SMSSecure : les SMS et MMS chiffrés sur Android, ce n'est pas fini !

Posté par  . Édité par Benoît Sibaud, ZeroHeure et palm123. Modéré par Benoît Sibaud. Licence CC By‑SA.
42
22
mar.
2015
Android

Le 6 mars 2015, Open Whisper Systems annonçait que la version 2.7 de TextSecure ne supportera plus le chiffrement des SMS pourtant recommandé par l'EFF, TextSecure fait marche arrière. De nombreux utilisateurs se sont plaints de cette décision dont le raisonnement n'a pas fait unanimité, et un fork de TextSecure a été créé.

(anciennement SecuredText) SMSSecure était né !

SMSSecure a deux objectifs :

  • maintenir le chiffrement des SMS/MMS ;
  • supprimer les dépendances aux services Google.

L'effet de bord du deuxième objectif est que les messages push ne sont plus disponibles dans SMSSecure. Dans TextSecure, ceux-ci passent en effet par Google Cloud Messaging, ce qui n'est pas sans incidence sur la vie privée.

À long terme, SMSSecure se veut être ce que TextSecure n'est plus : une application de SMS et rien d'autre. Il est évident que même en chiffrant ses SMS, les opérateurs — et potentiellement les États — ont accès aux méta-données des conversations (cf la dépêche sur TextSecure). En sachant cela, l'utilisateur est au courant des limites et il devrait sérieusement envisager un autre canal de communication s'il veut plus de confidentialité. SMSSecure et TextSecure ne sont pas incompatibles, au contraire : SMSSecure pour les SMS, TextSecure pour les discussion via Internet.

Pour le moment, les deux objectifs ci-dessus sont remplis. Il reste reste encore à nettoyer le code désormais encombré de nombreuses lignes inutiles. Toute aide est la bienvenue !

En outre, SMSSecure va refaire son apparition dans F-Droid (TextSecure avait été supprimé à cause d'un conflit avec le développeur). L'application sera également disponible sur le Play Store.

Aller plus loin

  • # Pas une surprise

    Posté par  . Évalué à 3.

    Pas très étonné, mais heureux que cela se fasse vite !
    Également content d'éviter le "canal sécurisé".

    Je verrais dans le prochain mois pour faire mon choix définitif :)

  • # Changement de nom

    Posté par  . Évalué à 6.

    À la demande du développeur principal de TextSecure, SecuredText a été renommé en SMSSecure (si les modérateurs pouvaient mettre à jour la dépêche, ça serait gentil).

  • # Précision

    Posté par  (site web personnel) . Évalué à 5.

    TextSecure avait été supprimé à cause d'un conflit avec le développeur

    La phrase parait anodine, mais je pense qu'il est important de préciser: Moxie (le développeur principalement connu derrière TextSecure) veut ces critères pour mettre son application sur un store alternatif:

    • Un moyen de mettre à jour automatiquement l'application. On peut comprendre le besoin dans la mesure où les failles cryptographiques sont extrêmement importantes à corriger
    • Une signature de l'APK faite par l'équipe principale. Ça nécessite des builds reproduisibles, ce qui n'existait pas jusqu'à récemment
    • Un système de crash reporting performant. C'est pas tout de distribuer l'application, si elle crashe il faut que le projet soit au courant pour pouvoir régler le problème rapidement
    • Des statistiques d'utilisation sur la machine utilisée

    F-Droid ne fournit (fournissait?) pas ça, donc les développeurs n'ont pas voulu supporter une nouvelle version qui leur apporterait plus de problèmes qu'autre chose. Son argumentaire, c'est qu'un store alternatif c'est un peu comme un download.com, il y a bien des trucs dessus avec le nom que tu cherches mais t'es pas sûr de savoir sur quoi tu tombes. Au moins avec Google Play il y a un lien beaucoup plus fort entre l'application et le développeur, qui permet d'obtenir plus d'informations plus précises pour améliorer le produit.

    (Cf la discussion sur le sujet)

    • [^] # Re: Précision

      Posté par  (site web personnel) . Évalué à 3.

      Moxie (le développeur principalement connu derrière TextSecure) veut ces critères pour mettre son application sur un store alternatif:

      (c'est pas une attaque dirigée contre toi hein) mais qu'est-ce qu'on s'en branle des desideratas du développeur d'un logiciel distribué en GPLv3 quant à sa redistribution ailleurs sous la même licence ??

      • [^] # Re: Précision

        Posté par  (site web personnel) . Évalué à 2.

        TextSecure n'est pas qu'un logiciel (libre), c'est aussi un moyen de mettre le chiffrement des communications a la portée de tous. La crainte principale avec F-Droid est que les utilisateurs téléchargent un logiciel potentiellement cassé (pas parce que F-Droid injecte volontairement des bugs, mais parce que la version sur F-Droid est ancienne), qui ne peut pas être mis a jour rapidement (puisqu'il est géré par un tiers), qui ne peut pas remonter les problèmes, mais qui a toujours le même nom; il y a donc de fortes chances que les utilisateurs de F-Droid considèrent TextSecure comme tout cassé (voire pire: qu'ils ne sachent pas que leurs messages peuvent accidentellement être lus par un tiers parce que le chiffrement de leur version est troué) alors qu'ils n'ont même pas la bonne version. En gros il n'y a pas que le logiciel en jeu, il y a aussi l'image d'Open Whisper Systems en jeu derrière.

        Note d'ailleurs que moxie n'interdit pas, il est juste fortement contre. Et si quelqu'un veut vraiment installer TextSecure sans passer par les services Google, il peut compiler et installer sur sa machine.

Suivre le flux des commentaires

Note : les commentaires appartiennent à celles et ceux qui les ont postés. Nous n’en sommes pas responsables.