Skred : Skyrock lance sa messagerie « libre et sécurisée »… mais un peu trop fermée

Skred est une application de messagerie proposée par le groupe Skyrock. Vantant la liberté et la souveraineté numérique, l'équipe n'hésite pas à évoquer un chiffrement de bout en bout et l'anonymat des utilisateurs. Vraiment ?

Le secteur des messageries chiffrées est en plein essor. Quatre ans après les révélations d'Edward Snowden, alors que des outils comme GnuPG sont assez peu adaptés à un usage mobile, nombreux sont ceux qui ont décidé de chercher une solution avec des outils dédiés, ou via l'ajout d'une couche de sécurité à leur application.

Dans cette longue liste on retrouve ainsi aussi bien Apple et son iMessage, que Facebook via WhatsApp mais aussi Silence pour le chiffrement des SMS, Keybase, Signal, Telegram ou encore Wire. Chacune a ses avantages et ses inconvénients, ses fonctionnalités spécifiques et sa base d'utilisateurs établie.

Autant dire que se faire une place n'est pas facile, c'est pourtant ce qu'a décidé de faire... Skyrock, avec Skred. Un choix audacieux tant les pièges sont nombreux dès que l'on parle sécurité et chiffrement. Lancée il y a quelques mois de manière plutôt discrète, elle refait à nouveau parler d'elle. Nous avons donc décidé de nous pencher sur cette initiative.

• Télécharger Skred pour Android
• Télécharger Skred pour iOS

Skyrock lance une messagerie chiffrée, WTF ?

Le groupe, notamment connu pour sa radio (mais aussi pour ses fameux Skyblogs) a toujours cherché à se diversifier, et plus spécialement dans le domaine du numérique. Son fondateur et actuel PDG, Pierre Bellanger, est aussi connu pour être un défenseur de la notion de « souveraineté numérique ».

Il a notamment rédigé un livre sur ce thème en 2014 et participe à l'initiative Open Root avec Louis Pouzin. Il n'est donc pas étonnant de voir le groupe se lancer sur le terrain d'une telle messagerie.

D'autant qu'elle arrive tard, la plupart des acteurs ayant créé et peaufiné leur écosystème depuis plusieurs années, il est donc compliqué de débarquer et de se différencier, surtout dans un domaine si technique.

Derrière Skred, Twinme

Mais pour cela la société a trouvé une astuce, elle se repose en réalité sur une solution tierce « kids friendly », Twinme, qui propose justement une solution de messagerie chiffrée en marque blanche. Twinlife SA, sa société éditrice, étant hébergée à l'incubateur de l'école Centrale Paris, l'aspect « French Tech » est sauf.

Notez au passage que bien que le site (Wordpress) de Skred ne dispose pas de mentions légales isolées, ses conditions générales d'utilisation font mention de Skred SAS comme une entité à part. Elle est en effet enregistrée comme une marque de la régie publicitaire France en ligne. Mais son numéro d'immatriculation (PARIS B 410 129 365) renvoie à Taliesin. Deux sociétés dont Pierre Bellanger est l'actuel Président.

On retrouve une interview datant de janvier du co-fondateur et Président de Twinlife, Michel Gien, sur le site de l'Inria Business Club. Il y précisait que sa messagerie « ne nécessite pas de s’enregistrer avec un identifiant personnel (pas de numéro de téléphone, adresse mail ou identifiant de réseau social) ; twinme n’accède ni aux carnets d’adresses, ni à aucune information personnelle de l’utilisateur. Les informations de contact sont uniques à chacun des correspondants, non transférables et non utilisables par d’autres. Les interactions sont chiffrées de bout-en-bout et effectuées en peer-to-peer, c’est-à-dire, directement d’appareil à appareil, sans serveur intermédiaire enregistrant les contenus ».

Une solution plutôt intéressante sur le papier, qui coupe notamment le lien entre la messagerie et un système d'identification classique. C'est semble-t-il ce qui a séduit Skyrock.

En finir avec l'identifiant par mail ou par numéro de téléphone

L'angle utilisé par le service vise d'ailleurs assez juste. Actuellement, la majorité des messageries se reposent sur un email ou un numéro de téléphone pour assurer leur fonctionnement. Une facilité pratique parfois, une façon de collecter des données dans d'autres cas (coucou Facebook). 

Mais au final, on se retrouve toujours avec un moyen d'identifier de manière assez simple l'utilisateur et de recouper les données récoltées avec d'autres. Le mail et le numéro de téléphone étant largement utilisés, le potentiel à ce niveau est assez important. S'en débarrasser est d'autant plus avantageux. Signal l'a d'ailleurs bien compris et cherche à revoir les choses de son côté au niveau de son modèle de sécurité.

Il en est de même pour le fonctionnement sans serveur central. Signal est parfois critiqué pour le fait que l'application utilise les services de Google pour ses notifications. Ici, Skred veut proposer un modèle où les appareils communiquent plus directement ensemble. Supprimer un message d'un côté le fait de l'autre, les deux appareils devant être connectés pour pouvoir communiquer.

Utilisateur libre...

S'il y a bien un mot qui est mis en avant sur le site de Skred, c'est la liberté. La punchline du site est ainsi « Rejoins la communauté libre ! » et les arguments suivent : vous êtes « Libre parce que vous communiquez pour la première fois sans avoir à donner votre numéro de mobile ou une adresse email [...] Skred a pour origine le groupe Skyrock, issu du mouvement des radios libres en France et défenseur de la liberté d’expression à l’antenne et sur internet ».

Autant le dire tout de suite, le site, tout comme celui de Twinme/Twinlife, ne contient pas vraiment de documentation technique. C'est ici un premier faux pas qui fera fuir les adeptes de la sécurité par la transparence. En effet, comment savoir si une application est adaptée à notre modèle de menace si l'on ne peut pas comprendre comment elle fonctionne ?

Tout juste apprendra-t-on que c'est WebRTC/XMPP qui sert de base pour la communication (ce qui explique le modèle pair-à-pair) avec chiffrement SSL/TLS des échanges (même si seul SSL est souvent évoqué). Il est aussi confirmé que ceux-ci sont « chiffrés de bout en bout de mobile à mobile. Ils ne sont stockés sur aucun serveur. Les technologies de chiffrement sont open source et reprises des travaux des hackers et citoyens activistes du Guardian Project ».

Mais est-ce que l'on a droit à confidentialité persistante ? Comment sont stockées les clés de chiffrement ? Quid des algorithmes et de la méthode de chiffrement utilisés ? Mystère et boule de gomme. 

... mais pas logiciel libre (ou open source)

Ce manque de transparence en cache un autre, qui interpelle lorsque l'on voit mentionné de manière positive l'utilisation d'outils open source : les sources de Skred ou même de Twinme ne sont pas disponibles et il ne s'agit pas d'un logiciel libre. Là encore, certains pourront y voir un argument pour ne pas tenter l'aventure. 

Certes, le public visé est plus l'adolescent qui veut préserver son intimité que le journaliste qui cherche à communiquer avec sa source, ou le citoyen d'une dictature... mais tant qu'à mettre en œuvre des solutions de sécurité et de chiffrement, le faire avec un minimum de transparence et de garanties pour les utilisateurs est toujours une bonne chose. Surtout lorsque l'on se permet ce genre d'élément de communication :

Hey @jaredkushner, there is only one way to ensure confidentiality between Russia and USA : @skred . Too bad, you did not know it before !

— Skred (@skred) 29 mai 2017

Rien ne précise d'ailleurs si le code a été audité par un tiers de confiance, mais un bug bounty est néanmoins ouvert sur Yogosha. De son côté, Twinme nous a indiqué que le chiffrement local des données locales passe par SQLCipher alors que le chiffrement de bout-en-bout des données échangée par le protocole WebRTC utilise le chiffrement dynamique DTLS.

Skred, comment ça marche ?

Attardons-nous maintenant sur l'application en tant que telle. Comme évoqué précédemment, elle est disponible sur Android et iOS. Aucune version pour ordinateur classique n'est proposée. La liste des autorisations demandées ne semble rien comporter de problématique, si ce n'est la demande d'accès à la liste de contacts sur Android (nous en reparlerons).

La promesse de Skred est la suivante : « vous permettre de communiquer par message, voix et vidéo, d’échanger tous types de fichiers (texte, image, son, musique, vidéo, logiciel) ». Le tout de manière « anonyme, unique et sécurisée, avec la possibilité de créer autant d’identités indépendantes et de relations uniques que vous souhaitez ». De plus, « lorsque vous effacez un message sur Skred, il s’efface aussi dans le mobile de votre correspondant ».

Il existe aussi un « Skredboard » qui vous permet de créer des profils « invisibles » et dont l’accès est protégé par un code. « Les contacts que vous ajoutez ensuite sont également protégés et ne peuvent vous contacter ou être contactés que lorsque vous activez votre niveau par son code ».

L'application en pratique

Lorsque vous lancez Skred pour la première fois (nos tests ont été effectués sur iOS), vous serez alertés que l'application ne fournit pas d'appels d'urgence. Un moyen de préciser qu'il ne s'agit pas d'un service téléphonique classique, ce qui est notamment rappelé dans les conditions d'utilisation (nous en reparlerons plus loin).

Vous pouvez aussi bien utiliser Skred avec une connexion Wi-Fi ou 3G/4G.

• Le profil

Une fois passé la première étape vous devrez définir un profil avec une photo et un nom. Ce dernier n'est pas forcément unique, attention donc aux usurpateurs.

Les CGU précisent dans leur article 5.2.1 que « Ledit Pseudo peut être modifié librement, par ses soins, sans entrainer un changement de Compte d’utilisateur. Le Pseudo choisi n’est pas unique et il peut donc être utilisé par plusieurs Utilisateurs. Seul le Compte de l’Utilisateur est relié à l’identifiant du Support lui permettant d’accéder à l’application Skred ».

Premier regret : une photo est obligatoire. Si vous tentez de ne pas en mettre, une alerte s'affichera et vous ne pourrez pas avancer plus loin. Autant dire qu'une déferlante de pirates à capuche et autres masque de Guy Fawkes est à prévoir.

• Les paramètres

La page suivante se découpe en différentes parties. En haut à gauche un raccourci vers votre profil que vous pouvez modifier à tout moment, alors qu'en haut à droite vous serez renvoyés vers vos notifications. La partie centrale vous permettra de gérer vos contacts et vos différentes notifications.

Celles-ci peuvent être gérées depuis les paramètres qui sont accessibles depuis le menu « ... » en bas à droite de la page d'édition de votre profil. Oui, là aussi, c'est plutôt « Skred ». Vous pourrez couper individuellement les notifications texte, audio et vidéo. Aucune autre option n'est proposée. Vous pouvez contacter l'équipe via un formulaire prévu à cet effet.

• Ajouter un contact

Vient le moment d'ajouter votre premier contact. Ici, par défaut, ce sera un peu vide. Vous avez alors trois moyens de procéder : inviter une personne à proximité, via un lien contenant un « SkredCodeID » envoyé à travers une application tierce, ou via l'accès à vos contacts pour une invitation par message.

Sur ce dernier point, on appréciera la forme d'alerte qui est donnée et qui permet donc à l'utilisateur d'avoir conscience de ce qu'il fait et de ne donner un accès que s'il le souhaite. 

Comme nous sommes plutôt du genre méfiant, nous avons décidé d'opter pour la première façon de faire, qui passe par le scan du QR Code d'un tiers (qui contient simplement le lien avec le « SkredCodeID »). Il sera ajouté à votre liste de contact, et inversement sans manipulation supplémentaire.

Si vous cliquez sur son pseudo, une nouvelle page s'affichera avec son profil, trois boutons pour initier une conversation écrite, vocale ou vidéo. Vous pourrez éditer le pseudonyme de vos contacts de manière locale et comme plusieurs profils sont possibles sur un même appareil, l'application vous détaillera sous quel pseudo vous connait ce contact.

• La messagerie

Second point de regret, lors de l'ouverture de votre première conversation, Skred cherchera à avoir accès à vos photos. Une demande que l'on aurait plutôt vue au moment de partager un tel type de fichier.

Vous pouvez également envoyer des messages vocaux et supprimer des messages de manière individuelle. Notez qu'une fois qu'un message est supprimé sur votre appareil, il l'est aussi sur celui de votre contact. Vous pourrez également réinitialiser complètement la conversation.

L'ensemble fonctionne plutôt bien et l'interface est agréable. Les appels utilisent le système natif d'iOS et peuvent donc être gérés là aussi assez facilement. 

• Changer d'identité avec le Skredboard

Pour utiliser le Skredboard et gérer de multiples identités, il vous suffit d'effectuer un glisser vers le bas dans l'interface de l'application. Vous pourrez alors taper un code pour accéder à un autre profil ou en créer un comme bon vous semble. 

Vous pourrez créer un autre profil, complètement séparé du reste. Chaque notification détaillera le nom de votre contact mais aussi de l'identité à laquelle il s'adresse. Par contre, on ne pourra pas opter pour un mode discret permettant seulement d'indiquer qu'une notification vient d'arriver, sans plus de détails.

Pour retourner à votre profil de départ. Il vous suffit de taper le code « 0 ». Au final, on appréciera la présence de cette fonctionnalité que l'on ne retrouve pas en général dans d'autres applications. 

• Echanges pair à pair : attention à ne pas couper l'application

Il y a un point important à noter avec Skred. Les échanges s'effectuant en pair-à-pair, sans passer par les serveurs du service, il faudra que l'application soit active, au moins en arrière-plan. Dans sa FAQ, l'équipe précise la procédure à suivre sous Android et iOS. Si vous ne la respectez pas, vous ne pourrez pas recevoir tous les messages qui vous sont adressés.

Quid du respect de la vie privée ?

C'est bien joli tout ça, mais quelles garanties donne Skyrock pour l'utilisation des données de Skred ? Le service dispose d'un avantage clair du fait même de sa conception : aucun serveur ne voit passer vos messages et ne peut donc les stocker. Vous serez donc dépendant de votre appareil là-dessus et si vous le réinitialisez, vous devrez recommencer à zéro : tous vos messages et vos contacts seront perdus. Dans le fond, c'est plutôt une bonne chose.

Dans sa politique de confidentialité, Skred précise néanmoins quelques points sur les données collectées. On apprend ainsi que sont récupérées « des informations sur le type d’appareil que vous utilisez pour accéder au service, y compris le modèle, le système d’exploitation et sa version, l’identifiant unique de l’appareil, et des informations sur le réseau mobile utilisé ».

L'identifiant de l'appareil est un élément important, surtout pour une application qui vante l'anonymat. Ici, on sera plutôt dans le pseudonymat, du fait du fonctionnement par profil de l'application et de la collecte de cet identifiant, qui peut dans certains cas être rattaché avec votre identité réelle (notamment par votre opérateur).

Sur ce point, certains s'amuseront de la formulation suivante : « Si vous souhaitez créer un compte SKRED, il vous suffit de créer un pseudo anonyme et l’on ne saura jamais qui vous êtes ». Pour rappel, pseudonyme signifie « faux nom », quand anonyme signifie « sans nom ».

Skred précise que le siège social de sa société se situe en France, ses serveurs en Europe et que l'application « relève uniquement du droit de ce pays. Toute demande ou requête d’un gouvernement (provenant y compris des États-Unis ou de la Russie) concernant la transmission de données sera examinée avec soin. La seule raison valable nous obligeant à transmettre des données confidentielles résulterait d’une décision de justice, d’une réquisition judiciaire ou un mandat, nous demandant de transmettre les éléments que nous posséderions ». Étant donné les dérives sécuritaires locales, cela ne sera pas forcément pour rassurer ceux qui ont un besoin de sécurité complet, notamment vis-à-vis des services de l'État.

Le service indique ne pas céder ou louer vos données à des tiers. et précise que les données collectées le sont surtout pour des raisons techniques. Comme pour le fait d'accepter d'utiliser une application dont le fonctionnement est très peu détaillé et transparent, il s'agira donc de savoir si vous acceptez de faire confiance aux équipes de Skyrock.

« L'équipement - Ces données ne sont pas stockées et servent uniquement à améliorer votre expérience en vous proposant un service optimisé (qualité audio/vidéo, tailles des images, largeurs des écrans…).

La localisation - Si vous autorisez l’accès à vos informations de localisation, SKRED utilisera vos informations de géolocalisation afin de vous proposer une expérience prenant en compte, en priorité, vos préférences linguistiques…

Les logs - SKRED enregistre des informations sur votre usage du service, tels que le type de navigateur que vous utilisez, l’heure, votre adresse IP, l’ID du service utilisé… Ces données ne sont pas conservées de façon permanente et sont strictement nécessaires à la bonne marche du service.

SKRED ne conserve vos données que pour une durée nécessaire et proportionnelle à la finalité pour laquelle elles ont été collectées.

Vos données sont stockées derrière des proxy et les transactions entre votre appareil et nos serveurs sont sécurisés par SSL (Secure Sockets Layer ou protocole de sécurisation des échanges sur internet). Seul le personnel dûment autorisé a accès aux données collectées automatiquement, et ce personnel est tenu de traiter ces informations comme sensibles et confidentielles. »

Notez que si vous souhaitez exercer votre droit d'accès à vos données, il faudra montrer patte blanche. Ici, il est précisé que « dans un souci de confidentialité et de protection des données personnelles, TELEFUN doit s’assurer de l’identité de l‘utilisateur avant de répondre à sa demande. Aussi, toute demande tendant à l’exercice de ces droits devra être accompagnée d’une copie d’un titre d’identité signé ».

Que disent les conditions d'utilisation ?

Si l'on regarde du côté des conditions générales d'utilisation, il est confirmé que le compte est « rattaché à l’identifiant du Support matériel utilisé ». Il est par défaut valable pour une durée de 135 jours, et peut être supprimé si aucune utilisation n'en est faite pendant cette période. 

L'utilisateur doit aussi respecter quelques règles. Les CGU et la loi, bien entendu, mais aussi veiller à ce que « le Contenu qu’il échange ne contienne aucun élément susceptible d’être contraire aux lois et règlements en vigueur, dans le pays depuis lequel il accède au Service ou dans le pays où ces Contenus sont destinés à être reçus, ou susceptible de causer un dommage à un tiers ou de violer les règles posés à l’article 6 - 3 ci-dessous » Il en est de même pour les contenus soumis au droit d'auteur. Mais vu le fonctionnement de Skred, et l'absence de version pour ordinateur, il y a assez peu de risques à ce niveau.

En cas de suppression du compte utilisateur, les données sont effacées dans un délai d'un an, « la suppression d’un Compte utilisateur a pour conséquence directe la suppression immédiate de tous les SKRED et Contenus créés par ledit Utilisateur, ainsi que la suppression de son ou ses Pseudos ».

Enfin, sachez qu'en contrepartie de la gratuité des services, « l’Utilisateur autorise SKRED à associer au Contenu que l’Utilisateur diffuse sur l’un quelconque des Services, des messages publicitaires ou promotionnels de type textes, images, vidéo ou sons, choisis par SKRED et ce sous toutes formes. Plus généralement, l’Utilisateur accepte que SKRED puisse utiliser (et y faire référence) la diffusion du Contenu généré par l’Utilisateur pour assurer la promotion de ses Services. En aucun cas l’Utilisateur ne peut prétendre à une quelconque rémunération ou rétribution au titre de la présente autorisation ».

On voit ici poindre les prémices d'un modèle économique. Ainsi, l'application est actuellement gratuite et sans publicité, mais à l'avenir, si les résultats sont au rendez-vous, cela pourra changer. Reste à voir quelle option sera choisie et si les utilisateurs décideront d'utiliser ce service plutôt qu'un autre.

Une messagerie sympa, mais les fondamentaux de la sécurité et du chiffrement manquent

Au final, l'initiative de Skred, et à travers elle de Twinme, semble plutôt intéressante. L'application est simple à utiliser, plutôt pratique, utilise des standards et offre un fonctionnement décentralisé plutôt bienvenu. Le tout avec quelques fonctionnalités que l'on ne retrouve pas forcément ailleurs.

Certes il y a quelques points à retoucher ou à clarifier ici ou là, mais la base est déjà bonne et l'on sent dans la démarche de l'équipe une volonté de faire les choses de manière correcte. L'application pourra donc séduire des personnes qui veulent communiquer ensemble, bien qu'il faudra pour cela s'opposer aux géants du secteur. Pas sur que l'argument de la souveraineté numérique et même la force de frappe d'un groupe comme Skyrock suffise à atteindre cet objectif.

Surtout que Skred est défaillant sur un point fondamental par rapport à sa communication : la transparence. Prôner la liberté est une chose, la sécurité, l'anonymat et le chiffrement une autre. Et sans source, audit ni documentation détaillée, on ne peut décemment pas accorder notre confiance à un service qui ne montre, sur ce point, aucune bonne volonté.

Ha oui! La pub sur #NRJ avec "Notre app utilise les dernières techniques des services secrets".
Elle me fait hurler de rire chaque matin 😂👌

— n3r0x (@n3r0x42) 28 septembre 2017

La même remarque peut se faire sur le modèle économique. Actuellement l'application est gratuite et sans publicité. Mais demain ? Les conditions générales d'utilisation ouvrent déjà quelques pistes,  mais on ne sait pas vraiment ce qu'il y a dans la tête de l'équipe qui n'a pas cru bon de détailler ce point sur son site, plutôt avare en informations concrètes.

Bref, il faudra donner des gages pour convaincre sur ce point. Sans quoi Skred restera ce que son nom inspire de prime abord : un gadget pour ado qui se donne l'aspect d'une solution sécurisée. Espérons que l'équipe vise mieux que cela.