricole, hallucinations d’Amazon Q, 25 ans d’ISS

Logo Twitch

Citant des « coûts prohibitifs », Twitch quitte la Corée du Sud

ÉcoWeb 29
Formation aux cryptomonnaies par Binance à Pôle Emploi

Binance fait son marketing pendant des formations sur la blockchain destinées aux chômeurs

Éco 10
Consommation électrique du CERN

L’empreinte écologique CERN en 2022 : 1 215 GWh, 184 173 teqCO₂, 3 234 Ml…

Science 6
station électrique pour voitures

Voitures électriques : dans la jungle, terrible jungle, des bornes de recharge publiques

Société 75

#LeBrief : intelligence artificielle à tous les étages, fichier biométrique EURODAC

KDE Plasma 6

KDE Plasma 6 a sa première bêta, le tour des nouveautés

Soft 13
Un homme noir regarde la caméra. Sur son visage, des traits blancs suggèrent un traitement algorithmique.

AI Act et reconnaissance faciale : la France interpelée par 45 eurodéputés

DroitSociété 4
Api

La CNIL préconise l’utilisation des API pour le partage de données personnelles entre organismes

SécuSociété 3
Fouet de l’Arcep avec de la fibre

Orange sanctionnée sur la fibre : l’argumentaire de l’opérateur démonté par l’Arcep

DroitWeb 23
Bombes

Israël – Hamas : comment l’IA intensifie les attaques contre Gaza

IA 22

#LeBrief : bande-annonce GTA VI, guerre électronique, Spotify licencie massivement

Poing Dev

Le poing Dev – Round 7

Next 102
Logo de Gaia-X sour la forme d’un arbre, avec la légende : infrastructure de données en forme de réseau

Gaia-X « vit toujours » et « arrive à des étapes très concrètes »

WebSécu 6

Trois consoles portables en quelques semaines

Hard 37
Une tasse estampillée "Keep calm and carry on teaching"

Cyberrésilience : les compromis (provisoires) du trilogue européen

DroitSécu 3

#LeBrief : fuite de tests ADN 23andMe, le milliard pour Android Messages, il y a 30 ans Hubble voyait clair

next n'a pas de brief le week-end

Le Brief ne travaille pas le week-end.
C'est dur, mais c'est comme ça.
Allez donc dans une forêt lointaine,
Éloignez-vous de ce clavier pour une fois !

Commentaires (30)


Romain_Ph Abonné
Le 12/12/2013 à 09h57

La version finale sera disponible sur github aussi ? parce que moi perso je vais l’installer de ce pas sur mon tel et celui de ma femme directement :) <img data-src=" />

( je dis finale, car sur leur github ils disent que c’est pas ‘encore” finalisé … )


JCLB Abonné
Le 12/12/2013 à 10h12

ça serait bien une appli de chiffrement de chat qui supporte les certifs S/MIME, ça permettrait de valider l’identité des correspondants.

En tout cas si ce produit est simple d’utilisation il va cartonner, bon il cartonnerait encore plus s’il permettait d’envoyer des photos à expiration comme snapchat <img data-src=" /> ou pas…


David_L Abonné
Le 12/12/2013 à 10h16






JCLB a écrit :

ça serait bien une appli de chiffrement de chat qui supporte les certifs S/MIME, ça permettrait de valider l’identité des correspondants.

En tout cas si ce produit est simple d’utilisation il va cartonner, bon il cartonnerait encore plus s’il permettait d’envoyer des photos à expiration comme snapchat <img data-src=" /> ou pas…


C’est le cas ici, mais via le protocole OTR qui ne se base pas sur S/MIME (puisque cela dépend d’une autorité centrale qui n’est pas trop du goût de ce genre de solutions) ;)



JCLB Abonné
Le 12/12/2013 à 10h20






David_L a écrit :

C’est le cas ici, mais via le protocole OTR qui ne se base pas sur S/MIME (puisque cela dépend d’une autorité centrale qui n’est pas trop du goût de ce genre de solutions) ;)


Mais il fonctionne avec une clé partagée échangée via Diffie-Hellman, et non sur un couple public-privé. C’est avantageux en conférence car on envoi les données une seule fois au serveur, par contre c’est moins bien que de l’asymétrique.

Mais bon, ils proposeront peut-être cela une fois l’implémentation OTR complètement fonctionnelle. Car finalement c’est cette dernière qui est a blâmer car ne proposant que du symétrique.



maverick78 Abonné
Le 12/12/2013 à 10h34






romainsromain a écrit :

parce que moi perso je vais l’installer de ce pas sur mon tel et celui de ma femme directement :) <img data-src=" />


Au moins la NSA ne saura pas que c’est toi qui passe cherche le pain ce soir <img data-src=" />
Plus serieusement, autant dans les cas d’intelligence économique je peux comprendre mais la ?
J’espère que tu ne l’appelles jamais car ca n’est pas mieux et que tous les mails que tu lui envoies sont chiffrés.



®om
Le 12/12/2013 à 10h35






JCLB a écrit :

ça serait bien une appli de chiffrement de chat qui supporte les certifs S/MIME, ça permettrait de valider l’identité des correspondants.

En tout cas si ce produit est simple d’utilisation il va cartonner, bon il cartonnerait encore plus s’il permettait d’envoyer des photos à expiration comme snapchat <img data-src=" /> ou pas…


PGP ou S/MIME n’est pas approprié pour la messagerie instantanée :
Off-the-Record Communication, or, Why Not To Use PGP

À lire aussi:
14 reasons not to start using PGP
Why the Web of Trust Sucks

PGP (GPG) est très bien, je l’utilise aussi, mais il faut bien avoir conscience des limites et de ce qu’on veut protéger, contre qui, et qu’est-ce qu’on ne protège pas et qu’on leake.



®om
Le 12/12/2013 à 10h36






maverick78 a écrit :

Au moins la NSA ne saura pas que c’est toi qui passe cherche le pain ce soir <img data-src=" />
Plus serieusement, autant dans les cas d’intelligence économique je peux comprendre mais la ?
J’espère que tu ne l’appelles jamais car ca n’est pas mieux et que tous les mails que tu lui envoies sont chiffrés.


En quoi les Big Data sont-elles personnelles ? (internetactu)



Oby-Moine Abonné
Le 12/12/2013 à 10h55

@®om
Tu peux nous dire brièvement pourquoi le pgp (ou gpg) n’est pas bien pour la messagerie instantanée ?


Ingénieur informaticien
Le 12/12/2013 à 10h59






maverick78 a écrit :

Au moins la NSA ne saura pas que c’est toi qui passe cherche le pain ce soir <img data-src=" />



Va savoir les secrets qui s’échangent dans sa boulangerie …
Si ça se trouve ce sont les prochaines ventes d’Airbus qui s’y jouent !



Romain_Ph Abonné
Le 12/12/2013 à 10h59






maverick78 a écrit :

Au moins la NSA ne saura pas que c’est toi qui passe cherche le pain ce soir <img data-src=" />
Plus serieusement, autant dans les cas d’intelligence économique je peux comprendre mais la ?
J’espère que tu ne l’appelles jamais car ca n’est pas mieux et que tous les mails que tu lui envoies sont chiffrés.



Bah genre ma femme qui bosse dans une administration sensible de l’état, ca peut lui être utile ;)



Commentaire_supprime
Le 12/12/2013 à 11h00






maverick78 a écrit :

Au moins la NSA ne saura pas que c’est toi qui passe cherche le pain ce soir <img data-src=" />
Plus serieusement, autant dans les cas d’intelligence économique je peux comprendre mais la ?



Contrôle social. Dans une société totalitaire, toute information personnelle est utilisable et, très souvent, utilisée contre les individus afin de neutraliser leurs possibles penchants contestataires, si possible en les prévenant.



seboquoi
Le 12/12/2013 à 11h03

Tout ça est évidemment très intéressant mais, en ce qui me concerne, je ne pourrais adopter ce genre d’habitude que quand tout le monde s’y sera mis….

Il faudrait que ce soit intégré de base dans les OS mobiles, et pas uniquement dans Cyanogen ou via des applis comme celle-là. Enfin j’imagine qu’il faut bien que ça comme comme ça mais on va devoir attendre un peu plus longtemps avant que tout le monde ne puisse profiter de ce niveau de protection de la vie privée.


maverick78 Abonné
Le 12/12/2013 à 11h10






romainsromain a écrit :

Bah genre ma femme qui bosse dans une administration sensible de l’état, ca peut lui être utile ;)


Si c’est sensible alors je doute qu’elle ait le droit d’utiliser son téléphone perso pour en parler (d’ailleurs je doute qu’elle ait le droit d’en parler en fait, même avec toi) <img data-src=" />
Si c’est la flotte mobile de l’état, je doute que tu puisses agir sur le téléphone (enfin j’espère) et je pense qu’il y a déjà des précautions prises.



®om a écrit :

En quoi les Big Data sont-elles personnelles ? (internetactu)


Ca rejoint ce que je dis dans mon message, a quoi ca sert de s’envoyer des SMS cryptés quand de toute facon on peut te traquer, écouter tes conversations en clair, lire tes mails…
C’est comme avoir la meilleure porte blindée dans sa maison mais laisser la porte fenêtre du salon ouverte quand on part…



®om
Le 12/12/2013 à 11h11






Oby-Moine a écrit :

@®om
Tu peux nous dire brièvement pourquoi le pgp (ou gpg) n’est pas bien pour la messagerie instantanée ?


En 2 mots : il ne permet pas la perfect forward secrecy ni la répudiation.

La première propriété permet de ne pas pouvoir déchiffrer les messages a posteriori si la clé est trouvée plus tard.
La seconde permet de pouvoir nier l’émission d’un message (alors qu’avec GPG tu signes tout ce que tu envoies).

Pour plus de détails, le pdf dont j’ai donné le lien est assez court et compréhensible (mais en anglais).



Romain_Ph Abonné
Le 12/12/2013 à 11h14






maverick78 a écrit :

Si c’est sensible alors je doute qu’elle ait le droit d’utiliser son téléphone perso pour en parler (d’ailleurs je doute qu’elle ait le droit d’en parler en fait, même avec toi) <img data-src=" />
Si c’est la flotte mobile de l’état, je doute que tu puisses agir sur le téléphone (enfin j’espère) et je pense qu’il y a déjà des précautions prises.



C’est son tel perso ;) mais dès fois elle peut me confier ce qu’elle pense sur un tel ou un tel de ses chefs ou collègues qui parfois font des coup de *** ou parfois les fous rires qu’elle à avec d’autres collègues.

Je considère que ces choses sont privées et ne regardent que nous deux …

Par contre elle est professionnelle et ne partagera jamais les infos elle même sur lesquelles elle bosse ;)



carbier Abonné
Le 12/12/2013 à 11h28






maverick78 a écrit :

Ca rejoint ce que je dis dans mon message, a quoi ca sert de s’envoyer des SMS cryptés quand de toute facon on peut te traquer, écouter tes conversations en clair, lire tes mails…
C’est comme avoir la meilleure porte blindée dans sa maison mais laisser la porte fenêtre du salon ouverte quand on part…


Tu as raison… d’ailleurs puisque rien de personnel n’a d’importance et que tout peut être connu, je m’en vais de ce pas créer un blog pour donner à tout le monde mon niveau de salaire, mes maladies (si j’en ai), mon adresse, des photos de mes enfants avec leur nom et leur lieu de scolarité, etc. etc.



Wikus
Le 12/12/2013 à 11h37






carbier a écrit :

Tu as raison… d’ailleurs puisque rien de personnel n’a d’importance et que tout peut être connu, je m’en vais de ce pas créer un blog pour donner à tout le monde mon niveau de salaire, mes maladies (si j’en ai), mon adresse, des photos de mes enfants avec leur nom et leur lieu de scolarité, etc. etc.


Il y a déjà Facebook pour ça <img data-src=" />



carbier Abonné
Le 12/12/2013 à 12h09






FrenchPig a écrit :

Il y a déjà Facebook pour ça <img data-src=" />


Oula, ça y est je suis grillé, tout le monde va savoir que je n’utilise pas FB <img data-src=" />



Glyphe
Le 12/12/2013 à 12h30






JCLB a écrit :

Mais il fonctionne avec une clé partagée échangée via Diffie-Hellman, et non sur un couple public-privé. C’est avantageux en conférence car on envoi les données une seule fois au serveur, par contre c’est moins bien que de l’asymétrique.

Mais bon, ils proposeront peut-être cela une fois l’implémentation OTR complètement fonctionnelle. Car finalement c’est cette dernière qui est a blâmer car ne proposant que du symétrique.



Vu qu’on en est au point de rajouter des couches, tu peux très bien chiffrer manuellement les messages que tu envoies dans Cryptocat via PGP/GPG <img data-src=" />
Bon c’est un peu overkill je trouve mais bon ça fonctionnera très bien.

Sinon je suis très content que cet outil de messagerie instantanée arrive sur les plateformes mobiles. C’est le projet de chat sécurisé le plus abouti et le plus ouvert que je connaisse. Il manquait d’audit au début du projet mais la notoriété aidant, de plus en plus de spécialistes en cryptographie se penchent sur son code et c’est de très bon augure pour la qualité du code.

A noter aussi que le Lead Developer (Nadim Kobeissi) n’a pas hésité à enlever momentanément une fonction comme le partage de fichiers par suspicion de bugs pouvant entrainer une faille de sécurité.
Je pense que c’est tout à l’honneur de ce projet qui se soucie d’abord de la sécurité et de ses utilisateurs !

source : https://github.com/cryptocat/cryptocat/issues/527



maverick78 Abonné
Le 12/12/2013 à 12h33






carbier a écrit :

Tu as raison… d’ailleurs puisque rien de personnel n’a d’importance et que tout peut être connu, je m’en vais de ce pas créer un blog pour donner à tout le monde mon niveau de salaire, mes maladies (si j’en ai), mon adresse, des photos de mes enfants avec leur nom et leur lieu de scolarité, etc. etc.


Il y a une différence entre tout divulger publiquement et être parano, un juste milieu.
De toute facon les services de l’état savent déjà combien tu gagnes, qui sont tes enfants et ou ils sont scolarisés…

Ce que je dénonce également c’est la non cohérence : chiffrer ses sms ok, mais quid du reste des communications ? Tes cartes postales aussi sont chiffrées ?



Romain_Ph Abonné
Le 12/12/2013 à 12h39






maverick78 a écrit :

Il y a une différence entre tout divulger publiquement et être parano, un juste milieu.
De toute facon les services de l’état savent déjà combien tu gagnes, qui sont tes enfants et ou ils sont scolarisés…

Ce que je dénonce également c’est la non cohérence : chiffrer ses sms ok, mais quid du reste des communications ? Tes cartes postales aussi sont chiffrées ?



Pour ta cohérence personnelle : une carte postale tu vas surement pas avoir les mêmes correspondances qu’avec ton/ta conjointe par SMS !

Sans compter que par SMS c’est souvent les coups de gueules, les ptit’s trucs, bref ce que je considère comme de l’intime ….



carbier Abonné
Le 12/12/2013 à 13h02






maverick78 a écrit :

Il y a une différence entre tout divulger publiquement et être parano, un juste milieu.
De toute facon les services de l’état savent déjà combien tu gagnes, qui sont tes enfants et ou ils sont scolarisés…


Normal que l’Etat sache cela.
Mais par contre je ne savais pas qu’il n’y avait que les Etats qui pouvaient espionner tes correspondances.


maverick78 a écrit :

Ce que je dénonce également c’est la non cohérence : chiffrer ses sms ok, mais quid du reste des communications ? Tes cartes postales aussi sont chiffrées ?


Raisonnment binaire qu’est le tien.
Il faut un début à tout non ?



16ar
Le 12/12/2013 à 15h28






maverick78 a écrit :

Il y a une différence entre tout divulger publiquement et être parano, un juste milieu.
De toute facon les services de l’état savent déjà combien tu gagnes, qui sont tes enfants et ou ils sont scolarisés…

Ce que je dénonce également c’est la non cohérence : chiffrer ses sms ok, mais quid du reste des communications ? Tes cartes postales aussi sont chiffrées ?


L’avantage du sms, c’est que ça part rapidement, c’est plus rapide qu’un mail, et ça permet de recevoir l’information, même sans edge ou 3G. Du coup, un sms chiffré est plus utile qu’un mail par PGP envoyé d’un mobile vers un autre mobile.

Internet a changé la vie privée. Avant, la vie privée n’allait pas plus loin que ta voix (hormis téléphone). Pour espionner ta vie privée, il fallait mettre en œuvre des moyens logistique très pointus et cher (installation de micros chez toi, sur ton téléphone, surveillance visuelle etc). Puisque maintenant, tout passe par Internet, il suffit de mettre des machines avec des gros disques durs aux bons endroits, et c’est bon. Ça coûte très cher également sauf que là, on n’espionne plus la vie privée d’une personne surveillée en particulier, mais celle de tout le monde.
On passe d’une surveillance spécifiques pour certaines personnes sous enquête à une surveillance généralisée. Ce n’est plus la même échelle, ce n’est plus le même problème.

Quand tu es chez toi, tu aimes bien avoir un peu d’intimité non ? Tu fermes tes portes, tu n’invites pas n’importe qui ?



BenGamin
Le 12/12/2013 à 17h38






romainsromain a écrit :

Sans compter que par SMS c’est souvent les coups de gueules, les ptit’s trucs, bref ce que je considère comme de l’intime ….


Je te rejoint sur ce point. Loin de toute parano, le correspondance privée est privée. Banalité ou pas ce n’est pas la question.

Le sms/mail devrait être traité de la même façon qu’une lettre. Une entreprise privée ou publique qui se permettrai d’ouvrir toutes les lettres qu’elle transmet se ferait écarteler en place publique (enfin j’espère).

Nous avons tous le droit à une vie privée et je compte bien l’utiliser (ce droit). Quand bien même ce serait pour échanger des informations sans aucune importance pour n’importe qui d’autre.



En_transit
Le 12/12/2013 à 21h11






maverick78 a écrit :

Il y a une différence entre tout divulger publiquement et être parano, un juste milieu.


“Le juste milieu, c’est le trou du cul”

Charles de Gaulle.



al_bebert Abonné
Le 13/12/2013 à 00h08






BenGamin a écrit :

Je te rejoint sur ce point. Loin de toute parano, le correspondance privée est privée. Banalité ou pas ce n’est pas la question.

Le sms/mail devrait être traité de la même façon qu’une lettre. Une entreprise privée ou publique qui se permettrai d’ouvrir toutes les lettres qu’elle transmet se ferait écarteler en place publique (enfin j’espère).

Nous avons tous le droit à une vie privée et je compte bien l’utiliser (ce droit). Quand bien même ce serait pour échanger des informations sans aucune importance pour n’importe qui d’autre.



bof je compte pas le nombre de colis ouvert que j’ai reçu … et c’est pratiquement devenu systématique….

merci la douane qui contrôle chacun de mes achats modélisme pour on ne sais qu’elle raison… même pas la récupération de la TVA vu que je me suis pris cette taxe 1 fois seulement en 6 ans…



anonyme_8d84edb4e8e6a032349cd894ed2eb097
Le 13/12/2013 à 04h55






al_bebert a écrit :

bof je compte pas le nombre de colis ouvert que j’ai reçu … et c’est pratiquement devenu systématique….

merci la douane qui contrôle chacun de mes achats modélisme pour on ne sais qu’elle raison… même pas la récupération de la TVA vu que je me suis pris cette taxe 1 fois seulement en 6 ans…


Chacun de tes achats ??? <img data-src=" />

Tu dois vraiment être malchanceux. Car le nombres de colis vérifiés représentent à peine 4% du transit global. Et pour la TVA, ils se réfèrent souvent au bon de commande à l’extérieur du colis.

A moins que tu ne commandes systématiquement depuis une destination un peu craignos ? <img data-src=" />



al_bebert Abonné
Le 13/12/2013 à 08h22






heiwa a écrit :

Chacun de tes achats ??? <img data-src=" />

Tu dois vraiment être malchanceux. Car le nombres de colis vérifiés représentent à peine 4% du transit global. Et pour la TVA, ils se réfèrent souvent au bon de commande à l’extérieur du colis.

A moins que tu ne commandes systématiquement depuis une destination un peu craignos ? <img data-src=" />



HK



anonyme_8d84edb4e8e6a032349cd894ed2eb097
Le 14/12/2013 à 01h18






al_bebert a écrit :

HK


Ceci explique cela…. HK capitale internationale de la contre façon ! <img data-src=" />



Oby-Moine Abonné
Le 14/12/2013 à 11h33






®om a écrit :

En 2 mots : il ne permet pas la perfect forward secrecy ni la répudiation.

La première propriété permet de ne pas pouvoir déchiffrer les messages a posteriori si la clé est trouvée plus tard.
La seconde permet de pouvoir nier l’émission d’un message (alors qu’avec GPG tu signes tout ce que tu envoies).

Pour plus de détails, le pdf dont j’ai donné le lien est assez court et compréhensible (mais en anglais).




merci beaucoup pour ta réponse interessante, je vais tenter de lire ce pdf <img data-src=" />