Line généralise le chiffrement de bout en bout, sauf pour les groupes
À qui le tour ?
Le 01 juillet 2016 à 09h15
4 min
Société numérique
Société
Alors même que Line a annoncé son intention de rentrer en bourse, il active aujourd’hui le chiffrement de bout en bout. Un mouvement qui se répand progressivement dans les plateformes de messagerie pour assurer une meilleure sécurité. On ne sait cependant pas ce qui est utilisé pour cette mesure.
Line est l’une des solutions de messagerie instantanée les plus utilisées dans le marché asiatique, avec une base de 220 millions d’utilisateurs actifs mensuels environ. Comme nous l’indiquions récemment, l’entreprise va prochainement tenter de s’introduire en bourse. Elle n’est toujours pas rentable, mais le dernier bilan a montré des signes nets d’amélioration. La plateforme de communication doit par contre lutter contre un ralentissement du nombre de nouveaux utilisateurs.
Une génération du chiffrement E2E
C’est donc dans un contexte de fébrilité que Line a annoncé la généralisation du chiffrement de bout en bout (ou E2E). Chez l’éditeur, cette fonctionnalité portait en fait déjà un nom : Letter Sealing. Elle était active chez une partie des utilisateurs. Il s’agit d’un mouvement important, dans la continuité de ce qui avait été annoncé par WhatsApp, puis par Viber.
Il manque cependant une information capitale dans le billet de blog de Line : la technologie utilisée. Dans son centre d’aide, l’éditeur précise que Sealing Letter est « conçu de manière à ce que les messages stockés sur nos serveurs soient chiffrés et ne puissent être lus que par l’émetteur et le destinataire d’un message ». La solution retenue serait donc du même acabit que celle de WhatsApp. Ce dernier a repris le protocole Signal et ne possède aucune clé de déchiffrement. Les données transitent donc par ses serveurs sans qu’ils puissent les lire. On se rappelle d’ailleurs que cette fonctionnalité a créé des tensions entre l’éditeur et le FBI.
Les conversations secrètes disparaissent dans la foulée
Line précise cependant que la généralisation du chiffrement E2E entraine la disparition d’une autre fonctionnalité : les Hidden Chats (conversations secrètes). Elles étaient déjà chiffrées et permettaient justement ce genre de protection. Résultat, Line les supprime. En outre, il existe une différence importante avec WhatsApp : les conversations de groupe ne profitent pas encore de Letter Sealing.
Autre différence avec WhatsApp, Line dispose de conversations synchronisées. Il n’est pas limité à un seul appareil et dispose par ailleurs de clients desktop pour Windows et OS X (dans les Stores respectifs). Dans son centre d’aide, l'éditeur précise d’ailleurs que les utilisateurs de ces versions devront passer par une procédure afin d’activer le chiffrement. Il faudra ouvrir une nouvelle fenêtre de conversation, cliquer sur « Verify your identity » et entrer alors le code à six chiffres dans l’application mobile, qui enverra une notification pour l’occasion.
À quand les autres ?
Globalement, les messageries instantanées avancent dans le « bon sens » avec la généralisation d’une technologie qui ajoute une vraie couche supplémentaire de sécurité. On notera cependant que plusieurs solutions majeures de communication ne possède toujours aucun chiffrement E2E. À commencer par Messenger, la deuxième plateforme la plus utilisée au monde après WhatsApp. Skype n’en possède pas non plus, et Google a perdu une occasion de marquer les esprits en le mettant de côté pour sa future solution Hello.
On peut se demander cependant si cette généralisation ne risque pas d’imposer une telle pression aux forces de l’ordre que les différents législateurs pourraient prendre la situation en main et en limiter l’usage. Ce risque existe bel et bien, et aucune balance n’a pour l’instant été trouvé dans ce domaine. Il suffit de voir aux États-Unis la manière dont les débats avancent sans jamais parvenir à une solution.
Line généralise le chiffrement de bout en bout, sauf pour les groupes
-
Une génération du chiffrement E2E
-
Les conversations secrètes disparaissent dans la foulée
-
À quand les autres ?
Commentaires (15)
Vous devez être abonné pour pouvoir commenter.
Déjà abonné ? Se connecter
Abonnez-vousLe 01/07/2016 à 09h33
Bizarre, jamais entendu parler. WeChat et QQ par contre… Ça cartonne en Chine.
Le 01/07/2016 à 09h42
Et sinon ya un réseau social en chine? :) Type facebook ou vk
Le 01/07/2016 à 10h03
Le 01/07/2016 à 11h20
Je m’en suis servi pour jouer à des jeux mobiles. C’est pratique pour la communication de guildes.
Le 01/07/2016 à 12h06
Mis à part ces derniers jours, jamais vu. Par contre Telegram, j’ai gouté et adopté - rapide multiposte et multiplateforme- cool, mais tout anglais. Sauf tes contenus (je vous vois venir)" />
Le 01/07/2016 à 12h48
Le 01/07/2016 à 12h50
Le 01/07/2016 à 12h56
En outre, il existe une différence importante avec WhatsApp : les conversations de groupe ne profitent pas encore de Letter Sealing
peut-être que c’est justement leur protocole qui les bloque à ce niveau.
reste que sans infos sur le protocole en question, impossible de considérer Line comme une messagerie sécu.
Le 01/07/2016 à 13h53
Quand il auront une vrai appli Windows Phone…
Le 01/07/2016 à 19h28
Si vous voulez une application crédible (pas une société à but lucratif) utilisez signal. Client opensource, end to end meme pour les groupes, et ils assurent ne pas conserver les méta-données, ce que fais line, whatsapp… (ils intègrent tous le chiffrement pour la com’, mais ils n’ont absolument pas l’intention de protéger votre vie privée)
Le 02/07/2016 à 06h19
Tu es sur que du vrai Open source? Ça dépend d’une librairie fermé de Google -> exit les alternatives à Android. Ils interdisent à d’autres applications que la leur de se connecter à leur serveurs et une portion de leur code est fermée ( celle liée à la téléphonie sûrement une histoire de brevets).
Donc dans les faits pas de forks. Pas d’interopérabilité qui me semble cruciale pour un truc qui de l’échange des informations.
Un billet qui explique cela mieux que moihttps://framablog.org/2016/06/27/le-chiffrement-ne-suffira-pas/
Le 02/07/2016 à 06h58
“Il n’est pas limité à un seul appareil et dispose par ailleurs de clients desktop pour Windows et OS X (dans les Stores respectifs).”
Pas vraiment, pour l’installer sur un autre téléphone, l’historique est supprimé sur l’ancien.
Et puis si théoriquement on peut se logguer avec un mot de passe sur pc, je n’ai jamais réussi qu’à le faire avec le qr code… qui nécessite le téléphone.
Bref, du multi-device assez relatif…
Le 02/07/2016 à 14h57
Merci pour le billet.
J’avais déjà conscience des lacunes de Signal (notamment des gapps obligatoires sur android). Seulement la plupart de leurs choix sont justifiés :
https://whispersystems.org/blog/the-ecosystem-is-moving/
«If anything, protecting meta-data is going to require innovation in new protocols and software. Those changes
are only likely to be possible in centralized environments with more control, rather than less. Just as
making the changes to consistently deploy end to end encryption in federated protocols like email has
proved difficult, we’re more likely to see the emergence of enhanced metadata protection in centralized
environments with greater control.»
Plus de centralisation = Plus de flexibilité sur les évolutions, les metadata s’effacent plus facilement (seul whispersystems les a)
Un client unique, une marque pour assurer la fiabilité du client finale et éviter à l’utilisateur la qualité du client.
Bref, de toutes les «apps» qui existent du même genre, Signal est la meilleure solution. Après si on veut vraiment protéger sa vie privée, mieux vaut ne pas utiliser de téléphone, mais c’est déjà un bon début.
Le 02/07/2016 à 20h25
J’utilise quotidiennement Line depuis des années avec mes contacts japonais.
Excellent. Les stamps sont sympa, certains étant même sonores…..
line c’est “man da to li” comme ils disent….
(b)
Le 04/07/2016 à 08h01
Dépendre d’un seul prestataire est extrêmement dangereux.
Pour ce qui est de l’évolution c’est une fausse excuse, HTTP/2 , SPDY prouvent que l’on peut faire évoluer un protocole à plusieurs.
Là j’ai juste l’impression que Open Whisper Systems vend une marque à Google & Co en jouant sur la notoriété de ses membres. On est loin de l’époque de PGP qui est devenu un RFC.
Avec Signal, on a bien des RFC ( a RFC 3711 pour SRTP et RFC 6189pour ZRTP) mais cela n’est pas suffisant.