Connexion

Catégories

Droit Économie Flock Hardware IA Internet Logiciel Sciences Sécurité Société

Nous Suivre

Contact rédaction Contact site Forum
Flux RSS GitHub Discord

À propos

Abonnez-vous

Blackphone : un téléphone centré sur la sécurité et dévoilé le mois prochain

Une retombée de l'affaire Snowden

Blackphone : un téléphone centré sur la sécurité et dévoilé le mois prochain

Le 15 janvier 2014 à 17h06

Les révélations engendrées par les documents d’Edward Snowden commencent à avoir des retombées concrètes dans le monde de la sécurité. Les entreprises Silent Circle et Geeksphone s’associent en effet pour créer une structure jointe pour le développement d’un appareil centré sur la sécurité : le Blackphone.

Un smartphone né du scandale de la surveillance américaine 

Silent Circle et Geeksphone ne sont pas des noms inconnus pour ceux qui ont suivi l’actualité de ces derniers mois. La première est une entreprise fournissant des solutions email et dont le nom est apparu sous le feu des projecteurs après la fermeture brutale de son service de courrier sécurisé. Une décision prise peu de temps après l’affaire Lavabit : un service équivalent et utilisé par Snowden, ce qui avait attiré l’attention de la NSA et provoqué sa fermeture. Quant à Geeksphone, il est notamment connu pour avoir fourni les premiers modèles de smartphones Firefox OS.

 

Leur association se manifeste dans une structure jointe en Suisse, dont l’objectif sera la production du Blackphone. Les téléphones dont l’objectif est la sécurité ne sont pas nouveaux et on trouve déjà des modèles par exemple qui peuvent chiffrer l’intégralité des données. Le Blackphone est cependant décrit comme « le premier smartphone au monde à placer la vie privée et le contrôle dans les mains de ses utilisateurs ».

Un système d'exploitation spécialisé et des composants puissants 

Sauf que dans la pratique, on n’a que peu d’informations réelles sur cet appareil. En effet, il faudra attendre le mois prochain et le Mobile World Congress de Barcelone pour assister à la présentation d’un prototype. Le Blackphone sera en outre basé sur une version lourdement modifiée d’Android, axée sur la sécurité et portant le nom de PrivatOS. De plus, Geeksphone et Silent Circle indiquent que les caractéristiques techniques seront au niveau des modèles haut de gamme vendus aujourd’hui. Ce qui reste évidemment à vérifier dans la pratique.

 

Et pour cause : des composants puissants font grimper les prix, ce qui éloigne alors l’appareil des portefeuilles du plus grand nombre. L’annonce semble en effet indiquer que le Blackphone aura une orientation plutôt grand public. Les deux entreprises assurent que les utilisateurs auront tout ce qu’il faut pour communiquer avec le monde connecté d’aujourd’hui, et qu’ils pourront passer des appels sécurisés, de même qu’envoyer des emails et des sms eux aussi protégés.

Des outils à vérifier dans la pratique 

Seulement voilà, la réalité ne sera certainement pas aussi simple. En effet, la sécurité des communications ne peut pas être garanti à moins que le point de contact l’autre côté puisse gérer les protocoles de sécurité utilisés. En d’autres termes, le Blackphone sera équipé de mesures de protections, mais la communication ne pourra pas être elle-même sécurisée si l’autre appareil ne gère pas les mêmes mesures.

 

Cela n’empêchera pas le Blackphone de proposer une vaste gamme d’outils, y compris un navigateur spécialisé dans l’anonymisation des sessions de surf ainsi qu’un VPN. On peut s’interroger également sur la facilité d’utilisation d’un tel appareil car ce dernier n’est pas censé être réservé aux fanatiques de la sécurité.

 

Rendez-vous donc le mois prochain au Mobile World Congress de Barcelone pour en apprendre plus sur cette initiative.

Commentaires (39)

Vous devez être abonné pour pouvoir commenter.

Abonnez-vous
votre avatar

Geeksphone c’est Espagne donc non pas de Patriot Act. Par contre Silent Circle oui…



Geeksphone + Davfi ça aurait pu le faire…

votre avatar

Faudra voir si on est obligé de passer par leurs serveurs ou non…

votre avatar







Ricard a écrit :



Androïd étant lui-même un énorme spyware, y a du boulot.<img data-src=" />





Bah oui c’est connu, en plus, c’est le seul OS dans ce cas !


votre avatar

Je me demande à quoi sert mon smartphone, il est à 99% en mode avion, les réglages ne m’ont jamais convaincus <img data-src=" /> (pas moyen de supprimer les cookies) <img data-src=" />

votre avatar







Oungawak a écrit :



[…]





Tu m’excuseras d’avoir tronqué ton message. C’est dans un soucis de légèreté.



Mais je suis plutôt d’accord avec toi. Offrir une ROM secure serait tout de même plus pratique pour les users. Certes, le bénéf’ ne serait pas le même pour eux, mais il faut savoir ce que l’on veut.

Ca a le don de m’agacer ce genre de boite qui fait dans la philanthropie pour se donner bonne conscience alors qu’au final, ils brassent plus d’air qu’autre chose.









2show7 a écrit :



Je me demande à quoi sert mon smartphone, il est à 99% en mode avion, les réglages ne m’ont jamais convaincus <img data-src=" /> (pas moyen de supprimer les cookies) <img data-src=" />





Pas mieux. J’en ai pris un pas cher (un Wiko) pour tester la techno (curieux inside). Mais mon portable à 20 euros (qui ne fait même pas appareil photo) me sert plus souvent.


votre avatar







ulhgard a écrit :



Silentcircle entreprise américaine dirigée et fondée par trois américains.



Game over.









Horrza a écrit :



Les entreprises Silent Circle et Geeksphone sont soumises au Patriot Act comme les autres des USA…

Au suivant…







Blackphone est réunion de 2 entreprises; l’une US et l’autre espagnole, (jointure). Blackphone est basée en suisse, donc non soumis au patriote à priori.



À près si ils ne publient pas leur source, ils ne risquent pas à communiquer avec grand monde. Beaucoup d’experts pensent que la partie modem des téléphones actuelles est truffée de failles et bien trop lié à la puce ARM. À voir si ils arrivent à sécuriser ce point.


votre avatar

IL y a fort à parier que la base sera une puce intel.



Pour la publication des sources geeksphone fait parti de ceux qui donnent le plus possible avec le matos le plus ouvert possible donc pas trop de crainte à avoir de ce côté là je pense.

votre avatar







ulhgard a écrit :



Silentcircle entreprise américaine dirigée et fondée par trois américains.











Burn2 a écrit :



Geeksphone c’est Espagne donc non pas de Patriot Act. Par contre Silent Circle oui…







Même sans ça : utilise le réseau GSM, Game Over



votre avatar



ainsi qu’un VPN





Euuu, ils fournissent un client vpn (type openvpn) ou alors ils fournissent réellement l’accès à un vpn en même temps que le smartphone ? (je sais vous en savez rien, mais bon dans ce cas l’application openvpn existe aussi sur un android pas modifié)

votre avatar

Je viens de faire une recherche sur Silent Circle et je trouve aucune preuve que c’est une entreprise Suisse! Ni même qu’elle soit enregistré au registre du commerce…



Perso je table plutôt sur BlackBerry

votre avatar

Vivement que ce phone soit dispo !!!

Que je puisse enfin aller raconter ma life sur facebook en toute sécurité… <img data-src=" />

votre avatar

Il y a Bull aussi sur ce marché :youtube.com YouTubemais à un prix visiblement bien plus élevé.

votre avatar







John Shaft a écrit :



Même sans ça : utilise le réseau GSM, Game Over







Oui : enfin ils produisent un téléphone ; pas une brique…


votre avatar







_Glx_ a écrit :



Va falloir faire attention au processeur choisi alors. Les basebands des Qualcomm (au moins) sont backdoorés.



http://www.osnews.com/story/27416/The_second_operating_system_hiding_in_every_mobile_phone



Edit: en fait ce sont les modems, pas les CPU





Je viens de lire l’article: c’est vraiment un tres bon article, a lire de toute urgence :)


votre avatar







Adakite a écrit :



Il y a Bull aussi sur ce marché :youtube.com YouTubemais à un prix visiblement bien plus élevé.







Bull cible uniquement les professionnels, et d’après ce que j’ai vu le niveau de chiffrement du smartphone de bull est bien plus élevé que le blackphone.

Pour l’instant on sait juste qu’on aura un navigateur anonymisé et un client vpn… (je vais attendre la suite de l’annonce avant de troller)


votre avatar

TU oublies l’intégration d’applications pour chiffrer conversation vocale et sms.

votre avatar



Le Blackphone sera en outre basé sur une version lourdement modifiée d’Android





J’imagine qu’on parle seulement des parties open source d’Android ?

votre avatar







Liquid_Brain a écrit :



J’imagine qu’on parle seulement des parties open source d’Android ?







ba j’imagine mal gmail et google play dedans ^^


votre avatar







creatix a écrit :



ba j’imagine mal gmail et google play dedans ^^





“Avec SSL, Google protège ta vie privée !”



C’te blague. <img data-src=" />


votre avatar

Silentcircle entreprise américaine dirigée et fondée par trois américains.



Game over.

votre avatar

On a vu ce que ça donnait la sécurité sur Android; même Knox a eu une faille énorme.



Heureusement, y a Blackberry <img data-src=" />

votre avatar

Et j’imagine que juste proposer la ROM Android custom, voire des applications de communication multiplateformes (moins sûr qu’une ROM certes), c’est pour les gamins. Ça aurait permis d’avoir des téléphones mieux pour sans doute moins cher, élargi le choix, rendu exploitable le téléphone au-delà d’un groupe de 3 personnes…



Mais bon les hommes les vrais eux ils extraient et raffinent eux-même les matériaux du sol pour fabriquer de A à Z leur smartphone afin d’y poser la sainte ROM !



Et qu’on vienne pas me dire que c’est pour éviter qu’on place un mouchard dans le matériel. PERSONNE ne peut certifier qu’un SoC n’intègre pas des circuits louches et ils ne feront pas exception à ce niveau, même s’ils les fabriquaient vraiment eux-même (vous leur faite confiance ?). Y a un moment où il faut poser une limite à la méfiance sinon on s’en sort plus…

votre avatar

Un petit paradoxe, le proto qu’ils montrent dans la vidéo est blanc <img data-src=" />



Bon je ne crois pas qu’on puisse échapper à la surveillance techno sauf à se passer de techno. <img data-src=" />



Donc, reste juste à leur rendre les choses un peu plus dure et plus couteuse. Je ne sais pas si ce blackphone sera un bon rempart mais au moins il y a des gens qui tentent de le faire.

votre avatar

Va falloir faire attention au processeur choisi alors. Les basebands des Qualcomm (au moins) sont backdoorés.



http://www.osnews.com/story/27416/The_second_operating_system_hiding_in_every_mobile_phone



Edit: en fait ce sont les modems, pas les CPU

votre avatar

Tant qu’il y a aura pas de preuve formelle :




  • du proco

  • du compilo

  • de l’OS

  • du prouveur

    C’est pas sûr <img data-src=" />

votre avatar

C’est dommage que davfi ne se soit pas rapproché pour faire la même chose…



En gros il sont exactement en train de faire ce que fait davfi niveau os android. :/

votre avatar



Le Blackphone sera en outre basé sur une version lourdement modifiée d’Android



Androïd étant lui-même un énorme spyware, y a du boulot.<img data-src=" />

votre avatar

Les entreprises Silent Circle et Geeksphone sont soumises au Patriot Act comme les autres des USA…

Au suivant…

votre avatar







Burn2 a écrit :



TU oublies l’intégration d’applications pour chiffrer conversation vocale et sms.







Ca en pratique je me demande comment ça va marcher.

Car pour un chiffrement asymétrique, il faut communiquer sa clé publique à ses correspondants et que ces derniers possèdent les moyens de déchiffrer les communications. Un malware bien conçu peut récupérer cette bibliothèque…

Pour un chiffrement symétrique transparent, le mot de passe doit être en dur quelque part : soit dans le téléphone (ce qui rend impossible les communications avec les autres appareils), soit dans l’appli (ce qui rend le mot de passe vulnérable en cas de reverse de l’appli).



Bref ce genre n’est jamais sûr à 100% pour celui qui veut garder ses amis.


votre avatar

Comme tout chiffrage entre 2 postes. Si l’un des deux n’est pas safe ça ne sert à rien!



Par contre ça permet déjà d’éviter ceux qui se mettent “au milieu”.



Si tu as un accès physique ou verolé sur l’un des deux, forcément ça ne protège plus rien des discussions avec cet interlocuteur. Mais pour toi qui a le téléphone protégé, tu sais que pour avoir l’ensemble de tes discussions, il faut l’ensemble des téléphones avec qui tu discutes;

votre avatar







Burn2 a écrit :



Comme tout chiffrage entre 2 postes. Si l’un des deux n’est pas safe ça ne sert à rien!



Par contre ça permet déjà d’éviter ceux qui se mettent “au milieu”.



Si tu as un accès physique ou verolé sur l’un des deux, forcément ça ne protège plus rien des discussions avec cet interlocuteur. Mais pour toi qui a le téléphone protégé, tu sais que pour avoir l’ensemble de tes discussions, il faut l’ensemble des téléphones avec qui tu discutes;







Justement. Aujourd’hui, à moins que tous tes contacts utilisent un blackphone, en posséder un ne servira à rien ! A cela s’ajoute que les utilisateurs sont généralement des idiots et que attraper un malware avec un smartphone Android est assez facile, ta clé garantissant le secret de tes communications n’est pas si sûr que cela.



Il y a d’autres arguments soulevés par Korben laissant plané le doute sur l’efficacité et sa facilité d’accès par le grand public :http://korben.info/le-blackphone-vraie-promesse-ou-future-deception.html


votre avatar







Jed08 a écrit :



Justement. Aujourd’hui, à moins que tous tes contacts utilisent un blackphone, en posséder un ne servira à rien ! A cela s’ajoute que les utilisateurs sont généralement des idiots et que attraper un malware avec un smartphone Android est assez facile, ta clé garantissant le secret de tes communications n’est pas si sûr que cela.







A noter que ca sera basé sur android, mais qu’ils pourraient très bien refuser l’installation d’application tierces ( après tout, la cible n’est pas forcement les gens qui veulent faire du candy crush), ou limiter les applications tierces a une sandbox, ce qui limiterais l’impact des malware android


votre avatar







canti a écrit :



A noter que ca sera basé sur android, mais qu’ils pourraient très bien refuser l’installation d’application tierces ( après tout, la cible n’est pas forcement les gens qui veulent faire du candy crush), ou limiter les applications tierces a une sandbox, ce qui limiterais l’impact des malware android







Quand je parlais du malware je parlais pas du blackphone mais des android classiques qui pourront communiquer avec. (et qui possèderont les clé publiques de tous leurs contacts utilisant un BP).



Pour en revenir sur les clients ciblé, il est dit que ce téléphone va s’adresser au plus grand nombre. Si ce téléphone rend impossible l’installation d’applications tierces il aura pas tant de succès que ça.

Et y trouver un glitch pour pouvoir installer des applis tierces ne fera que rendre inutile la fonction première du téléphone : la sécurité !


votre avatar







Jed08 a écrit :



Justement. Aujourd’hui, à moins que tous tes contacts utilisent un blackphone, en posséder un ne servira à rien ! A cela s’ajoute que les utilisateurs sont généralement des idiots et que attraper un malware avec un smartphone Android est assez facile, ta clé garantissant le secret de tes communications n’est pas si sûr que cela.



Il y a d’autres arguments soulevés par Korben laissant plané le doute sur l’efficacité et sa facilité d’accès par le grand public :http://korben.info/le-blackphone-vraie-promesse-ou-future-deception.html







Comme je l’ai dit dans le message ça te permet de ralentir énormément la chose.

Prenons deux individus A et B avec le téléphone safe et qui chiffre tout.



Prenons deux individus C et D qui chiffrent avec A mais qui n’ont pas de téléphone safe.





Lorsque A parle à B l’ensemble est sécurisé (c’est déjà ça…)





Lorsque A parle à C si C est vérollé tu peux récupérer la conversation mais si tu es au milieu tu ne peux pas s’ils utilisent le même logiciel



Lorsque A parle à D tu peux récupérer la conversation depuis D. Ok DOnc si tu t’intéresses à savoir tout ce que dit D tu l’as.





Mais si tu veux savoir tout ce que raconte A, tu es obligés de véroler C, puis D et ainsi de suite fois le nombre de personne qui parlent à A.



Donc tu complexifie quand même pas mal la chose!


votre avatar







Burn2 a écrit :











Tu ne comprends pas ce que je dis.

En compromettant C, tu as la possibilité de récupérer toutes les clé publiques de ses contacts, dont celle de A.

Du coup, si tu te place au milieu d’une conversation, tu peux déchiffrer tout ce que dit A quand A communique avec B, C, D ou Z ! Le ralentissement est pas si grand que ça surtout quand ce que tu veux au final c’est juste savoir qui parle avec qui et à quelle fréquence



votre avatar

Pour moi ça sera comme PGP, ce n’est pas parce que tu as la clef publique de A que tu peux déchiffrer tout ce qui est chiffré avec cette clef publique de A. Donc pour moi il y a méprise sur ce que tu dis…



Le but de la clef publique, c’est de pouvoir chiffrer un truc, qui n’est déchiffrable qu’avec la clef privé de A. Seul A a cette clef privée. Donc le fait d’avoir la clef publique de A depuis C, ne te permet que de lui envoyer un message chiffré. C’est tout. Pas de savoir ce que B dit a A avec cette clef publique.

votre avatar







Jed08 a écrit :



Tu ne comprends pas ce que je dis.

En compromettant C, tu as la possibilité de récupérer toutes les clé publiques de ses contacts, dont celle de A.

Du coup, si tu te place au milieu d’une conversation, tu peux déchiffrer tout ce que dit A quand A communique avec B, C, D ou Z ! Le ralentissement est pas si grand que ça surtout quand ce que tu veux au final c’est juste savoir qui parle avec qui et à quelle fréquence





Juste pour info, relis le principe de clef privée/clef publique. Les clefs publiques sont disponibles, et même sur une liste publique sur des serveurs…

Le principe d’une clef publique c’est de chiffrer un truc qui n’est déchiffrable qu’avec la clef privée. Avoir la clef publique de quelqu’un ne compromets rien c’est même oblitagoire pour chiffrer et c’est une donnée publique en général. ça ne compromets donc rien du tout.


votre avatar

my bad connerie

votre avatar

Malheureusement ça ne fonctionnera pas aujourd’hui ce genre de choses de cryptage de données pour être sur qu’il n’y a plus de risque, il y a trop de paramètres qui rentre en compte et de conflits Hardware/Software et qu’une qu’une faille existe (le risque zéro n’existe pas malheureusement) pour trouver un backdoor ou autre.



L’un des seul moyen pour au moins atténuer et se rapprocher du risque zéro est d’avoir toute la chaîne de production de bout en bout, je m,explique une entreprise (NEUTRE) qui a la main mise sur la production des composants, du moteur de recherche, des applis, de son réseau, de la préservation des données donc sur toute la structure de A à Z et en dehors des juridictions des Etats sauf sur demande d’un juge (dans le cadre ex: risque d’attentat, cambriolage….) pour effectuer des écoutes etc…. sans rentrer dans le monde de la surveillance économique mais juste liées à la sécurité de l’Etat (qui doit prendre ses responsabilité pour préserver le droit à la privée des individus et jouer le jeu avec ladite entreprise (et c’est là qu’il y a des risques de conflits malheureusement).



Je pense que c’est le seul moyen pour une entreprise de pouvoir se mettre en avant dans le domaine de la sécurité des données et ainsi éviter les collisions avec divers acteurs (entreprises, marques etc…)

Blackphone : un téléphone centré sur la sécurité et dévoilé le mois prochain

  • Un smartphone né du scandale de la surveillance américaine 

  • Un système d'exploitation spécialisé et des composants puissants 

  • Des outils à vérifier dans la pratique 

Fermer