Next - Cryptocat finalisé pour Android et iOS, publication après analyse des sources

Comme annoncé il y a quelques semaines, Cryptocat arrive sur Android et iOS. Le code est désormais finalisé, mais avant de rendre les applications disponibles à tous, l'équipe veut que celles-ci soient analysées par des experts en sécurité.

Décidément, il y a du mouvement dans le monde de la messagerie sécurisée sur smartphone. Si Gibberbot / ChatSecure du Guardian Project existe depuis un moment, on apprenait récemment que CyanogenMod comptait intégrer nativement TextSecure comme protocole de gestion des SMS chiffrés. De son côté, Cryptocat arrive aussi sur plusieurs plateformes mobiles, mais a décidé de faire les choses correctement.

Ainsi, après des mois d'attente et de retard, on apprend que le code des applications Android et iOS est finalisé. Il serait simple de les distribuer en l'état, mais l'équipe a décidé de plutôt demander une analyse du code source par des experts en sécurité, ou toute personne qui voudrait donner son avis.

Pour cela, deux projets GitHub ont été mis en ligne. Chacun pourra s'y rendre, analyser les sources et déclarer des bugs ou des soucis de sécurité afin que tout soit corrigé avant une mise en ligne des applications qui n'a pas encore été datée. Tous ceux dont les contributions seront acceptées seront bien entendu crédités pour cela, et pourront être récompensés en T-shirt, stickers ou même de l'argent (la somme n'a pas été précisée) en fonction de l'importance de leur découverte.

Pour ceux qui voudraient en savoir plus, tout se passe par ici :

Commentaires (30)

Romain_Ph Abonné

Le 12/12/2013 à 09h57

La version finale sera disponible sur github aussi ? parce que moi perso je vais l’installer de ce pas sur mon tel et celui de ma femme directement :) " />

( je dis finale, car sur leur github ils disent que c’est pas ‘encore” finalisé … )

JCLB Abonné

Le 12/12/2013 à 10h12

ça serait bien une appli de chiffrement de chat qui supporte les certifs S/MIME, ça permettrait de valider l’identité des correspondants.

En tout cas si ce produit est simple d’utilisation il va cartonner, bon il cartonnerait encore plus s’il permettait d’envoyer des photos à expiration comme snapchat " /> ou pas…

David_L Abonné

Le 12/12/2013 à 10h16

JCLB a écrit :

ça serait bien une appli de chiffrement de chat qui supporte les certifs S/MIME, ça permettrait de valider l’identité des correspondants.

En tout cas si ce produit est simple d’utilisation il va cartonner, bon il cartonnerait encore plus s’il permettait d’envoyer des photos à expiration comme snapchat " /> ou pas…

C’est le cas ici, mais via le protocole OTR qui ne se base pas sur S/MIME (puisque cela dépend d’une autorité centrale qui n’est pas trop du goût de ce genre de solutions) ;)

Le 12/12/2013 à 10h20

David_L a écrit :

C’est le cas ici, mais via le protocole OTR qui ne se base pas sur S/MIME (puisque cela dépend d’une autorité centrale qui n’est pas trop du goût de ce genre de solutions) ;)

Mais il fonctionne avec une clé partagée échangée via Diffie-Hellman, et non sur un couple public-privé. C’est avantageux en conférence car on envoi les données une seule fois au serveur, par contre c’est moins bien que de l’asymétrique.

Mais bon, ils proposeront peut-être cela une fois l’implémentation OTR complètement fonctionnelle. Car finalement c’est cette dernière qui est a blâmer car ne proposant que du symétrique.

maverick78 Abonné

Le 12/12/2013 à 10h34

romainsromain a écrit :

parce que moi perso je vais l’installer de ce pas sur mon tel et celui de ma femme directement :) " />

Au moins la NSA ne saura pas que c’est toi qui passe cherche le pain ce soir " />
Plus serieusement, autant dans les cas d’intelligence économique je peux comprendre mais la ?
J’espère que tu ne l’appelles jamais car ca n’est pas mieux et que tous les mails que tu lui envoies sont chiffrés.

®om

Le 12/12/2013 à 10h35

JCLB a écrit :

ça serait bien une appli de chiffrement de chat qui supporte les certifs S/MIME, ça permettrait de valider l’identité des correspondants.

En tout cas si ce produit est simple d’utilisation il va cartonner, bon il cartonnerait encore plus s’il permettait d’envoyer des photos à expiration comme snapchat " /> ou pas…

PGP ou S/MIME n’est pas approprié pour la messagerie instantanée :
Off-the-Record Communication, or, Why Not To Use PGP

À lire aussi:
14 reasons not to start using PGP
Why the Web of Trust Sucks

PGP (GPG) est très bien, je l’utilise aussi, mais il faut bien avoir conscience des limites et de ce qu’on veut protéger, contre qui, et qu’est-ce qu’on ne protège pas et qu’on leake.

Le 12/12/2013 à 10h36

maverick78 a écrit :

Au moins la NSA ne saura pas que c’est toi qui passe cherche le pain ce soir " />
Plus serieusement, autant dans les cas d’intelligence économique je peux comprendre mais la ?
J’espère que tu ne l’appelles jamais car ca n’est pas mieux et que tous les mails que tu lui envoies sont chiffrés.

En quoi les Big Data sont-elles personnelles ? (internetactu)

Oby-Moine Abonné

Le 12/12/2013 à 10h55

@®om
Tu peux nous dire brièvement pourquoi le pgp (ou gpg) n’est pas bien pour la messagerie instantanée ?

Ingénieur informaticien

Le 12/12/2013 à 10h59

maverick78 a écrit :

Au moins la NSA ne saura pas que c’est toi qui passe cherche le pain ce soir " />

Va savoir les secrets qui s’échangent dans sa boulangerie …
Si ça se trouve ce sont les prochaines ventes d’Airbus qui s’y jouent !

#10

maverick78 a écrit :

Au moins la NSA ne saura pas que c’est toi qui passe cherche le pain ce soir " />
Plus serieusement, autant dans les cas d’intelligence économique je peux comprendre mais la ?
J’espère que tu ne l’appelles jamais car ca n’est pas mieux et que tous les mails que tu lui envoies sont chiffrés.

Bah genre ma femme qui bosse dans une administration sensible de l’état, ca peut lui être utile ;)

Commentaire_supprime

Le 12/12/2013 à 11h00

#11

maverick78 a écrit :

Au moins la NSA ne saura pas que c’est toi qui passe cherche le pain ce soir " />
Plus serieusement, autant dans les cas d’intelligence économique je peux comprendre mais la ?

Contrôle social. Dans une société totalitaire, toute information personnelle est utilisable et, très souvent, utilisée contre les individus afin de neutraliser leurs possibles penchants contestataires, si possible en les prévenant.

seboquoi

Le 12/12/2013 à 11h03

#12

Tout ça est évidemment très intéressant mais, en ce qui me concerne, je ne pourrais adopter ce genre d’habitude que quand tout le monde s’y sera mis….

Il faudrait que ce soit intégré de base dans les OS mobiles, et pas uniquement dans Cyanogen ou via des applis comme celle-là. Enfin j’imagine qu’il faut bien que ça comme comme ça mais on va devoir attendre un peu plus longtemps avant que tout le monde ne puisse profiter de ce niveau de protection de la vie privée.

Le 12/12/2013 à 11h10

#13

romainsromain a écrit :

Bah genre ma femme qui bosse dans une administration sensible de l’état, ca peut lui être utile ;)

Si c’est sensible alors je doute qu’elle ait le droit d’utiliser son téléphone perso pour en parler (d’ailleurs je doute qu’elle ait le droit d’en parler en fait, même avec toi) " />
Si c’est la flotte mobile de l’état, je doute que tu puisses agir sur le téléphone (enfin j’espère) et je pense qu’il y a déjà des précautions prises.

®om a écrit :

En quoi les Big Data sont-elles personnelles ? (internetactu)

Ca rejoint ce que je dis dans mon message, a quoi ca sert de s’envoyer des SMS cryptés quand de toute facon on peut te traquer, écouter tes conversations en clair, lire tes mails…
C’est comme avoir la meilleure porte blindée dans sa maison mais laisser la porte fenêtre du salon ouverte quand on part…

Le 12/12/2013 à 11h11

#14

Oby-Moine a écrit :

@®om
Tu peux nous dire brièvement pourquoi le pgp (ou gpg) n’est pas bien pour la messagerie instantanée ?

En 2 mots : il ne permet pas la perfect forward secrecy ni la répudiation.

La première propriété permet de ne pas pouvoir déchiffrer les messages a posteriori si la clé est trouvée plus tard.
La seconde permet de pouvoir nier l’émission d’un message (alors qu’avec GPG tu signes tout ce que tu envoies).

Pour plus de détails, le pdf dont j’ai donné le lien est assez court et compréhensible (mais en anglais).

Le 12/12/2013 à 11h14

#15

maverick78 a écrit :

Si c’est sensible alors je doute qu’elle ait le droit d’utiliser son téléphone perso pour en parler (d’ailleurs je doute qu’elle ait le droit d’en parler en fait, même avec toi) " />
Si c’est la flotte mobile de l’état, je doute que tu puisses agir sur le téléphone (enfin j’espère) et je pense qu’il y a déjà des précautions prises.

C’est son tel perso ;) mais dès fois elle peut me confier ce qu’elle pense sur un tel ou un tel de ses chefs ou collègues qui parfois font des coup de *** ou parfois les fous rires qu’elle à avec d’autres collègues.

Je considère que ces choses sont privées et ne regardent que nous deux …

Par contre elle est professionnelle et ne partagera jamais les infos elle même sur lesquelles elle bosse ;)

carbier Abonné

Le 12/12/2013 à 11h28

#16

maverick78 a écrit :

Ca rejoint ce que je dis dans mon message, a quoi ca sert de s’envoyer des SMS cryptés quand de toute facon on peut te traquer, écouter tes conversations en clair, lire tes mails…
C’est comme avoir la meilleure porte blindée dans sa maison mais laisser la porte fenêtre du salon ouverte quand on part…

Tu as raison… d’ailleurs puisque rien de personnel n’a d’importance et que tout peut être connu, je m’en vais de ce pas créer un blog pour donner à tout le monde mon niveau de salaire, mes maladies (si j’en ai), mon adresse, des photos de mes enfants avec leur nom et leur lieu de scolarité, etc. etc.

Wikus

Le 12/12/2013 à 11h37

#17

carbier a écrit :

Tu as raison… d’ailleurs puisque rien de personnel n’a d’importance et que tout peut être connu, je m’en vais de ce pas créer un blog pour donner à tout le monde mon niveau de salaire, mes maladies (si j’en ai), mon adresse, des photos de mes enfants avec leur nom et leur lieu de scolarité, etc. etc.

Il y a déjà Facebook pour ça " />

Le 12/12/2013 à 12h09

#18

FrenchPig a écrit :

Il y a déjà Facebook pour ça " />

Oula, ça y est je suis grillé, tout le monde va savoir que je n’utilise pas FB " />

Glyphe

Le 12/12/2013 à 12h30

#19

JCLB a écrit :

Mais il fonctionne avec une clé partagée échangée via Diffie-Hellman, et non sur un couple public-privé. C’est avantageux en conférence car on envoi les données une seule fois au serveur, par contre c’est moins bien que de l’asymétrique.

Mais bon, ils proposeront peut-être cela une fois l’implémentation OTR complètement fonctionnelle. Car finalement c’est cette dernière qui est a blâmer car ne proposant que du symétrique.

Vu qu’on en est au point de rajouter des couches, tu peux très bien chiffrer manuellement les messages que tu envoies dans Cryptocat via PGP/GPG " />
Bon c’est un peu overkill je trouve mais bon ça fonctionnera très bien.

Sinon je suis très content que cet outil de messagerie instantanée arrive sur les plateformes mobiles. C’est le projet de chat sécurisé le plus abouti et le plus ouvert que je connaisse. Il manquait d’audit au début du projet mais la notoriété aidant, de plus en plus de spécialistes en cryptographie se penchent sur son code et c’est de très bon augure pour la qualité du code.

A noter aussi que le Lead Developer (Nadim Kobeissi) n’a pas hésité à enlever momentanément une fonction comme le partage de fichiers par suspicion de bugs pouvant entrainer une faille de sécurité.
Je pense que c’est tout à l’honneur de ce projet qui se soucie d’abord de la sécurité et de ses utilisateurs !

source : https://github.com/cryptocat/cryptocat/issues/527

Le 12/12/2013 à 12h33

#20

carbier a écrit :

Tu as raison… d’ailleurs puisque rien de personnel n’a d’importance et que tout peut être connu, je m’en vais de ce pas créer un blog pour donner à tout le monde mon niveau de salaire, mes maladies (si j’en ai), mon adresse, des photos de mes enfants avec leur nom et leur lieu de scolarité, etc. etc.

Il y a une différence entre tout divulger publiquement et être parano, un juste milieu.
De toute facon les services de l’état savent déjà combien tu gagnes, qui sont tes enfants et ou ils sont scolarisés…

Ce que je dénonce également c’est la non cohérence : chiffrer ses sms ok, mais quid du reste des communications ? Tes cartes postales aussi sont chiffrées ?

Le 12/12/2013 à 12h39

#21

maverick78 a écrit :

Il y a une différence entre tout divulger publiquement et être parano, un juste milieu.
De toute facon les services de l’état savent déjà combien tu gagnes, qui sont tes enfants et ou ils sont scolarisés…

Ce que je dénonce également c’est la non cohérence : chiffrer ses sms ok, mais quid du reste des communications ? Tes cartes postales aussi sont chiffrées ?

Pour ta cohérence personnelle : une carte postale tu vas surement pas avoir les mêmes correspondances qu’avec ton/ta conjointe par SMS !

Sans compter que par SMS c’est souvent les coups de gueules, les ptit’s trucs, bref ce que je considère comme de l’intime ….

Le 12/12/2013 à 13h02

#22

maverick78 a écrit :

Il y a une différence entre tout divulger publiquement et être parano, un juste milieu.
De toute facon les services de l’état savent déjà combien tu gagnes, qui sont tes enfants et ou ils sont scolarisés…

Normal que l’Etat sache cela.
Mais par contre je ne savais pas qu’il n’y avait que les Etats qui pouvaient espionner tes correspondances.

maverick78 a écrit :

Ce que je dénonce également c’est la non cohérence : chiffrer ses sms ok, mais quid du reste des communications ? Tes cartes postales aussi sont chiffrées ?

Raisonnment binaire qu’est le tien.
Il faut un début à tout non ?

16ar

Le 12/12/2013 à 15h28

#23

maverick78 a écrit :

Il y a une différence entre tout divulger publiquement et être parano, un juste milieu.
De toute facon les services de l’état savent déjà combien tu gagnes, qui sont tes enfants et ou ils sont scolarisés…

Ce que je dénonce également c’est la non cohérence : chiffrer ses sms ok, mais quid du reste des communications ? Tes cartes postales aussi sont chiffrées ?

L’avantage du sms, c’est que ça part rapidement, c’est plus rapide qu’un mail, et ça permet de recevoir l’information, même sans edge ou 3G. Du coup, un sms chiffré est plus utile qu’un mail par PGP envoyé d’un mobile vers un autre mobile.

Internet a changé la vie privée. Avant, la vie privée n’allait pas plus loin que ta voix (hormis téléphone). Pour espionner ta vie privée, il fallait mettre en œuvre des moyens logistique très pointus et cher (installation de micros chez toi, sur ton téléphone, surveillance visuelle etc). Puisque maintenant, tout passe par Internet, il suffit de mettre des machines avec des gros disques durs aux bons endroits, et c’est bon. Ça coûte très cher également sauf que là, on n’espionne plus la vie privée d’une personne surveillée en particulier, mais celle de tout le monde.
On passe d’une surveillance spécifiques pour certaines personnes sous enquête à une surveillance généralisée. Ce n’est plus la même échelle, ce n’est plus le même problème.

Quand tu es chez toi, tu aimes bien avoir un peu d’intimité non ? Tu fermes tes portes, tu n’invites pas n’importe qui ?

BenGamin

Le 12/12/2013 à 17h38

#24

romainsromain a écrit :

Sans compter que par SMS c’est souvent les coups de gueules, les ptit’s trucs, bref ce que je considère comme de l’intime ….

Je te rejoint sur ce point. Loin de toute parano, le correspondance privée est privée. Banalité ou pas ce n’est pas la question.

Le sms/mail devrait être traité de la même façon qu’une lettre. Une entreprise privée ou publique qui se permettrai d’ouvrir toutes les lettres qu’elle transmet se ferait écarteler en place publique (enfin j’espère).

Nous avons tous le droit à une vie privée et je compte bien l’utiliser (ce droit). Quand bien même ce serait pour échanger des informations sans aucune importance pour n’importe qui d’autre.

En_transit

Le 12/12/2013 à 21h11

#25

maverick78 a écrit :

Il y a une différence entre tout divulger publiquement et être parano, un juste milieu.

“Le juste milieu, c’est le trou du cul”

Charles de Gaulle.

al_bebert Abonné

Le 13/12/2013 à 00h08

#26

BenGamin a écrit :

Je te rejoint sur ce point. Loin de toute parano, le correspondance privée est privée. Banalité ou pas ce n’est pas la question.

Le sms/mail devrait être traité de la même façon qu’une lettre. Une entreprise privée ou publique qui se permettrai d’ouvrir toutes les lettres qu’elle transmet se ferait écarteler en place publique (enfin j’espère).

Nous avons tous le droit à une vie privée et je compte bien l’utiliser (ce droit). Quand bien même ce serait pour échanger des informations sans aucune importance pour n’importe qui d’autre.

bof je compte pas le nombre de colis ouvert que j’ai reçu … et c’est pratiquement devenu systématique….

merci la douane qui contrôle chacun de mes achats modélisme pour on ne sais qu’elle raison… même pas la récupération de la TVA vu que je me suis pris cette taxe 1 fois seulement en 6 ans…

anonyme_8d84edb4e8e6a032349cd894ed2eb097

Le 13/12/2013 à 04h55

#27

al_bebert a écrit :

bof je compte pas le nombre de colis ouvert que j’ai reçu … et c’est pratiquement devenu systématique….

merci la douane qui contrôle chacun de mes achats modélisme pour on ne sais qu’elle raison… même pas la récupération de la TVA vu que je me suis pris cette taxe 1 fois seulement en 6 ans…

Chacun de tes achats ??? " />

Tu dois vraiment être malchanceux. Car le nombres de colis vérifiés représentent à peine 4% du transit global. Et pour la TVA, ils se réfèrent souvent au bon de commande à l’extérieur du colis.

A moins que tu ne commandes systématiquement depuis une destination un peu craignos ? " />

Le 13/12/2013 à 08h22

#28

heiwa a écrit :

Chacun de tes achats ??? " />

Tu dois vraiment être malchanceux. Car le nombres de colis vérifiés représentent à peine 4% du transit global. Et pour la TVA, ils se réfèrent souvent au bon de commande à l’extérieur du colis.

A moins que tu ne commandes systématiquement depuis une destination un peu craignos ? " />

HK

Le 14/12/2013 à 01h18

#29

al_bebert a écrit :

HK

Ceci explique cela…. HK capitale internationale de la contre façon ! " />

Le 14/12/2013 à 11h33

#30

®om a écrit :

En 2 mots : il ne permet pas la perfect forward secrecy ni la répudiation.

La première propriété permet de ne pas pouvoir déchiffrer les messages a posteriori si la clé est trouvée plus tard.
La seconde permet de pouvoir nier l’émission d’un message (alors qu’avec GPG tu signes tout ce que tu envoies).

Pour plus de détails, le pdf dont j’ai donné le lien est assez court et compréhensible (mais en anglais).

merci beaucoup pour ta réponse interessante, je vais tenter de lire ce pdf " />

Cryptocat finalisé pour Android et iOS, publication après analyse des sources

Chaque chose en son temps

Tiens, en parlant de ça :

Le poing Dev – Round 8

Un grand huit émotionnel

Guacamole sur un plateau (1/5) : on monte un bastion sécurisé

Vous cherchez le bastion ?

Projet européen sur le cloud : OVHcloud s’est retirée au dernier moment et s’explique

Tu me vois, tu ne me vois plus

Sommaire de l'article

Introduction

Le poing Dev – Round 8

Guacamole sur un plateau (1/5) : on monte un bastion sécurisé

Projet européen sur le cloud : OVHcloud s’est retirée au dernier moment et s’explique

AI Act européen : un compromis de haute lutte, de rares interdictions

Apple bloque Beeper, qui permettait d’utiliser iMessage sur Android

#LeBrief : faux avis sur Internet, enquêtes sur l’accord Microsoft et OpenAI, cybersécurité aux États-Unis

652e édition des LIDD : Liens Intelligents Du Dimanche

#Flock distribue des mandales tous azimuts

Quoi de neuf à la rédac’ #11 et résumé de la semaine

Cartes graphiques : 30 ans d’évolution des GPU

Google lance son opération de communications Gemini pour rivaliser avec OpenAI

Linux : le composant systemd se dote d’un écran bleu de la mort

Un roman graphique explique les logiciels libres aux enfants

Meta lance (enfin) le chiffrement de bout en bout de Messenger, entre autres

#LeBrief : cloud européen, OSIRIS-REx a frôlée la catastrophe, CPU AMD Ryzen 8040

Windows en 2024 : beaucoup d’IA, mais pas forcément un « 12 »

Informatique quantique, qubits : avez-vous les bases ?

Surveillance des notifications : un sénateur américain demande la fin du secret

En ligne, les promos foireuses restent d’actualité

#LeBrief : modalité des amendes RGPD, cyberattaque agricole, hallucinations d’Amazon Q, 25 ans d’ISS

Citant des « coûts prohibitifs », Twitch quitte la Corée du Sud

Binance fait son marketing pendant des formations sur la blockchain destinées aux chômeurs

L’empreinte écologique CERN en 2022 : 1 215 GWh, 184 173 teqCO₂, 3 234 Ml…

Voitures électriques : dans la jungle, terrible jungle, des bornes de recharge publiques

#LeBrief : intelligence artificielle à tous les étages, fichier biométrique EURODAC

KDE Plasma 6 a sa première bêta, le tour des nouveautés

AI Act et reconnaissance faciale : la France interpelée par 45 eurodéputés

La CNIL préconise l’utilisation des API pour le partage de données personnelles entre organismes

Orange sanctionnée sur la fibre : l’argumentaire de l’opérateur démonté par l’Arcep

Israël – Hamas : comment l’IA intensifie les attaques contre Gaza

#LeBrief : bande-annonce GTA VI, guerre électronique, Spotify licencie massivement

La DGCCRF traque les faux avis sur Internet avec son Polygraphe

Au Royaume-Uni et aux États-Unis, l’accord entre Microsoft et OpenAI à la loupe

87 % des agences états-uniennes ne parviennent pas à respecter les normes de cybersécurité

Florie Marie démissionne de la présidence du Parti Pirate International

Commentaires (30)