Génération mobiles - Forum smartphones & tablettes
Vous souhaitez réagir à ce message ? Créez un compte en quelques clics ou connectez-vous pour continuer.

Génération mobiles - Forum smartphones & tablettesConnexion

Forum Android pour smartphones & tablettes Asus, HTC, Huawei, Honor, LG, Nokia, OnePlus, Samsung, Sony, Xiaomi... Retrouvez applications, astuces, aide, jeux, tutos,...

description[ARTICLE] Chiffrement de bout en bout et messageries instantanées Empty[ARTICLE] Chiffrement de bout en bout et messageries instantanées

more_horiz
Bonsoir à tous,

Quand on parle aujourd’hui de messagerie instantanée sécurisée, l’expression « chiffrement de bout en bout » est associée la plupart du temps à l’adjectif  « sécurisé ».

[ARTICLE] Chiffrement de bout en bout et messageries instantanées Chiffr11 [ARTICLE] Chiffrement de bout en bout et messageries instantanées Whatsa10




Petit rappel (ou pas) sur le « chiffrement de bout en bout » : c’est une technique qui permet de faire en sorte que les échanges d’informations ne soient pas lisibles ni modifiables, par des personnes non concernées par les échanges.
[ARTICLE] Chiffrement de bout en bout et messageries instantanées Chiffr10
Prenons un échange de message entre Alice te Bob :
- Alice souhaite envoyer un message de façon « sécurisée » à Bob.
- Bob met alors à la disposition d’Alice un coffre-fort dont la porte est ouverte et dont lui seul possède la combinaison secrète.
[ARTICLE] Chiffrement de bout en bout et messageries instantanées Coffre10

- Alice y dépose son message, referme la porte du coffre (l’opération de chiffrement est alors réalisée) et envoie le coffre à Bob via un transporteur quelconque. Durant son transit jusqu’à Bob, personne chez le transporteur n’est en mesure d’ouvrir la porte du coffre, sauf Bob quand le transporteur lui livre le coffre ; il ouvre alors la porte du coffre avec la combinaison que lui seul connaît (l’opération de déchiffrement est alors réalisée), et il prend connaissance du message d’Alice.
Cet échange est dit « chiffré de bout en bout », depuis son expéditeur Alice jusqu’à son destinataire Bob, grâce au coffre-fort (support de l’échange contenant le message) et à sa combinaison secrète (connue de Bob uniquement) qui empêche quiconque durant son transport d’ouvrir le coffre s’il ne connaît pas la combinaison secrète.

Voilà, c’est cela le chiffrement de bout en bout », en anglais E2EE (End-to-end encryption).

La question fondamentale (malheureusement passée sous silence la plupart du temps, parce que c’est là justement que le bât blesse…) que chacun devrait se poser est : comment Alice peut elle être sûre que le coffre-fort pour faire le « chiffrement de bout en bout » appartient bien à Bob ?


2 possibilités peuvent être mises en œuvre.


1ère façon de procéder : Bob envoie à une entité externe son coffre-fort avec des documents prouvant son identité ; cette entité vérifie que Bob est bien celui qu’il prétend être et lui renvoie le coffre-fort avec un tampon (certificat d’authenticité).
[ARTICLE] Chiffrement de bout en bout et messageries instantanées Certif10

Ce tampon permet de certifier que le coffre-fort est bien celui de Bob. Bob envoie alors son coffre-fort à Alice avec le tampon et la porte du coffre-fort ouverte. Alice vérifie auprès de l’entité externe que le tampon n’a pas été falsifié en recevant de l’entité externe une approbation du tampon. Alors Alice est sûre de disposer du coffre-fort de Bob. Cette façon de procéder implique qu’Alice fasse confiance à l’entité externe, donc qu’elle pense que l’entité externe a bien fait son travail, c’est-à-dire vérifier l’identité de Bob.
Alice fera exactement la même chose que Bob avec son propre coffre-fort, avant de l’envoyer à Bob pour lui permettre à elle aussi de recevoir en toute confidentialité des messages de Bob.
Cette façon de procéder permet à Alice et Bob s’ils ne peuvent pas se rencontrer physiquement, de s’appuyer sur l’entité externe pour faire certifier leur coffre-fort avant de le faire livrer à chacun d’entre eux deux.


2ème façon de procéder :
- Ne pas faire appel à une entité externe pour certifier que le coffre-fort appartient bien à son propriétaire légitime.
- Bob saisit sur le coffre-fort une combinaison à usage unique avant d’en fermer la porte, et l’envoie via un transporteur quelconque à Alice.
- Alice fait la même chose avec son coffre-fort, avant de l’envoyer à Bob.

Et toujours les mêmes questions sur les coffres-forts :
- est-ce que Alice est sûre de disposer du véritable coffre-fort de Bob ?
- est-ce que Bob est sûr de disposer du véritable coffre-fort d’Alice ?

Pour cela, Alice et Bob vont devoir prendre contact via un canal de communication assurant uniquement que la communication n’est pas modifiée, et sans aucune assurance de confidentialité (par exemple au téléphone, en étant sûr de bien reconnaître la voix de son interlocuteur) pour s’échanger la combinaison à usage unique d’ouverture de leurs coffres-forts respectifs.
[ARTICLE] Chiffrement de bout en bout et messageries instantanées Commun10

Si chacun de son côté parvient à ouvrir le coffre-fort de l’autre, ils sont alors quasi sûrs de disposer du véritable coffre-fort, et pas celui d’une autre personne qui aurait tenté de s’interposer sans être repéré dans leurs échanges. « Quasi sûrs » et pas totalement sûrs, car il est toujours possible qu’une personne mal intentionnée :
- intercepte le coffre-fort pendant son transport, et l’échange avec le sien en choisissant une combinaison à usage unique avant d’en fermer la porte et de le faire livrer, et
- communique la combinaison à usage unique d’ouverture de son coffre-fort lors de la vérification, à la place de la bonne personne, sans être démasqué.

La 1ère façon de procéder s’appuie sur une entité externe, délivrant après diverses vérifications des tampons sur les coffres-forts qui lui sont présentés.

La 2ième façon de procéder s’appuie uniquement sur la confiance que se font entre eux les propriétaires de coffres-forts, ici Alice et Bob.


Quel est donc le lien avec les messageries instantanées ?

Il faut juste que vous sachiez que la grande majorité des messageries instantanées comme WhatsApp, Signal, Telegram … s’appuient sur leur propre entité (cf. la 1ère façon de procéder) pour certifier les « coffres-forts » de leurs utilisateurs : cela se matérialise par un annuaire centralisé stockant tous les numéros de téléphone avec leur association à un coffre-fort.
Le risque : si cet annuaire est piraté, il n’y aura alors plus aucune sécurité des échanges non pas pour un seul utilisateur mais potentiellement pour l’ensemble des utilisateurs répertoriés dans l’annuaire, car il sera alors possible d’échanger l’ensemble des coffres-forts par des coffres-forts « espions ».

Les messageries instantanées du même type que Olvid se passent d’entité intermédiaire (cf. la 2ième façon de procéder). La sécurité des échanges s’appuie totalement sur la confiance que les utilisateurs se font.
Le risque : si une personne mal intentionnée intercepte et échange le coffre-fort et se fait passer aussi pour la personne légitime lors de l’étape de vérification, alors un coffre-fort sera devenu un coffre-fort « espion ».


En conclusion, nous pouvons nous poser la question suivante : vaut-il mieux que soient interceptés un faible nombre de coffres-forts ou l’intégralité d’entre eux ? C’est tout le débat entre une architecture avec un annuaire centralisé, ou une architecture s’appuyant uniquement sur la confiance que se font entre eux les utilisateurs.

La messagerie instantanée Olvid de ce point de vue, est à regarder de plus près. Ce n’est pas une messagerie peer-to-peer puisqu’elle nécessite un serveur central pour faire transiter les messages de ses utilisateurs. Par contre, c’est une messagerie qui ne s’appuie pas sur un annuaire central pour faire de la communication sécurisée de bout en bout.

[ARTICLE] Chiffrement de bout en bout et messageries instantanées Olvid10

En résumé, Olvid n’a pas besoin de connaître votre numéro de téléphone mobile pour fonctionner, ni celui de vos contacts. Vous choisissez simplement un pseudo lors de votre inscription sur Olvid ; l’inconvénient est de faire connaître ce pseudo à vos contacts, et bien sûr que ces deniers acceptent de migrer sur Olvid.
Les messageries instantanées avec un annuaire centralisé nécessitent de connaître votre numéro de téléphone mobile, afin de vous répertorier dans leur système ; accédant aux numéros de vos contacts, elles présentent l’avantage de vous indiquer quels sont ceux de vos contacts qui sont déjà inscrits, sans avoir à les prévenir un par un de votre inscription.


L’essentiel est de savoir quels risques nous prenons en choisissant telle ou telle messagerie instantanée. Encore une fois, c’est à vous de voir.

description[ARTICLE] Chiffrement de bout en bout et messageries instantanées EmptyRe: [ARTICLE] Chiffrement de bout en bout et messageries instantanées

more_horiz
Très bel article; je partage sur les réseaux sociaux demain dans la journée.
Merci @cesa Wink

description[ARTICLE] Chiffrement de bout en bout et messageries instantanées EmptyRe: [ARTICLE] Chiffrement de bout en bout et messageries instantanées

more_horiz
Bonjour à tous,

Il est difficile de s'y retrouver en ce moment quand il s'agit de choisir une messagerie instantanée sécurisée.

En effet, après l'annonce de WhatsApp en ce début d'année quant à sa volonté de vous contraindre à accepter que des informations vous concernant soient remontées à sa maison-mère Facebook (sauf pour les utilisateurs de l'UE et du Royaume-Uni, RGPD oblige, mais faut-il le croire tant qu'on n'a pas pu le contrôler ?), de nombreux utilisateurs ont "fui" WhatsApp vers principalement les messageries instantanées Signal ou Telegram.

Retenez une chose : comme je l'avais indiqué, Telegram n'offre pas de "chiffrement de bout en bout" (mon Post précédent explique ce que c'est) pour des communications de groupes à partir de 3 personnes, et par défaut quand il s'agit d'une communication entre seulement 2 personnes, il n'y a pas de chiffrement de bout en bout, il faut l'activer à chaque fois.

Pour les plus courageux d'entre vous cet article vous aidera à comprendre ce qu'il en est, et pourquoi il ne faut pas aller aveuglément vers Telegram.

Choisir Signal demeure une très bonne option dans tout ce brouhaha ambiant, mais vous n'êtes pas obligé de me croire sur parole...

Faites aussi des recherches pour vous faire votre propre opinion, et encore mieux partagez la ici dans ce forum.
[ARTICLE] Chiffrement de bout en bout et messageries instantanées 750705
Permission de ce forum:
Vous pouvez répondre aux sujets dans ce forum
replyRépondre