La France travaille à une messagerie d’État chiffrée pour « cet été »
Prêts pour l’Émeute ?
Le 13 avril 2018 à 14h49
3 min
Internet
Internet
Le gouvernement ambitionne de mettre en place sa propre messagerie chiffrée d'ici juillet. Selon nos informations, elle reprend un outil existant, déjà exploité par la suite Citadel de Thales. Le chiffrement de bout en bout des communications pourrait être de la partie.
Depuis la campagne présidentielle, l'an dernier, les messageries sécurisées comme WhatsApp et Telegram sont au coeur d'une grande crainte. Les membres actuels du gouvernement et les parlementaires passent massivement par ces outils étrangers, au contenu pas toujours chiffré, pour leurs communications. La possibilité que des informations sensibles transitent par ces canaux est importante, alors que la France dispose pourtant d'outils « souverains » pour cet usage.
La question a été posée à Mounir Mahjoubi, le secrétaire d'État au Numérique, par un auditeur de France Inter ce matin. « Nous travaillons à une messagerie sécurisée publique, qui ne sera pas dépendante d'offres privées » a répondu l'ancien président du Conseil national du numérique. Avant d'assurer que les membres du gouvernement utilisent au moins deux applications de type Telegram, évitant de placer tous leurs œufs dans le même panier.
En marge d'un entretien, Henri Verdier, le numéro un de la Direction interministérielle du numérique (DINSIC) nous a livré quelques précisions sur ce projet.
La même base que Citadel de Thales
« C'est un projet géré par la DINSIC parce qu'il n'est pas nécessaire de recourir à des prestataires extérieurs », nous explique Henri Verdier. Le projet devrait mobiliser quelques développeurs. « Ça ne coûte pas cher de reprendre une souche libre, de la sécuriser et de la redesigner un peu... »
Quid des outils existants ? « On a quand même un accord de coopération et d'interopérabilité avec Thales, qui porte un projet qui s'appelle Citadel – et qui est lui-même sur souche libre. Ce serait dommage de se tirer dans les pattes alors qu'on part de la même souche » poursuit le numéro un de la DINSIC.
« Nous testons déjà une version alpha. Je pense qu'on déploiera à l'été, peut-être en juillet. Le parti pris, c'est que c'est une messagerie auditée par l’État, opérée par l’État, mais qui ne sera pas réservée à l'État. Vous pourrez la télécharger dans les magasins d'applications normaux et la mettre sur votre téléphone », conclut l'ancien directeur de la mission Etalab.
Une souche qui s'appellerait Riot
Quelle est donc cette « souche » libre qu'exploite Citadel de Thales ? Selon nos informations, il s'agirait de Riot, un outil de communication de groupe, à la logique inspirée de celle d'IRC. Il est fondé sur le protocole de messagerie instantanée Matrix, et permet la création de canaux chiffrés de bout en bout, même s'ils n'ont pas forcément à l'être. L'outil se rapproche concrètement d'un Slack auto-hébergeable et sécurisé, avec la possibilité d'intégrer des services tiers via des bots.
Des applications sont effectivement disponibles sur les principaux magasins d'applications. Pour l'utiliser avec un serveur de l'État, il suffirait donc de pointer ces clients vers celui-ci, comme n'importe quel hébergement personnel. Il reste tout de même à connaître l'importance des changements apportés par la DINSIC et le contrôle qu'aura éventuellement l'agence nationale de cybersécurité, l'ANSSI, sur cet outil.
Propos recueillis auprès d'Henri Verdier par Xavier Berne.
La France travaille à une messagerie d’État chiffrée pour « cet été »
-
La même base que Citadel de Thales
-
Une souche qui s'appellerait Riot
Commentaires (48)
Vous devez être abonné pour pouvoir commenter.
Déjà abonné ? Se connecter
Abonnez-vousLe 14/04/2018 à 10h06
Le 14/04/2018 à 12h33
Moi, je me pose une question simple :*
Sachant que les différents gouvernements cherchent à espionner protéger les concitoyens avec des boites noires dans les datacentres. Vont ils implémenter volontairement une backdoor dans l’appli ?
Il n’y a pas de raison que le pékin moyen soit espionné et pas le parlementaire !
Le 14/04/2018 à 13h46
Super ! Ne reste plus qu’à attendre que des terroristes l’utilisent et à sortir le pop-corn en écoutant Collomb.
Le 15/04/2018 à 20h40
J’utilise Riot depuis 7 mois (et je les soutiens sur Patreon). C’est une excellente alternative à Slack. Niveau UX, je trouve que Slack est encore au-dessus, mais le focus de l’équipe de Matrix/Riot aujourd’hui est de stabiliser les fonctionnalités et améliorer la UX, afin de sortir la version 1.0.
D’après leurs dires, ce sera “encore mieux que Slack”, mais bon, j’attends de voir quand même ;)
Mais honnêtement, hormis quelques bugs d’interface, l’application est largement utilisable et agréable à utiliser.
Par rapport à l’annonce, mon point de vue est que tout ce qui est développé avec les impôts des contribuables devrait être open source afin d’en faire profiter aux contribuables aussi. Matrix/Riot serait donc un parfait exemple d’améliorations faites par l’état et qui profitent en retour à toute la communauté. Avec la polémique sur l’open data en ce moment, j’espère que ça se concrétisera.
Le 17/04/2018 à 13h31
ça serait aussi une belle occasion de faire taire les trolls, les haters, et les habituels complotistes. " />
Le 18/04/2018 à 07h01
Un peu pareil. Puis la dernière fois que j’avais regardé, c’était pas en version stable.
Le 13/04/2018 à 15h46
" />
Plus sérieusement, si je comprends bien l’intérêt de l’outil pour les parlementaires et les ministères, je ne vois pas bien l’intérêt pour le particulier. Même en n’ayant rien à cacher, autant utiliser le logiciel dans sa version originale, sans la surcouche Made in France.
Le 13/04/2018 à 15h51
Tiens en parlant de ça, pas une petite niouze sur Telegram INterdit en Russie aujourd’hui ?
Le 13/04/2018 à 15h52
Le Brief devrait reprendre lundi, on en profitera pour en parler. :)
Le 13/04/2018 à 15h53
Le 13/04/2018 à 15h53
La question derrière est de savoir ce qui sera éventuellement reversé vers la “souche libre”. S’ils améliorent l’ergonomie, ce serait déjà un bon ajout.
Le 13/04/2018 à 15h53
Bha l’intéret c’est qu’avec un peu de bol on pourrai faire certaiens démarches administratives via ce biais ?
Genre chatter avec un conseiller X, qui nous demande un papier Y, qu’on lui transmet en live de manière sécurisé avec des outils opensource et qu’ils nous répondent en moins de deux semaines que le document est reçu et traité.
Ouai c’est une sorte de science fiction mais ça serait ptet pas mal.
Le 13/04/2018 à 15h53
Le 13/04/2018 à 15h57
Il reste tout de même à connaître l’importance des changements apportés par la DINSIC et le contrôle qu’aura éventuellement l’agence nationale de cybersécurité, l’ANSSI, sur cet outil.
Clair qu’une messagerie chiffrée developpée par un GVT qui fait tout pour tuer le chiffrement, ça donne pas très envie. Perso, sans moi.
Le 13/04/2018 à 16h01
Le 13/04/2018 à 16h01
Le 13/04/2018 à 16h04
Ça ne dépend que de leur définition de “chiffrement end to end”.
Suffit de définir que end1=client et end2=server.
Et “Hop”, tous les messages sont archivés sur un serveur Thalès.
Pour des contraintes légales (savoir qui a dit quoi à qui), meme Citadel doit fonctionner sur ce principe: apres tout, ce n’est pas un système grand publique mais pour le gvmt !
Le 13/04/2018 à 16h08
Le 13/04/2018 à 16h13
Vu … enfin laissé défiler jusqu’à ce que ça rende la main .. Ouais eu la flemme du F12 pour 30s :/
Le 13/04/2018 à 16h15
Le 13/04/2018 à 16h16
Hum, je ne comprends pas trop les commentaires trolls.
Le besoin de l’Etat est de communiquer via des applications chiffrées pour des raisons de confidentialité. A l’heure actuelle, ils utilisent des technologies françaises et étrangères.
L’idée derrière le projet est de fournir un Slack like au gouvernement afin de faciliter la communication entre les membres du gouvernement. Pour le coup, je trouve que c’est plutôt une bonne idée.
Par contre, je ne pense pas qu’il faille attendre des contributions à la souche libre :).
Le 13/04/2018 à 16h20
J’aurais du être plus précis, je parlais spécifiquement de Citadel de Thales, qui - à ma connaissance - n’est pas grand publique.
Autre sujet, quand je vois Thales et communication dans la meme phrase, je pense à ‘Teorem’ " />
Le 13/04/2018 à 16h26
Le 13/04/2018 à 16h34
Riot étant publié sous licence Apache 2.0, la question est en effet ouverte.
Trois choix sont possibles :
Seul le choix deux permet de réintégrer le code upstream.
Le 13/04/2018 à 16h36
Waw ! Perso j’utilise Riot depuis les premières heures, j’ai vécu les horreurs des débuts du chiffrement pàp… Et ça fait super plaisir de lire ça, vraiment.
Pour une fois que le gouvernement français prend une décision pas trop conne, c’est vraiment cool.
Le 13/04/2018 à 16h55
Confirmation : il s’agit bien d’un fork de Riot.
Le 13/04/2018 à 17h20
Mais du coup (je ne suis pas spécialiste), il n’y a pas un risque que la nouvelle messagerie chiffrée fasse doublon avec Citadel ? Voire avec les autres services de messagerie similaires déjà traités par l’ANSSI ?
Le 13/04/2018 à 18h19
Prêts pour l’Émeute ?
l’Émeute icône, bien sur :-)
Le 13/04/2018 à 18h29
Le 13/04/2018 à 18h31
« Ça ne coûte pas cher de reprendre une souche libre, de la sécuriser et de la redesigner un peu… »
Donc la base est libre mais pas sécurisée ? Elle permet la “création de canaux sécurisés” mais c’est un peu par hasard, ce n’est pas ce qui était prévu au départ ?
Ca promet…
Le 13/04/2018 à 18h33
Riot intègre du chiffrement de bout en bout et sa conception est tournée vers la sécurité. Cela n’empêche pas de blinder l’installation de l’instance.
Le 13/04/2018 à 19h00
Pour info, ils ont une page et une plaquette sur le site du groupe:
https://www.thalesgroup.com/fr/citadel-team#
Pour ce qui est de l’état de la plateforme actuelle, je trouve la version web bien moins bonne que mattermost dans la version que j’avais à mon ancien poste il y a un an. Et pour leur faire remonter des bugs, pas de bug tracker, il faut envoyer un message dans leur room: en gros, aucun suivi des bugs. J’ai essayé d’en remonter, ça m’a l’air encore moins efficace que d’écrire un message sur un magasin d’applications ^^ Le support du markdown est lacunaire, aucune possibilité d’éditer un message, les problèmes d’identité ont l’air d’être gérés à la main par un admin. Il y a encore du travail mais entre ça et microsoft communicator 2007, je choisis citadel sans hésiter !
Le 13/04/2018 à 19h23
echo ‘debhttps://riot.im/packages/debian/ stretch main’ > /etc/apt/sources.list.d/matrix-riot-im.list
apt-get install riot-web
cp -f images/Arnaud_Marin.gif /opt/Riot/resources/webapp/home/images/logo.svg
Voila, c’est sécurisé et redesigné un peu. " />
Le 13/04/2018 à 19h49
L’application de l’état ne sera pas forcément libre car la licence de Riot (Apache) n’impose pas que les travaux dérivés soient publiés sous une licence libre.
Donc même si l’état publie son app sur le PlayStore, je n’y toucherai pas car elle pourrait contenir une backdoor (ils seraient con de ne pas le faire…)
Si l’état jouait le jeu il reverserait ses améliorations au projet Riot. Le libre ce n’est pas simplement piller.
Le 13/04/2018 à 20h45
La France travaille
Le gouvernement ambitionne
projet géré par la DINSIC
quelques développeurs
Où comment faire passer une souris pour un éléphant.
Le 13/04/2018 à 23h46
Matrix, sérieusement ?
Pourquoi ne pas avoir simplement pris une direction XMPP ?
Le 14/04/2018 à 09h35
Le 14/04/2018 à 10h00
Dans un coffre fort de la DGSI bien sûr " />
Le 13/04/2018 à 15h03
Je me demande si ces nouveaux développements vont profiter aux logiciels suscités ou s’ils vont rester coincés dans les arcanes des développements utilisant des logiciels open-source mais dont les avancées ne sont pas publiées par leurs auteurs…
Financement public = code libre ?
Le 13/04/2018 à 15h04
Tiens c’est marrant je voulais tester Riot en auto-hébergé pour de la visio mais grosse flemme de tout mettre en place.
Le 13/04/2018 à 15h04
En esperant que ça fonctionne mieux que SAIP
Le 13/04/2018 à 15h12
Manque plus que personne l’utilise et voilà… et on a un outil crée par l’état français
Le 13/04/2018 à 15h13
Quand il parle de ne pas se tirer dans les pattes avec Thalès, je comprends qu’il y aura partenariat privé-public. Mais pas sûr que ca retombe dans le libre pour autant.. (pas sûr genre, sûr de l’inverse presque)
Le 13/04/2018 à 15h15
L’été sera chaud ! " />
Le 13/04/2018 à 15h18
« Ça ne coûte pas cher de reprendre une souche libre, de la sécuriser et de la redesigner un peu… »
Ok, celle-là je la garde pour la prochaine news sur le contrat openbar avec MS.
Argument ultime du numéro un de la Direction interministérielle du numérique pour préférer des logiciels open-source à ceux payants.
Le 13/04/2018 à 15h28
Le 13/04/2018 à 15h36
Bon, puisque c’est ‘dredi : j’espère que Louvois messenger aura le même succès que le cloud souverain et les mêmes performances que SAIP " />
Le 13/04/2018 à 15h37
Si on pouvait éviter le sarcasme automatique au prétexte que c’est vendredi, ce serait sympa. :)