Cryptocat
Cryptocat est un logiciel libre (anciennement une application web open source) destiné à permettre des communications sûres et chiffrées. Cryptocat chiffre les messageries instantanées côté client ; la confiance au serveur se limite à des données déjà chiffrées. Cryptocat est une extension pour Mozilla Firefox, Google Chrome et Safari, ainsi qu'une application Mac OSX native. Cryptocat entend fournir un moyen de communiquer de façon impromptue et chiffrée, en offrant plus de confidentialité que Google Talk, Facebook ou encore Skype, tout en garantissant un niveau d'accessibilité plus élevé que les autres plateformes de chiffrement.
Développé par | Nadim Kobeissi (en) |
---|---|
Première version | |
Dernière version | 3.2.08 ()[1] |
Dépôt | github.com/cryptocat/cryptocat |
État du projet | Plus maintenu (depuis février 2019) [2] |
Écrit en | JavaScript |
Environnement | Multiplate-forme |
Langues | Multilingue |
Type | Connexions sécurisées, chiffrement |
Licence | AGPL/GPL |
Site web | crypto.cat |
En février 2019, il a été annoncé que Cryptocat était abandonné[2].
Fonctionnement
modifierCryptocat utilise AES-256 pour le chiffrement, un échange basé sur les courbes elliptiques pour l'accord de clef, SHA-512 pour le hachage (servant pour l'authentification) et une signature HMAC pour vérifier l'intégrité des messages[3]. Une application pour les appareils mobiles tels que les téléphones Android et iPhone est en cours de développement. Il peut également être utilisé de concert avec Tor pour anonymiser les détails de la connexion client vue par le serveur.
Son mode de fonctionnement normal, en salon de discussion, utilise un protocole de chiffrement inspiré de celui d'OTR. Les conversations privées (entre deux personnes) en revanche sont sécurisées par une implémentation fidèle du protocole OTR.
Faiblesses
modifier- Malgré plusieurs audits[4] professionnels[5], Cryptocat étant encore un projet relativement récent en comparaison aux solutions de référence, il n'est pas considéré comme « mature » ou approprié à être utilisé dans une situation présentant un réel danger pour l'utilisateur[6].
- De plus, il a été plusieurs fois[6] l'objet d'erreurs importantes[7] dans l'implémentation de sa cryptographie et de sa sécurité.
- Aucune documentation en français.
Objectifs
modifierL'objectif du projet est à la fois d'offrir une solution de messagerie instantanée, sécurisée, ergonomique et destiné au plus grand nombre. Il accomplit cela au travers d'une interface graphique colorée, épurée et en abstrayant au maximum toute complication relative au chiffrement des échanges.
D'autre part, il cherche à mettre au point un successeur du protocole OTR permettant des conversations à plusieurs interlocuteurs. Ce projet nommé mpOTR[8] est encore à l'étape d'élaboration, et Cryptocat sert de terrain d'expérimentation pour identifier les problèmes mathématiques, techniques et ergonomiques à résoudre avec mpOTR[9].
Évaluation et impact
modifierCryptocat a été évalué du 4 novembre 2014 au 13 mars 2016 sur le tableau de bord des messageries sécurisées (Secure Messaging Scorecard) de l'Electronic Frontier Foundation. Pendant cette période, Cryptocat a obtenu un score de 7 points sur 7 sur la grille d'évaluation. Il a reçu ces points en raison d'avoir : des communications cryptées en transit, des communications cryptées avec des clés auxquelles le fournisseur n'a pas accès (chiffrement de bout en bout), des communications passées sécurisées si les clés étaient volées (secret d'acheminement), son code ouvert à un examen indépendant (open-source), ses conceptions de sécurité bien documentées, réalisé un audit de sécurité indépendant, et enfin permis aux utilisateurs de vérifier de manière indépendante l'identité de leurs correspondants[10].
En juin 2013, Cryptocat est utilisé par le journaliste Glenn Greenwald alors qu'il se trouvait à Hong Kong pour rencontrer pour la première fois le lanceur d'alerte de la NSA Edward Snowden, après que d'autres logiciels de chiffrement n'ont pas fonctionné[11].
En novembre 2013, Cryptocat est interdit en Iran peu après l'élection du nouveau président iranien Hassan Rouhani, qui avait promis des lois plus libérales sur Internet[12].
Notes et références
modifier- (en) « Cryptocat 3.2.08 Release Notes »
- (en) Cryptocat, « We are discontinuing the Cryptocat service starting tomorrow. The software is no longer maintained. », sur @cryptocatapp, (consulté le )
- (en) « Multiparty Protocol Specification », sur GitHub (consulté le )
- https://blog.crypto.cat/2012/11/security-update-our-first-full-audit/ « Copie archivée » (version du sur Internet Archive)
- (en) « Cryptocat Passes Security Audit With Flying Colors « Cryptocat Development Blog », sur crypto.cat via Wikiwix (consulté le ).
- (en) « Security Update : A Follow-up », sur crypto.cat via Internet Archive, (consulté le ).
- (en) « New Critical Vulnerability in Cryptocat : Details », sur crypto.cat via Internet Archive, (consulté le ).
- « github.com/cryptocat/mpOTR »(Archive.org • Wikiwix • Archive.is • Google • Que faire ?).
- (en) « MpOTR Developer : We’re hiring! « Cryptocat Development Blog », sur crypto.cat via Wikiwix (consulté le ).
- « Secure Messaging Scorecard. Which apps and tools actually keep your messages safe? » [archive du ], Electronic Frontier Foundation, (consulté le )
- Glenn Greenwald, No Place to Hide: Edward Snowden, the NSA, and the U.S. Surveillance State, Metropolitan Books, (ISBN 978-1627790734, lire en ligne ), 59
- Lorenzo Franceschi-Bicchierai, « Iran Blocks Encrypted Chat Service Despite Claims of Internet Freedom », Mashable, (lire en ligne, consulté le )