Connexion

Catégories

Droit Économie Flock Hardware IA Internet Logiciel Sciences Sécurité Société

Nous Suivre

Contact rédaction Contact site Forum
Flux RSS GitHub Discord

À propos

Abonnez-vous

Cryptocat finalisé pour Android et iOS, publication après analyse des sources

Chaque chose en son temps

Cryptocat finalisé pour Android et iOS, publication après analyse des sources

Le 12 décembre 2013 à 09h50

Comme annoncé il y a quelques semaines, Cryptocat arrive sur Android et iOS. Le code est désormais finalisé, mais avant de rendre les applications disponibles à tous, l'équipe veut que celles-ci soient analysées par des experts en sécurité.

Cryptocat iOS

 

Décidément, il y a du mouvement dans le monde de la messagerie sécurisée sur smartphone. Si Gibberbot / ChatSecure du Guardian Project existe depuis un moment, on apprenait récemment que CyanogenMod comptait intégrer nativement TextSecure comme protocole de gestion des SMS chiffrés. De son côté, Cryptocat arrive aussi sur plusieurs plateformes mobiles, mais a décidé de faire les choses correctement.

 

Ainsi, après des mois d'attente et de retard, on apprend que le code des applications Android et iOS est finalisé. Il serait simple de les distribuer en l'état, mais l'équipe a décidé de plutôt demander une analyse du code source par des experts en sécurité, ou toute personne qui voudrait donner son avis.

 

Pour cela, deux projets GitHub ont été mis en ligne. Chacun pourra s'y rendre, analyser les sources et déclarer des bugs ou des soucis de sécurité afin que tout soit corrigé avant une mise en ligne des applications qui n'a pas encore été datée. Tous ceux dont les contributions seront acceptées seront bien entendu crédités pour cela, et pourront être récompensés en T-shirt, stickers ou même de l'argent (la somme n'a pas été précisée) en fonction de l'importance de leur découverte.

 

Pour ceux qui voudraient en savoir plus, tout se passe par ici :

Commentaires (30)

Vous devez être abonné pour pouvoir commenter.

Abonnez-vous
votre avatar







maverick78 a écrit :



Il y a une différence entre tout divulger publiquement et être parano, un juste milieu.





“Le juste milieu, c’est le trou du cul”



Charles de Gaulle.


votre avatar







BenGamin a écrit :



Je te rejoint sur ce point. Loin de toute parano, le correspondance privée est privée. Banalité ou pas ce n’est pas la question.



Le sms/mail devrait être traité de la même façon qu’une lettre. Une entreprise privée ou publique qui se permettrai d’ouvrir toutes les lettres qu’elle transmet se ferait écarteler en place publique (enfin j’espère).



Nous avons tous le droit à une vie privée et je compte bien l’utiliser (ce droit). Quand bien même ce serait pour échanger des informations sans aucune importance pour n’importe qui d’autre.







bof je compte pas le nombre de colis ouvert que j’ai reçu … et c’est pratiquement devenu systématique….



merci la douane qui contrôle chacun de mes achats modélisme pour on ne sais qu’elle raison… même pas la récupération de la TVA vu que je me suis pris cette taxe 1 fois seulement en 6 ans…


votre avatar







al_bebert a écrit :



bof je compte pas le nombre de colis ouvert que j’ai reçu … et c’est pratiquement devenu systématique….



merci la douane qui contrôle chacun de mes achats modélisme pour on ne sais qu’elle raison… même pas la récupération de la TVA vu que je me suis pris cette taxe 1 fois seulement en 6 ans…





Chacun de tes achats ??? <img data-src=" />



Tu dois vraiment être malchanceux. Car le nombres de colis vérifiés représentent à peine 4% du transit global. Et pour la TVA, ils se réfèrent souvent au bon de commande à l’extérieur du colis.



A moins que tu ne commandes systématiquement depuis une destination un peu craignos ? <img data-src=" />


votre avatar







heiwa a écrit :



Chacun de tes achats ??? <img data-src=" />



Tu dois vraiment être malchanceux. Car le nombres de colis vérifiés représentent à peine 4% du transit global. Et pour la TVA, ils se réfèrent souvent au bon de commande à l’extérieur du colis.



A moins que tu ne commandes systématiquement depuis une destination un peu craignos ? <img data-src=" />







HK


votre avatar







al_bebert a écrit :



HK





Ceci explique cela…. HK capitale internationale de la contre façon ! <img data-src=" />


votre avatar







®om a écrit :



En 2 mots : il ne permet pas la perfect forward secrecy ni la répudiation.



La première propriété permet de ne pas pouvoir déchiffrer les messages a posteriori si la clé est trouvée plus tard.

La seconde permet de pouvoir nier l’émission d’un message (alors qu’avec GPG tu signes tout ce que tu envoies).



Pour plus de détails, le pdf dont j’ai donné le lien est assez court et compréhensible (mais en anglais).









merci beaucoup pour ta réponse interessante, je vais tenter de lire ce pdf <img data-src=" />


votre avatar

La version finale sera disponible sur github aussi ? parce que moi perso je vais l’installer de ce pas sur mon tel et celui de ma femme directement :) <img data-src=" />



( je dis finale, car sur leur github ils disent que c’est pas ‘encore” finalisé … )

votre avatar

ça serait bien une appli de chiffrement de chat qui supporte les certifs S/MIME, ça permettrait de valider l’identité des correspondants.



En tout cas si ce produit est simple d’utilisation il va cartonner, bon il cartonnerait encore plus s’il permettait d’envoyer des photos à expiration comme snapchat <img data-src=" /> ou pas…

votre avatar







JCLB a écrit :



ça serait bien une appli de chiffrement de chat qui supporte les certifs S/MIME, ça permettrait de valider l’identité des correspondants.



En tout cas si ce produit est simple d’utilisation il va cartonner, bon il cartonnerait encore plus s’il permettait d’envoyer des photos à expiration comme snapchat <img data-src=" /> ou pas…





C’est le cas ici, mais via le protocole OTR qui ne se base pas sur S/MIME (puisque cela dépend d’une autorité centrale qui n’est pas trop du goût de ce genre de solutions) ;)


votre avatar







David_L a écrit :



C’est le cas ici, mais via le protocole OTR qui ne se base pas sur S/MIME (puisque cela dépend d’une autorité centrale qui n’est pas trop du goût de ce genre de solutions) ;)





Mais il fonctionne avec une clé partagée échangée via Diffie-Hellman, et non sur un couple public-privé. C’est avantageux en conférence car on envoi les données une seule fois au serveur, par contre c’est moins bien que de l’asymétrique.



Mais bon, ils proposeront peut-être cela une fois l’implémentation OTR complètement fonctionnelle. Car finalement c’est cette dernière qui est a blâmer car ne proposant que du symétrique.


votre avatar







romainsromain a écrit :



parce que moi perso je vais l’installer de ce pas sur mon tel et celui de ma femme directement :) <img data-src=" />





Au moins la NSA ne saura pas que c’est toi qui passe cherche le pain ce soir <img data-src=" />

Plus serieusement, autant dans les cas d’intelligence économique je peux comprendre mais la ?

J’espère que tu ne l’appelles jamais car ca n’est pas mieux et que tous les mails que tu lui envoies sont chiffrés.


votre avatar







JCLB a écrit :



ça serait bien une appli de chiffrement de chat qui supporte les certifs S/MIME, ça permettrait de valider l’identité des correspondants.



En tout cas si ce produit est simple d’utilisation il va cartonner, bon il cartonnerait encore plus s’il permettait d’envoyer des photos à expiration comme snapchat <img data-src=" /> ou pas…





PGP ou S/MIME n’est pas approprié pour la messagerie instantanée :

Off-the-Record Communication, or, Why Not To Use PGP



À lire aussi:

14 reasons not to start using PGP

Why the Web of Trust Sucks



PGP (GPG) est très bien, je l’utilise aussi, mais il faut bien avoir conscience des limites et de ce qu’on veut protéger, contre qui, et qu’est-ce qu’on ne protège pas et qu’on leake.


votre avatar







maverick78 a écrit :



Au moins la NSA ne saura pas que c’est toi qui passe cherche le pain ce soir <img data-src=" />

Plus serieusement, autant dans les cas d’intelligence économique je peux comprendre mais la ?

J’espère que tu ne l’appelles jamais car ca n’est pas mieux et que tous les mails que tu lui envoies sont chiffrés.





En quoi les Big Data sont-elles personnelles ? (internetactu)


votre avatar

@®om

Tu peux nous dire brièvement pourquoi le pgp (ou gpg) n’est pas bien pour la messagerie instantanée ?

votre avatar







maverick78 a écrit :



Au moins la NSA ne saura pas que c’est toi qui passe cherche le pain ce soir <img data-src=" />







Va savoir les secrets qui s’échangent dans sa boulangerie …

Si ça se trouve ce sont les prochaines ventes d’Airbus qui s’y jouent !


votre avatar







maverick78 a écrit :



Au moins la NSA ne saura pas que c’est toi qui passe cherche le pain ce soir <img data-src=" />

Plus serieusement, autant dans les cas d’intelligence économique je peux comprendre mais la ?

J’espère que tu ne l’appelles jamais car ca n’est pas mieux et que tous les mails que tu lui envoies sont chiffrés.







Bah genre ma femme qui bosse dans une administration sensible de l’état, ca peut lui être utile ;)


votre avatar







maverick78 a écrit :



Au moins la NSA ne saura pas que c’est toi qui passe cherche le pain ce soir <img data-src=" />

Plus serieusement, autant dans les cas d’intelligence économique je peux comprendre mais la ?







Contrôle social. Dans une société totalitaire, toute information personnelle est utilisable et, très souvent, utilisée contre les individus afin de neutraliser leurs possibles penchants contestataires, si possible en les prévenant.


votre avatar

Tout ça est évidemment très intéressant mais, en ce qui me concerne, je ne pourrais adopter ce genre d’habitude que quand tout le monde s’y sera mis….



Il faudrait que ce soit intégré de base dans les OS mobiles, et pas uniquement dans Cyanogen ou via des applis comme celle-là. Enfin j’imagine qu’il faut bien que ça comme comme ça mais on va devoir attendre un peu plus longtemps avant que tout le monde ne puisse profiter de ce niveau de protection de la vie privée.

votre avatar







romainsromain a écrit :



Bah genre ma femme qui bosse dans une administration sensible de l’état, ca peut lui être utile ;)





Si c’est sensible alors je doute qu’elle ait le droit d’utiliser son téléphone perso pour en parler (d’ailleurs je doute qu’elle ait le droit d’en parler en fait, même avec toi) <img data-src=" />

Si c’est la flotte mobile de l’état, je doute que tu puisses agir sur le téléphone (enfin j’espère) et je pense qu’il y a déjà des précautions prises.







®om a écrit :



En quoi les Big Data sont-elles personnelles ? (internetactu)





Ca rejoint ce que je dis dans mon message, a quoi ca sert de s’envoyer des SMS cryptés quand de toute facon on peut te traquer, écouter tes conversations en clair, lire tes mails…

C’est comme avoir la meilleure porte blindée dans sa maison mais laisser la porte fenêtre du salon ouverte quand on part…


votre avatar







Oby-Moine a écrit :



@®om

Tu peux nous dire brièvement pourquoi le pgp (ou gpg) n’est pas bien pour la messagerie instantanée ?





En 2 mots : il ne permet pas la perfect forward secrecy ni la répudiation.



La première propriété permet de ne pas pouvoir déchiffrer les messages a posteriori si la clé est trouvée plus tard.

La seconde permet de pouvoir nier l’émission d’un message (alors qu’avec GPG tu signes tout ce que tu envoies).



Pour plus de détails, le pdf dont j’ai donné le lien est assez court et compréhensible (mais en anglais).


votre avatar







maverick78 a écrit :



Si c’est sensible alors je doute qu’elle ait le droit d’utiliser son téléphone perso pour en parler (d’ailleurs je doute qu’elle ait le droit d’en parler en fait, même avec toi) <img data-src=" />

Si c’est la flotte mobile de l’état, je doute que tu puisses agir sur le téléphone (enfin j’espère) et je pense qu’il y a déjà des précautions prises.







C’est son tel perso ;) mais dès fois elle peut me confier ce qu’elle pense sur un tel ou un tel de ses chefs ou collègues qui parfois font des coup de * ou parfois les fous rires qu’elle à avec d’autres collègues.



Je considère que ces choses sont privées et ne regardent que nous deux …



Par contre elle est professionnelle et ne partagera jamais les infos elle même sur lesquelles elle bosse ;)


votre avatar







maverick78 a écrit :



Ca rejoint ce que je dis dans mon message, a quoi ca sert de s’envoyer des SMS cryptés quand de toute facon on peut te traquer, écouter tes conversations en clair, lire tes mails…

C’est comme avoir la meilleure porte blindée dans sa maison mais laisser la porte fenêtre du salon ouverte quand on part…





Tu as raison… d’ailleurs puisque rien de personnel n’a d’importance et que tout peut être connu, je m’en vais de ce pas créer un blog pour donner à tout le monde mon niveau de salaire, mes maladies (si j’en ai), mon adresse, des photos de mes enfants avec leur nom et leur lieu de scolarité, etc. etc.


votre avatar







carbier a écrit :



Tu as raison… d’ailleurs puisque rien de personnel n’a d’importance et que tout peut être connu, je m’en vais de ce pas créer un blog pour donner à tout le monde mon niveau de salaire, mes maladies (si j’en ai), mon adresse, des photos de mes enfants avec leur nom et leur lieu de scolarité, etc. etc.





Il y a déjà Facebook pour ça <img data-src=" />


votre avatar







FrenchPig a écrit :



Il y a déjà Facebook pour ça <img data-src=" />





Oula, ça y est je suis grillé, tout le monde va savoir que je n’utilise pas FB <img data-src=" />


votre avatar







JCLB a écrit :



Mais il fonctionne avec une clé partagée échangée via Diffie-Hellman, et non sur un couple public-privé. C’est avantageux en conférence car on envoi les données une seule fois au serveur, par contre c’est moins bien que de l’asymétrique.



Mais bon, ils proposeront peut-être cela une fois l’implémentation OTR complètement fonctionnelle. Car finalement c’est cette dernière qui est a blâmer car ne proposant que du symétrique.







Vu qu’on en est au point de rajouter des couches, tu peux très bien chiffrer manuellement les messages que tu envoies dans Cryptocat via PGP/GPG <img data-src=" />

Bon c’est un peu overkill je trouve mais bon ça fonctionnera très bien.



Sinon je suis très content que cet outil de messagerie instantanée arrive sur les plateformes mobiles. C’est le projet de chat sécurisé le plus abouti et le plus ouvert que je connaisse. Il manquait d’audit au début du projet mais la notoriété aidant, de plus en plus de spécialistes en cryptographie se penchent sur son code et c’est de très bon augure pour la qualité du code.



A noter aussi que le Lead Developer (Nadim Kobeissi) n’a pas hésité à enlever momentanément une fonction comme le partage de fichiers par suspicion de bugs pouvant entrainer une faille de sécurité.

Je pense que c’est tout à l’honneur de ce projet qui se soucie d’abord de la sécurité et de ses utilisateurs !



source : github.com GitHub


votre avatar







carbier a écrit :



Tu as raison… d’ailleurs puisque rien de personnel n’a d’importance et que tout peut être connu, je m’en vais de ce pas créer un blog pour donner à tout le monde mon niveau de salaire, mes maladies (si j’en ai), mon adresse, des photos de mes enfants avec leur nom et leur lieu de scolarité, etc. etc.





Il y a une différence entre tout divulger publiquement et être parano, un juste milieu.

De toute facon les services de l’état savent déjà combien tu gagnes, qui sont tes enfants et ou ils sont scolarisés…



Ce que je dénonce également c’est la non cohérence : chiffrer ses sms ok, mais quid du reste des communications ? Tes cartes postales aussi sont chiffrées ?


votre avatar







maverick78 a écrit :



Il y a une différence entre tout divulger publiquement et être parano, un juste milieu.

De toute facon les services de l’état savent déjà combien tu gagnes, qui sont tes enfants et ou ils sont scolarisés…



Ce que je dénonce également c’est la non cohérence : chiffrer ses sms ok, mais quid du reste des communications ? Tes cartes postales aussi sont chiffrées ?







Pour ta cohérence personnelle : une carte postale tu vas surement pas avoir les mêmes correspondances qu’avec ton/ta conjointe par SMS !



Sans compter que par SMS c’est souvent les coups de gueules, les ptit’s trucs, bref ce que je considère comme de l’intime ….


votre avatar







maverick78 a écrit :



Il y a une différence entre tout divulger publiquement et être parano, un juste milieu.

De toute facon les services de l’état savent déjà combien tu gagnes, qui sont tes enfants et ou ils sont scolarisés…





Normal que l’Etat sache cela.

Mais par contre je ne savais pas qu’il n’y avait que les Etats qui pouvaient espionner tes correspondances.





maverick78 a écrit :



Ce que je dénonce également c’est la non cohérence : chiffrer ses sms ok, mais quid du reste des communications ? Tes cartes postales aussi sont chiffrées ?





Raisonnment binaire qu’est le tien.

Il faut un début à tout non ?


votre avatar







maverick78 a écrit :



Il y a une différence entre tout divulger publiquement et être parano, un juste milieu.

De toute facon les services de l’état savent déjà combien tu gagnes, qui sont tes enfants et ou ils sont scolarisés…



Ce que je dénonce également c’est la non cohérence : chiffrer ses sms ok, mais quid du reste des communications ? Tes cartes postales aussi sont chiffrées ?





L’avantage du sms, c’est que ça part rapidement, c’est plus rapide qu’un mail, et ça permet de recevoir l’information, même sans edge ou 3G. Du coup, un sms chiffré est plus utile qu’un mail par PGP envoyé d’un mobile vers un autre mobile.



Internet a changé la vie privée. Avant, la vie privée n’allait pas plus loin que ta voix (hormis téléphone). Pour espionner ta vie privée, il fallait mettre en œuvre des moyens logistique très pointus et cher (installation de micros chez toi, sur ton téléphone, surveillance visuelle etc). Puisque maintenant, tout passe par Internet, il suffit de mettre des machines avec des gros disques durs aux bons endroits, et c’est bon. Ça coûte très cher également sauf que là, on n’espionne plus la vie privée d’une personne surveillée en particulier, mais celle de tout le monde.

On passe d’une surveillance spécifiques pour certaines personnes sous enquête à une surveillance généralisée. Ce n’est plus la même échelle, ce n’est plus le même problème.



Quand tu es chez toi, tu aimes bien avoir un peu d’intimité non ? Tu fermes tes portes, tu n’invites pas n’importe qui ?


votre avatar







romainsromain a écrit :



Sans compter que par SMS c’est souvent les coups de gueules, les ptit’s trucs, bref ce que je considère comme de l’intime ….





Je te rejoint sur ce point. Loin de toute parano, le correspondance privée est privée. Banalité ou pas ce n’est pas la question.



Le sms/mail devrait être traité de la même façon qu’une lettre. Une entreprise privée ou publique qui se permettrai d’ouvrir toutes les lettres qu’elle transmet se ferait écarteler en place publique (enfin j’espère).



Nous avons tous le droit à une vie privée et je compte bien l’utiliser (ce droit). Quand bien même ce serait pour échanger des informations sans aucune importance pour n’importe qui d’autre.


Cryptocat finalisé pour Android et iOS, publication après analyse des sources

Fermer