Utilisateur:FrAtomiKe/Brouillon/SMSSecure
Première version | |
---|---|
État du projet | Actif |
Type | Chiffrement de SMS/MMS messaging |
SMSSecure est un logiciel libre et open-source de chiffrement de messagerie, issu d'un fork du logiciel TextSecure. Ces applications permettent les échanges sécurisés de messages de type SMS et MMS avec d’autres utilisateurs de SMSSecure, TextSecure, ou Signal. Les utilisateurs peuvent vérifier indépendamment de l’identité de leurs correspondants en comparant l’empreinte (fingerprint) des clés de chiffrement, ou en scannant les codes QR de personne à personne. L’application Android peut fonctionner en remplacement de l’application de messagerie native d’Android. La base de données conservant les messages localement peut être chiffrée avec un mot de passe.
SMSSecure met en œuvre le protocole de chiffrement de TextSecure, mais sans messagerie « push »[1], et peut donc être utilisé pour la messagerie instantanée vers les utilisateurs TextSecure, WhisperPush ou Signal, mais sans les fonctionnalités de centralisation d’annuaire. SMSSecure est développé par l’équipe de SMSSecure.
Historique
modifierTextSecure
modifierWhisper Systems et Twitter (2010–2011)
modifierTextSecure a démarré comme une application permettant d'envoyer et recevoir des SMS chiffrés[2]. Sa version beta a été publiée en mai 2010, par Whisper Systems[3], une startup co-fondée par le chercheur en sécurité Moxie Marlinspike, et le roboticien Stuart Anderson[4],[5]. Cette application et les autres applications de Whisper Systems sont à l'époque sous licence propriétaire.
En novembre 2011, Twitter a acquis Whisper Systems. Les termes financiers du contrat n'ont pas été diffusés, mais l'acquisition a été faite principalement pour que M. Marlinspike puisse aider la startup a améliorer la sécurité[6],[7],[8].
Le logiciel a dès lors été publié sous licence libre et open-source, sous les termes de la GPLv3 en décembre 2011[4],[9],[10],[11]. Marlinspike a quitté Twitter pour créer Open Whisper Systems[12] comme projet Open Source collaboratif, permettant le développement de TextSecure[13].
Open Whisper Systems (2013–2015)
modifierLe site institutionnel d’ Open Whisper Systems a été présenté au public en janvier 2013[13]. Le portage de TextSecure vers iOS a démarré en mars 2013[14],[15].
En février 2014, le protocole de transport a été publié en version 2, avec l'ajout de communications groupées, et de message de type push[14],[16]. Vers la fin de juillet, ils ont annoncé leur intention de fusionner les applications RedPhone et Signal au sein de TextSecure[17], parallèlement à l'annonce de la fin de portage de RedPhone sur les appareils Apple, sous le nom de Signal. C'est la première application pour iOS permettant de transmettre facilement des communications voix chiffrée et sécurisées gratuitement[12],[18]. Les développeurs ont également annoncé que les prochaines étapes seront le portage des fonctionnalités de messagerie instantannée pour iOS, et l'unification totale de RedPhone et TextSecure sur Android, ainsi que la mise en service d'un client web[19].
En mars, Signal 2.0 est publié pour iOS, avec la fonctionnalité de message chiffré pour TextSecure[20],[21]. Au cours du mois, Open Whisper Systems annonce l'arrêt du développement des fonctionnalités d'envoi et réception de SMS/MMS pour Android, et ce dès la version 2.7.0. Tous les messages sont désormais échangés via le canal TextSecure chiffré, et centralisé.
OpenWhisper explicite son choix par ces raisons :
- complexité de la procédure de chiffrement via SMS : les utilisateurs doivent initier manuellement un échange de clé, avec un échange complet de SMS entre les interlocuteurs ;
- compatibilité avec iOS : l'absence d'APIs permettant de chiffrer, envoyer ou recevoir des SMS chiffrés ;
- la quantité de métadonnées importante, liée au transport de communication via SMS/MMS engendrant une fuite inévitable d'information auprès des opérateurs téléphoniques et des boites noires éventuelles situées sur le parcours des messages ;
- performance du développement : maintenir un protocole ancien impose de devoir trouver des solutions périphériques, au lie de se concentrer sur les développements et améliorations du logiciel existant.
En revanche, OpenWhisper ne mentionne pas que les utilisateurs passant par le canal et les serveurs centralisés situés dans leur datacenters doivent leur faire une totale confiance, ainsi qu'à leur opérateurs de service (google, pour les messages push).
Fork vers SMSSecure
modifierL'abandon du chiffrement des SMS/MMS par Open Whisper Systems[22], ainsi que la dépendance forte envers les technologies Google Google Cloud Messaging et Google Market ; l'indisponibilité de l'application sur les plateformes F-Droid et Amazon[23] a conduit plusieurs développeurs à créer un fork[1],[24],[25]. L'utilisation de l'une ou de l'autre des applications fait débat, l'essentiel des arguments se concentrant sur « facilité » contre « sécurité »[26].
Fonctionnalités
modifierSMSSecure permet à ses utilisateurs d'envoyer des messages textes chiffrés vers d'autres utilisateurs de SMSSecure, sur smartphone sous android ou Cryogenmod, ou de Signals sur iPhone sous IOS. Il permet également d'envoyer des messages non chiffrés (SMS et MMS) vers des utilisateurs de téléphone ne disposant pas de TextSecure, SMSSecure ou n'étant pas sous WhisperPush sous Cyanogenmod.
Gestion des SMS/MMS classiques
modifierLes messages émis avec SMSSecure peuvent être chiffrés, dès que l'utilisateur démarre une session de communication privée. Cette fonctionnalité diffère de l'utilisation de TextSecure, qui − par l'utilisation de son annuaire centralisé − connaît les clefs publiques de tous les utilisateurs, et émet directement les messages chiffrés si l'utilisateur distant est déjà connu. Pour cela, TextSecure utilise une Federation (information technology) d'annuaires LDAP, et utilise les services de Google Cloud Messaging ou de WhisperPush sur cyanogen, sans même avoir besoin d'attendre une requête de l'utilisateur[27]. En contrepartie de cette perte de fonctionnalité, ni les informations sur les utilisateurs ni les clefs publiques ne sont connues d'un serveur centralisé comme cela peut l'être avec TextSecure.
Chiffrement des SMS
modifierAprès le démarrage d'une session chiffrée dans SMSSecure, tous les messages SMS ou MMS envoyés à l'interlocuteur seront automatiquement chiffrés avant de partir, et déchiffrés à l'arrivée. Le flux n'est donc disponible en clair à aucun autre moment que dans la mémoire de l'applicatif au départ, et à l'arrivée. Cette opération de chiffrement-déchiffrement automatique implique que seul le récipiendaire sera en mesure de décoder le message envoyé, de manière automatique, tant que la session chiffrée durera. Les clefs utilisées pour chiffrer les messages sont stockées sur le seul téléphone, et sont protégées par une couche de chiffrement supplémentaire si l'utilisateur a une passphrase paramétrée. Visuellement, le chiffrement des messages est figuré par un petit verrou fermé, au niveau de l'interface utilisateur.
Vérification de clé
modifierSMSSecure dispose d'une fonction de vérification des utilisateurs et de leur clef de chiffrement, pour éviter les attaques du type man-in-the-middle. Cette validation est faite par comparaison de l'empreinte fingerprint de l'utilisateur distant. Chacun peut ainsi vérifier celle de l'autre via un QR code.
Indépendance vis à vis de Google
modifierContrairement à TextSecure implémente les technologies d'envoi de message via Google Cloud Messaging ou WhisperPush (Cyanogen)[28], SMSSecure est annoncé comme étant totalement indépendant de Google, et donc de Google Cloud Messaging[29],[30].
Chiffrement sans connexion de données
modifierL'applicatif ne repose pas sur le maintien d'une connexion de données pour chiffrer/déchiffrer les messages. Selon le site slovaque cybersec.sk[31], c'est d'ailleurs la seule application qu'ils aient testé à permettre ce chiffrement sans connexion de données, depuis l'abandon du chiffrement des SMS par TextSecure.
Stagefright
modifierLe 27 juillet 2015, la firme Zimperium a révélé avoir repéré une faille[32],[33] dans la librairie Stagefright utilisée par nombre d'applications Android pour afficher les contenus non textuels, dont les applications de MMS par défaut. D'après le développeur d'origine, TextSecure ne faisant pas de pré-processing d'images n'est pas vulnérable au 0-clic, mais peut l'être au 1-clic[34]. D'après Yemen Press.com[35], les paramètres de SMSSecure peuvent être modifiés pour que l'application ne soit pas sensible à ce bug.
Licence
modifierLe code source de SMS Secure est totalement disponible sur la plateforme GitHub sous licence libre[30]. Cela permet aux personnes intéressées de consulter, d'auditer le code, et d'aider les développeurs à vérifier que tout se passe comme ils l'ont prévu. Cela permet également aux utilisateurs avancés de compiler leur propre copie de l'application, et de comparer le résultat avec celui de la version distribuée. Enfin, cela permet aux développeurs de contribuer directement à l'amélioration de l'application, et/ou de réutiliser le code de l'applicatif dans une autre.
Accueil de la presse
modifierEn avril 2015, SMSSecure a été inclus dans une liste des "Les 9 meilleures applis pour Android" du site web néerlandais Android Planet[36].
Diffusion
modifierSMSSecure est disponible via Google Play, F-Droid et Amazon Market.
Annexes
modifierArticles connexes
modifier- Comparaison de clients de messagerie instantanée (en)
- Vie privée et informatique
- SMS
- Sécurité informatique
Références
modifier- (de) « TextSecure-Fork bringt SMS-Verschlüsselung zurück », sur Heise, (consulté le )
- Open Whisper Systems, « Saying goodbye to encrypted SMS/MMS », (consulté le )
- « Announcing the public beta » [archive], Whisper Systems, (consulté le )
- Caleb Garling, « Twitter Open Sources Its Android Moxie | Wired Enterprise », Wired, (consulté le )
- « Company Overview of Whisper Systems Inc. », Bloomberg Businessweek (consulté le )
- Tom Cheredar, « Twitter acquires Android security startup Whisper Systems », VentureBeat, (consulté le )
- The acquisition was done "primarily so that Mr. Marlinspike could help the then-startup improve its security
- Danny Yadron, « Moxie Marlinspike: The Coder Who Encrypted Your Texts », The Wall Street Journal, (lire en ligne, consulté le )
- Chris Aniszczyk, « The Whispers Are True » [archive], sur The Twitter Developer Blog, Twitter, (consulté le )
- « TextSecure is now Open Source! » [archive], Whisper Systems, (consulté le )
- Pete Pachal, « Twitter Takes TextSecure, Texting App for Dissidents, Open Source », Mashable, (consulté le )
- Andy Greenberg, « Your iPhone Can Finally Make Free, Encrypted Calls », Wired, (consulté le )
- « A New Home », Open Whisper Systems, (consulté le )
- Brian Donohue, « TextSecure Sheds SMS in Latest Version », Threatpost, (consulté le )
- Christine Corbett, « Sure! », Open Whisper Systems, (consulté le )
- Moxie Marlinspike, « The New TextSecure: Privacy Beyond SMS », Open Whisper Systems, (consulté le )
- « Free, Worldwide, Encrypted Phone Calls for iPhone », Open Whisper Systems,
- Jon Evans, « Talk Private To Me: Free, Worldwide, Encrypted Voice Calls With Signal For iPhone », TechCrunch, AOL,
- Michael Mimoso, « New Signal App Brings Encrypted Calling to iPhone », Threatpost,
- Micah Lee, « You Should Really Consider Installing Signal, an Encrypted Messaging App for iPhone », The Intercept, (consulté le )
- Megan Geuss, « Now you can easily send (free!) encrypted messages between Android, iOS », Ars Technica, (consulté le )
- http://www.techwalls.com/textsecure-no-longer-encrypts-sms/
- http://derstandard.at/2000013841576/SMSSecure-TextSecure-Abspaltung-belebt-SMS-Verschluesselung-wieder
- https://www.security.nl/posting/422674/Versleuteld+sms%27en+met+Android-app+SMSSecure
- http://open-freax.fr/smssecure-retour-sms-chiffres/
- http://pixellibre.net/2015/07/textsecure-ou-smssecure/#comment-66018
- LinuxFr : SMSSecure - Les sms et mms chiffrés sur Android, ce n'est pas fini
- The client logic is contained in a CyanogenMod system app called WhisperPush, which the system hands outgoing SMS messages to for optional delivery. https://whispersystems.org/blog/cyanogen-integration/
- SMSSecure focuses on SMS and MMS. This fork aims to: Keep SMS/MMS encryption ; Drop Google services dependencies (push messages are not available in SMSSecure). SMSSecure/README.md
- SMSSecure est libre (sous licence GPL), ne dépend d'aucun serveur tiers, ne repose pas sur les API et services de Google et utilise un chiffrement de 256 bits. Korben : crypter sms et mms
- http://www.cybersec.sk/navody-a-programy/navody/ako-si-ochranit-komunikaciu-predovsetkym-na-androide/ (via Google translate) SMSsecure The only exception among the selected applications, which replaces the built-in Messenger Android. After you install it, use the SMS if only this application, including received messages. The authors have chosen this solution, especially for greater security - SMS messages are also encrypted locally in the phone memory. Note, however, that after uninstalling lose all SMS messages that have been received by it. The indisputable advantage of the application and its unique is that it does not require a data connection. If the application uses only one party sends unencrypted traditional SMS. If you have applications installed both, sender and recipient, it is possible to exchange messages in encrypted mode. Enough to exchange encryption keys (one-touch). This is a very intuitive application that the operator should not cause more trouble even inexperienced users.
- http://blog.zimperium.com/experts-found-a-unicorn-in-the-heart-of-android/
- http://www.zdnet.fr/actualites/stagefright-un-simple-mms-pour-controler-95-des-smartphones-android-39822978.htm
- « Stagefright vilnerability » TextSecure plays audio/video by handing it to the system's default media player. If there's a stagefright vulnerability, it's possible that the system's default media player is vulnerable. From TextSecure, that interaction should only happen by physically tapping on an audio/video attachment, then tapping through a warning dialog about insecure playback. At that point, it's out of our hands.
- https://yemen-press.com/news52022.html
- http://www.androidplanet.nl/apps/de-9-beste-android-apps-in-google-play-van-week-15-2015/
Liens externes
modifier- « FrAtomiKe/Brouillon/SMSSecure », sur Google Play store
- (en) FrAtomiKe/Brouillon/SMSSecure sur le portail F-Droid
- (en) SMSSecure sur GitHub
- Portail de la liberté d’expression
- Portail des logiciels libres
- Portail de la cryptologie
- Portail de la sécurité informatique
- Portail des télécommunications
Catégorie:Logiciel de cryptographie Catégorie:Android Catégorie:Logiciel libre Catégorie:Plateforme Java