Nos applications favorites sont-elles sécurisées ?

La question sur la sécurité des applications mobiles est devenue très présente depuis quelques années. Depuis le scandale « Prism » avec la défection d’un ancien analyste de la NSA Edward Snowden, on se demande si nos échanges sont sécurisés sur internet.  On entend tous dire que la plupart des IM Apps (applications de messagerie instantanée) qu’on utilise au quotidien sont des usines à gaz et j’ajoute qui en plus de nous encombrer, font de nous des cibles flottantes mais bien à découvert !!! Je vous explique…

Je suis tombé sur un article paru dans une revue informatique britannique qui a fait tilt 💡 dans ma tête. Ils parlaient du  « Signal protocol » . Signal Protocol est un protocole non fédéré qui permet de faire le chiffrement de bout en bout pour les messages instantanés. Crée par Open Whisper Systems en 2013, il est totalement open source. Son lien se trouve ici sur github pour ceux qui veulent le télécharger. Toujours est-il qu’il est le meilleur chiffrement disponible sur le marché et qui offre un niveau de sécurisation assez performant. Actuellement, il est utilisé par Whatsapp, Google Allo, Facebook Messenger, Signal…

Vous pouvez vous dire que vos échanges peu catholiques sur whatsapp et consorts sont en sécurité. 😙😙 uuh pas vraiment. Je vous explique pourquoi :

Google Allo ne fournit pas le chiffrement signal par défaut. Il faut penser à l’activer avec le mode incognito. Donc si vous l’activez pas, vos échanges ne sont pas cryptés. Qui peut être sur que son correspondant  » hot  » à l’autre bout est en mode incognito ? Même Snowden le déconseille :

Facebook Messenger, quant à lui est d’abord associé à sa mère génitrice : Facebook, le plus incroyable réseau social à l’instar de celui de la planête Scarif dans Stars Wars Rogue One, où une gigantesque base de données, qui possédait des informations sur toutes les galaxies s’est vue fauchée par la première étoile de la mort, recueille des informations sur le comportement social de chaque personne dans le monde entier. Rien que par cette association, on pourrait atteindre tout le monde entier.

Whatsapp, quant à lui, est chiffré de bout en bout et depuis qu’ils se sont mis à signal protocol, on a tous vu ce message au début d’une nouvelle conversation avec un contact : (voir image)

Par contre, là où ca bogue avec whatsapp, c’est simple :

  • Whatsapp, appartient à Facebook de Mark Zuckerberg (déjà ils veulent associer vos contacts avec vos amis sur facebook)  👎
  • Whatsapp ne sauvegarde pas vos conversations sur ses serveurs 👍
  • vos backups sont faits sur vos phones en local et/ou sur un drive de votre choix dans le cloud. 👍

Tant que ce dernier est sécurisé, vous craignez rien. Mais quand ils collectent des métadonnées (rapports d’activités) qui sont comme des fichiers journaux (logs) structurés et précis, qui peuvent fournir l’information sur l’horodatage de vos échanges  » quand est ce que vous avez échangé avec Henry ? » « où avec qui vous étiez en communication ». Métadonnées c’est quoi ? Bah c’est tout ce qui vous identifie de façon non directe. Whatsapp recueille des données quand vous installez l’application : données sur le modèle du téléphone, sur l’OS, votre IP, réseau mobile utilisé, votre numéro de téléphone etc… Même dans le FAQ de l’application, il est dit que les informations sur la façon dont vous utilisez leur service ou la façon dont vous interagissez avec vos contacts etc.) les rapports de plantage, les journaux de performance… sont envoyés enfin d’améliorer ou de corriger les bogs. Blablabla… En gros, les métadonnées qu’ils recueillent sur vous sont encore plus riches en informations intéressantes que s’ils lisaient le contenu de vos échanges (chose qu’ils peuvent pas faire avec le chiffrement de bout en bout). Snowden même affirme que les métadonnées, ce sont des relevés de vos activités 😝😝 wesh !

Le chiffrement bout en bout du signal protocol leur permet pas de savoir ce qui a été dit durant vos échanges, mais le fait de le savoir compromet déjà votre vie privée et vos secrets.

Avant pour retrouver une personne, on fouillait les bureaux de poste… Aujourd’hui, on interroge encore plus facilement Internet. Une amie, de la marine militaire d’un pays africain, me racontait comment ils faisaient des exercices en tirant sur des futs jetés dans l’océan. Le roulis rend le tir instable d’où l’expression  » cibles flottantes « . Nous sommes comme des cibles flottantes dans cette mer qu’est l’Internet et même si on ne touche pas, on est quand même assuré de l’identité de la cible. Quoi de mieux pour augmenter notre scepticisme à propos de la sécurité sur les applications mobiles préférées des habitants de la Terre ? Chez moi, pas autant quand même d’où ma décision de faire  » chut  » sur ces apps tout en incluant Telegram qui a son protocole MTProto qui a pas mal de brèches également il paraîtrait (on reviendra peut être la dessus dans un autre post).

On est pas du tout obligé de quitter ces applications (Whatsapp, Telegram, Facebook messenger et le tout nouveau Google Allo). On doit juste penser à « soigner » nos échanges quotidiens avec nos amis, proches, collègues, copines, femmes, ex-femmes, parents, prêtre ou pasteur etc..😂😂😂😂 ou à opter pour le klingon.

Par contre, il y a une solution simple pour les addicts de sécurité informatique. C’est adopter l’application mobile SIGNAL Messenger. Développée par Open Whisper Systems même, elle propose le protocole par défaut et ne prend aucune métadonnée. Donc totalement opaque puisque rien n’est sauvegardé 😂😂😂😂. J’ai pas pu faire de captures d’écran avec mon propre signal. C’est parce que Signal l’empêche. Il est impossible de faire des captures d’écran de vos conversations avec vos correspondants. Double protection n’est ce pas ? Yeah 👍👍 !!! Un genre de snapchat de la messagerie instantanée quoi en fait! Avec cette application, vous pouvez mener vos discussions super « chanmées » là. Je l’impose à personne, mais selon mon observation, SIGNAL offre plus de confidentialité et de protection que bien d’autres applications du genre.

Vivez tous en <<mode secure>>.

Ajouter un Commentaire

Votre adresse de messagerie ne sera pas publiée. Les champs obligatoires sont indiqués avec *