La messagerie sécurisée Signal introduit des profils chiffrés de bout en bout
Numerama / par Julien Lausson / 7 sept 2017
http://www.numerama.com/tech/287269-la-messagerie-securisee-signal-introduit-des-profils-chiffres-de-bout-en-bout.html
L'application Signal planche sur les profils, afin de permettre à chacun d'ajouter des photos d'illustration et des noms. Mais pour éviter que ces informations se baladent sans protection, l'éditeur prévoit de les chiffrer également.Dès le début de la conception de Signal, une application de messagerie sécurisée, son éditeur, Open Whisper Systems, s’est attaché à la rendre aussi sûre que possible. Il s’est aussi efforcé de la faire évoluer en lui ajoutant des fonctions, pour suivre les tendances du marché, comme la visiophonie ou les messages éphémères, mais sans jamais sacrifier la protection des utilisateurs.
Mais la sécurité ne fait pas tout : pour qu’un outil utile à la protection de la vie privée soit utilisé par le public, il faut aussi le rendre attirant, performant, facile d’utilisation et, bien sûr, compatible avec le plus grand nombre de systèmes d’exploitation (ou en tout cas, les principaux). Car il ne sert pas à grand chose de développer un système ultra-sécurisé s’il est inaccessible au commun des mortels, déplaisant ou limité.
C’est pour cette raison qu’Open Whisper Systems annonce la disponibilité, en version beta, des profils Signal. Accessibles pour l’instant sur les déclinaisons de test Android et iOS de l’application, ils permettent aux utilisateurs d’ajouter une photo d’illustration et un nom qui s’afficheront à côté du numéro de téléphone lorsqu’une communication avec un autre usager sera engagée.
Mais pas question de transmettre via Internet, et notamment les serveurs de l’éditeur, l’image ou le nom sans un très haut degré de confidentialité : c’est pourquoi Open Whisper Systems explique que le contenu des profils Signal va bénéficier des mêmes dispositifs de sécurité que ce qui est appliqué pour les messages ou la visiophonie. L’éditeur explique ainsi :
Le serveur n’a pas accès au contenu du profil car il est chiffré de bout en bout« Le serveur n’a pas accès au contenu du profil car il est chiffré de bout en bout et partagé via le même canal de messagerie du protocole Signal qui protège déjà vos conversations et appels. Lorsque vous créez un nouveau profil, l’image et le nom que vous choisissez sont chiffrés à l’aide d’une clé de profil unique. Ce contenu chiffré est téléchargé sur le serveur (qui n’a jamais accès à la clé de profil) ».
Et l’organisation de poursuivre : « au cours d’une conversation normale, votre client Signal partagera en toute sécurité votre clé de profil personnalisée avec d’autres utilisateurs autorisés afin qu’ils puissent voir à quel point vous êtes beau ». Cela devrait permettre aux conversations d’être plus personnelles et de rendre les discussions de groupe moins confuses, en associant des photos et des noms aux participants.
La disponibilité des profils Signal devrait survenir dans les semaines ou les mois à venir, en fonction des retours d’expérience fournis par les testeurs.
Rappelons que derrière Open Whisper Systems se cache l’activiste Moxie Marlinspike, un expert en cryptographie. Signal utilise un protocole open source qui permet à chacun et chacune, à condition d’en avoir les compétences, de vérifier que les lignes de code ne font rien de suspect. Signal est sans doute ce qui se fait de mieux à l’heure actuelle dans le domaine du chiffrement de bout-en-bout pour le grand public.
D’ailleurs, le lanceur d’alerte Edward Snowden recommande son utilisation : « utilisez n’importe quoi [fait] par Open Whisper Systems ».