Silence (application)
Silence est un logiciel libre, open-source de chiffrement de messagerie, issu d'un fork du logiciel TextSecure. Il permet l'Ă©change sĂ©curisĂ© de messages de type SMS et MMS avec dâautres utilisateurs de Silence, ou de TextSecure. Le programme donne la possibilitĂ© de chiffrer ses messages et de vĂ©rifier lâidentitĂ© de ses correspondants en comparant lâempreinte (fingerprint) des clĂ©s de chiffrement (sur l'appareil de son correspondant, soit en lisant l'empreinte ou en scannant un code QR). Lâapplication Android peut fonctionner en remplacement de lâapplication de messagerie native dâAndroid. La base de donnĂ©es conservant localement les messages et les clĂ©s privĂ©s peut ĂȘtre chiffrĂ©e avec un mot de passe.
Développé par | Bastien Le Querrec, Carey Metcalfe |
---|---|
PremiĂšre version | |
DerniĂšre version | 0.15.16 ()[1] |
DĂ©pĂŽt | git.silence.dev/Silence/Silence-Android |
Assurance qualité | Intégration continue |
Ătat du projet | Actif |
Ăcrit en | Java |
SystĂšme d'exploitation | Android |
Type | Chiffrement de SMS/MMS |
Licence | Licence publique générale GNU version 3 |
Site web | silence.im |
Silence met en Ćuvre le protocole de chiffrement Axolotl dĂ©veloppĂ© pour TextSecure, mais sans messagerie « push »[2]. Silence est dĂ©veloppĂ© par lâĂ©quipe de Silence, principalement Bastien Le Querrec et Carey Metcalfe.
Historique
Whisper Systems et Twitter (2010â2011)
TextSecure a démarré comme une application permettant d'envoyer et recevoir des SMS chiffrés[3]. Sa version beta a été publiée en mai 2010, par Whisper Systems[4], une startup cofondée par le chercheur en sécurité Moxie Marlinspike, et le roboticien Stuart Anderson[5] - [6]. Cette application et les autres applications de Whisper Systems sont à l'époque sous licence propriétaire.
En , Twitter a acquis Whisper Systems. Les termes financiers du contrat n'ont pas été diffusés, mais l'acquisition a été faite principalement pour que M. Marlinspike puisse aider la startup a améliorer la sécurité[7] - [8] - [9].
Le logiciel a dÚs lors été publié sous licence libre et open-source, sous les termes de la GPLv3 en [5] - [10] - [11] - [12]. Marlinspike a quitté Twitter pour créer Open Whisper Systems[13] comme projet Open Source collaboratif, permettant le développement de TextSecure[14].
Open Whisper Systems (2013â2015)
Le site institutionnel dâOpen Whisper Systems a Ă©tĂ© prĂ©sentĂ© au public en janvier 2013[14]. Le portage de TextSecure vers iOS a dĂ©marrĂ© en [15] - [16].
En , le protocole de transport a été publié en version 2, avec l'ajout de communications groupées, et de message de type push[15] - [17]. Vers la fin de juillet, ils ont annoncé leur intention de fusionner les applications RedPhone et Signal au sein de TextSecure[18], parallÚlement à l'annonce de la fin de portage de RedPhone sur les appareils Apple, sous le nom de Signal. C'est la premiÚre application pour iOS permettant de transmettre facilement des communications voix chiffrée et sécurisées gratuitement[13] - [19]. Les développeurs ont également annoncé que les prochaines étapes seront le portage des fonctionnalités de messagerie instantanée pour iOS, et l'unification totale de RedPhone et TextSecure sur Android, ainsi que la mise en service d'un client web[20].
En mars, Signal 2.0 est publiĂ© pour iOS, avec la fonctionnalitĂ© de message chiffrĂ© pour TextSecure[21] - [22]. Au cours du mois, Open Whisper Systems annonce l'arrĂȘt du dĂ©veloppement des fonctionnalitĂ©s d'envoi et rĂ©ception de SMS/MMS pour Android, et ce dĂšs la version 2.7.0. Tous les messages sont dĂ©sormais Ă©changĂ©s via le canal TextSecure chiffrĂ©, et centralisĂ©.
OpenWhisper explicite son choix par ces raisons :
- complexité de la procédure de chiffrement via SMS : les utilisateurs doivent initier manuellement un échange de clé, avec un échange complet de SMS entre les interlocuteurs ;
- compatibilité avec iOS : l'absence d'APIs permettant de chiffrer, envoyer ou recevoir des SMS chiffrés ;
- la quantité de métadonnées importante, liée au transport de communication via SMS/MMS engendrant une fuite inévitable d'information auprÚs des opérateurs téléphoniques et des boites noires éventuelles situées sur le parcours des messages ;
- performance du développement : maintenir un protocole ancien impose de devoir trouver des solutions périphériques, au lieu de se concentrer sur les développements et améliorations du logiciel existant.
En revanche, OpenWhisper ne mentionne pas que les utilisateurs, passant par le canal et les serveurs centralisés situés dans leur centre de données, doivent leur faire une totale confiance, ainsi qu'à leurs opérateurs de service (Google, pour les messages push).
Fork vers Silence
L'abandon du chiffrement des SMS/MMS par Open Whisper Systems[23], ainsi que la dépendance forte envers les technologies Google Google Cloud Messaging et Google Market ; l'indisponibilité de l'application sur les plateformes F-Droid et Amazon[24] a conduit plusieurs développeurs à créer un fork, initialement connu sous le nom de SMSSecure[2] - [25] - [26]. L'utilisation de l'une ou de l'autre des applications fait débat, l'essentiel des arguments se concentrant sur « facilité » contre « sécurité »[27].
Fonctionnalités
Silence permet à ses utilisateurs d'envoyer des messages textes chiffrés vers d'autres utilisateurs de Silence, sur smartphone sous Android. Il permet également d'envoyer des messages non chiffrés (SMS et MMS) vers des utilisateurs de téléphone ne disposant pas de Silence.
Gestion des SMS/MMS classiques
Les messages Ă©mis avec Silence peuvent ĂȘtre chiffrĂ©s, dĂšs que l'utilisateur dĂ©marre une session de communication privĂ©e. Cette fonctionnalitĂ© diffĂšre de l'utilisation de TextSecure, qui â par l'utilisation de son annuaire centralisĂ© â connaĂźt les clĂ©s publiques de tous les utilisateurs, et Ă©met directement les messages chiffrĂ©s si l'utilisateur distant est dĂ©jĂ connu. Pour cela, TextSecure utilise une Federation (information technology) d'annuaires LDAP, et utilise les services de Google Cloud Messaging ou de WhisperPush sur CyanogenMod, sans mĂȘme avoir besoin d'attendre une requĂȘte de l'utilisateur[28]. En contrepartie de cette perte de fonctionnalitĂ©, ni les informations sur les utilisateurs ni les clefs publiques ne sont connues d'un serveur centralisĂ© comme cela peut l'ĂȘtre avec TextSecure.
Chiffrement des SMS
AprÚs le démarrage d'une session chiffrée dans Silence, tous les messages SMS ou MMS envoyés à l'interlocuteur seront automatiquement chiffrés avant de partir, et déchiffrés à l'arrivée. Le flux n'est donc disponible en clair à aucun autre moment que dans la mémoire de l'applicatif au départ, et à l'arrivée. Cette opération de chiffrement-déchiffrement automatique implique que seul le récipiendaire sera en mesure de décoder le message envoyé, de maniÚre automatique, tant que la session chiffrée durera. Les clés utilisées pour chiffrer les messages sont stockées sur le seul téléphone, et sont protégées par une couche de chiffrement supplémentaire si l'utilisateur a une passphrase paramétrée. Visuellement, le chiffrement des messages est figuré par un petit verrou fermé, au niveau de l'interface utilisateur.
Vérification de clé
Silence dispose d'une fonction de vérification des utilisateurs et de leur clef de chiffrement, pour éviter les attaques du type homme du milieu. Cette validation est faite par comparaison de l'empreinte de l'utilisateur distant. Chacun peut ainsi vérifier celle de l'autre via un QR code.
Indépendance vis-à -vis de Google
Contrairement à TextSecure qui implémente les technologies d'envoi de message via Google Cloud Messaging ou WhisperPush (CyanogenMod)[29], Silence est annoncé comme étant totalement indépendant de Google, et donc de Google Cloud Messaging[30] - [31].
Chiffrement sans connexion de données
L'applicatif ne repose pas sur le maintien d'une connexion de données pour chiffrer/déchiffrer les messages. Selon le site slovaque cybersec.sk[32], c'est d'ailleurs la seule application qu'ils aient testée à permettre ce chiffrement sans connexion de données, depuis l'abandon du chiffrement des SMS par TextSecure.
Stagefright
Le , la firme Zimperium a rĂ©vĂ©lĂ© avoir repĂ©rĂ© une faille[33] - [34] dans la librairie Stagefright utilisĂ©e par nombre d'applications Android pour afficher les contenus non textuels, dont les applications de MMS par dĂ©faut. D'aprĂšs le dĂ©veloppeur d'origine, TextSecure ne faisant pas de prĂ©-processing d'images n'est pas vulnĂ©rable au 0-clic, mais peut l'ĂȘtre au 1-clic[35]. D'aprĂšs yemen-press.com[36], les paramĂštres de SMSSecure peuvent ĂȘtre modifiĂ©s pour que l'application ne soit pas sensible Ă ce bug.
Licence
Le code source de Silence est totalement disponible sur l'instance GitLab de l'équipe de développement sous licence libre[31]. Cela permet aux personnes intéressées de consulter, d'auditer le code, et d'aider les développeurs à vérifier que tout se passe comme ils l'ont prévu. Cela permet également aux utilisateurs avancés de compiler leur propre copie de l'application, et de comparer le résultat avec celui de la version distribuée. Enfin, cela permet aux développeurs de contribuer directement à l'amélioration de l'application, et/ou de réutiliser le code de l'applicatif dans une autre.
Accueil de la presse
En , Silence a été inclus dans une liste des 9 meilleures applis pour Android du site web néerlandais Android Planet[37].
Diffusion
Silence est disponible via Google Play, F-Droid et Amazon Market.
Notes et références
- « Release 0.15.16 », (consulté le )
- (de) « TextSecure-Fork bringt SMS-VerschlĂŒsselung zurĂŒck », sur Heise, (consultĂ© le )
- Open Whisper Systems, « Saying goodbye to encrypted SMS/MMS », (consulté le )
- « Announcing the public beta » [archive du ], Whisper Systems, (consulté le )
- Caleb Garling, « Twitter Open Sources Its Android Moxie | Wired Enterprise », Wired, (consulté le )
- « Company Overview of Whisper Systems Inc. », Bloomberg Businessweek (consulté le )
- Tom Cheredar, « Twitter acquires Android security startup Whisper Systems », VentureBeat, (consulté le )
- The acquisition was done "primarily so that Mr. Marlinspike could help the then-startup improve its security
- Danny Yadron, « Moxie Marlinspike: The Coder Who Encrypted Your Texts », The Wall Street Journal,â (lire en ligne, consultĂ© le )
- Chris Aniszczyk, « The Whispers Are True » [archive du ], sur The Twitter Developer Blog, Twitter, (consulté le )
- « TextSecure is now Open Source! » [archive du ], Whisper Systems, (consulté le )
- Pete Pachal, « Twitter Takes TextSecure, Texting App for Dissidents, Open Source », Mashable, (consulté le )
- Andy Greenberg, « Your iPhone Can Finally Make Free, Encrypted Calls », Wired, (consulté le )
- « A New Home », Open Whisper Systems, (consulté le )
- Brian Donohue, « TextSecure Sheds SMS in Latest Version », Threatpost, (consulté le )
- Christine Corbett, « Sure! », Open Whisper Systems, (consulté le )
- Moxie Marlinspike, « The New TextSecure: Privacy Beyond SMS », Open Whisper Systems, (consulté le )
- « Free, Worldwide, Encrypted Phone Calls for iPhone », Open Whisper Systems,
- Jon Evans, « Talk Private To Me: Free, Worldwide, Encrypted Voice Calls With Signal For iPhone », TechCrunch, AOL,
- Michael Mimoso, « New Signal App Brings Encrypted Calling to iPhone », Threatpost,
- Micah Lee, « You Should Really Consider Installing Signal, an Encrypted Messaging App for iPhone », The Intercept, (consulté le )
- Megan Geuss, « Now you can easily send (free!) encrypted messages between Android, iOS », Ars Technica, (consulté le )
- (en) « TextSecure no longer encrypts your SMS, what to do? », sur techwalls.com (consulté le ).
- (de) « SMSSecure: TextSecure-Abspaltung belebt SMS-VerschlĂŒsselung wieder », Der Standard,â (lire en ligne, consultĂ© le ).
- « Versleuteld sms'en met Android-app SMSSecure », sur security.nl (consulté le ).
- « SMSSecure : le retour des SMS chiffrés - Open-Freax », sur open-freax.fr (consulté le ).
- « TextSecure ou SMSSecure ? â Pixellibre.net », sur pixellibre.net (consultĂ© le ).
- LinuxFr : SMSSecure - Les sms et mms chiffrés sur Android, ce n'est pas fini
- The client logic is contained in a CyanogenMod system app called WhisperPush, which the system hands outgoing SMS messages to for optional delivery. https://whispersystems.org/blog/cyanogen-integration/
- SMSSecure focuses on SMS and MMS. This fork aims to: Keep SMS/MMS encryption ; Drop Google services dependencies (push messages are not available in SMSSecure). SMSSecure/README.md
- SMSSecure est libre (sous licence GPL), ne dépend d'aucun serveur tiers, ne repose pas sur les API et services de Google et utilise un chiffrement de 256 bits. Korben : crypter sms et mms
- http://www.cybersec.sk/navody-a-programy/navody/ako-si-ochranit-komunikaciu-predovsetkym-na-androide/ (via Google translate) SMSsecure The only exception among the selected applications, which replaces the built-in Messenger Android. After you install it, use the SMS if only this application, including received messages. The authors have chosen this solution, especially for greater security - SMS messages are also encrypted locally in the phone memory. Note, however, that after uninstalling lose all SMS messages that have been received by it. The indisputable advantage of the application and its unique is that it does not require a data connection. If the application uses only one party sends unencrypted traditional SMS. If you have applications installed both, sender and recipient, it is possible to exchange messages in encrypted mode. Enough to exchange encryption keys (one-touch). This is a very intuitive application that the operator should not cause more trouble even inexperienced users.
- (en) « Experts Found a Unicorn in the Heart of Android / StageFright », sur Zimperium Mobile Security Blog, (consulté le ).
- « Stagefright : un simple MMS, pour contrÎler 95% des smartphones Android ? », sur ZDNet France (consulté le ).
- « Stagefright vilnerability » TextSecure plays audio/video by handing it to the system's default media player. If there's a stagefright vulnerability, it's possible that the system's default media player is vulnerable. From TextSecure, that interaction should only happen by physically tapping on an audio/video attachment, then tapping through a warning dialog about insecure playback. At that point, it's out of our hands.
- (ar) « https://yemen-press.com/news52022.html »(Archive.org ⹠Wikiwix ⹠Archive.is ⹠Google ⹠Que faire ?) (consulté le )
- (nl) « De 9 beste Android-apps in Google Play van week 15 â 2015 », sur Android Planet (consultĂ© le ).
Annexes
Articles connexes
- Messagerie instantanée
- Liste des systÚmes de visioconférence
- Comparaison de clients de messagerie instantanée (en)
- Vie privée et informatique
- SMS
- Sécurité informatique
- Signal
- TextSecure
Liens externes
- Site officiel
- « Silence », sur Google Play store
- (en) Silence sur le portail F-Droid
- (en) DĂ©pĂŽt GitLab