Silence (application)

Un article de Wikipédia, l'encyclopédie libre.
Aller à : navigation, rechercher
Page d'aide sur l'homonymie Pour les articles homonymes, voir Silence.
image illustrant un logiciel image illustrant la cryptologie
Cet article est une ébauche concernant un logiciel et la cryptologie.

Vous pouvez partager vos connaissances en l’améliorant (comment ?) selon les recommandations des projets correspondants.

Silence (application)
Logo

Image illustrative de l'article Silence (application)

Développeur Bastien Le Querrec, Carey Metcalfe
Première version Voir et modifier les données sur Wikidata
Dernière version 0.14.3 ()[1]Voir et modifier les données sur Wikidata
État du projet Actif
Écrit en JavaVoir et modifier les données sur Wikidata
Environnement AndroidVoir et modifier les données sur Wikidata
Type Chiffrement de SMS/MMS messaging
Licence GPL-3.0[2]Voir et modifier les données sur Wikidata
Site web silence.imVoir et modifier les données sur Wikidata

Silence est un logiciel libre, open-source de chiffrement de messagerie, issu d'un fork du logiciel TextSecure. Il permet l'échange sécurisé de messages de type SMS et MMS avec d’autres utilisateurs de Silence, ou de TextSecure. Le programme donne la possibilité de chiffrer ses messages et de vérifier l’identité de ses correspondants en comparant l’empreinte (fingerprint) des clés de chiffrement (sur l'appareil de son correspondant, soit en lisant l'empreinte ou en scannant un code QR). L’application Android peut fonctionner en remplacement de l’application de messagerie native d’Android. La base de données conservant localement les messages et les clés privés peut être chiffrée avec un mot de passe.

Silence met en œuvre le protocole de chiffrement Axolotl développé pour TextSecure, mais sans messagerie « push »[3]. Silence est développé par l’équipe de Silence, principalement Bastien Le Querrec et Carey Metcalfe.

Historique[modifier | modifier le code]

TextSecure[modifier | modifier le code]

Whisper Systems et Twitter (2010–2011)[modifier | modifier le code]

TextSecure a démarré comme une application permettant d'envoyer et recevoir des SMS chiffrés[4]. Sa version beta a été publiée en mai 2010, par Whisper Systems[5], une startup co-fondée par le chercheur en sécurité Moxie Marlinspike, et le roboticien Stuart Anderson[6],[7]. Cette application et les autres applications de Whisper Systems sont à l'époque sous licence propriétaire.

En novembre 2011, Twitter a acquis Whisper Systems. Les termes financiers du contrat n'ont pas été diffusés, mais l'acquisition a été faite principalement pour que M. Marlinspike puisse aider la startup a améliorer la sécurité[8],[9],[10].

Le logiciel a dès lors été publié sous licence libre et open-source, sous les termes de la GPLv3 en décembre 2011[6],[11],[12],[13]. Marlinspike a quitté Twitter pour créer Open Whisper Systems[14] comme projet Open Source collaboratif, permettant le développement de TextSecure[15].

Open Whisper Systems (2013–2015)[modifier | modifier le code]

Le site institutionnel d’ Open Whisper Systems a été présenté au public en janvier 2013[15]. Le portage de TextSecure vers iOS a démarré en mars 2013[16],[17].

En février 2014, le protocole de transport a été publié en version 2, avec l'ajout de communications groupées, et de message de type push[16],[18]. Vers la fin de juillet, ils ont annoncé leur intention de fusionner les applications RedPhone et Signal au sein de TextSecure[19], parallèlement à l'annonce de la fin de portage de RedPhone sur les appareils Apple, sous le nom de Signal. C'est la première application pour iOS permettant de transmettre facilement des communications voix chiffrée et sécurisées gratuitement[14],[20]. Les développeurs ont également annoncé que les prochaines étapes seront le portage des fonctionnalités de messagerie instantanée pour iOS, et l'unification totale de RedPhone et TextSecure sur Android, ainsi que la mise en service d'un client web[21].

En mars, Signal 2.0 est publié pour iOS, avec la fonctionnalité de message chiffré pour TextSecure[22],[23]. Au cours du mois, Open Whisper Systems annonce l'arrêt du développement des fonctionnalités d'envoi et réception de SMS/MMS pour Android, et ce dès la version 2.7.0. Tous les messages sont désormais échangés via le canal TextSecure chiffré, et centralisé.

OpenWhisper explicite son choix par ces raisons :

  • complexité de la procédure de chiffrement via SMS : les utilisateurs doivent initier manuellement un échange de clé, avec un échange complet de SMS entre les interlocuteurs ;
  • compatibilité avec iOS : l'absence d'APIs permettant de chiffrer, envoyer ou recevoir des SMS chiffrés ;
  • la quantité de métadonnées importante, liée au transport de communication via SMS/MMS engendrant une fuite inévitable d'information auprès des opérateurs téléphoniques et des boites noires éventuelles situées sur le parcours des messages ;
  • performance du développement : maintenir un protocole ancien impose de devoir trouver des solutions périphériques, au lieu de se concentrer sur les développements et améliorations du logiciel existant.

En revanche, OpenWhisper ne mentionne pas que les utilisateurs, passant par le canal et les serveurs centralisés situés dans leur centre de données, doivent leur faire une totale confiance, ainsi qu'à leurs opérateurs de service (Google, pour les messages push).

Fork vers Silence[modifier | modifier le code]

L'abandon du chiffrement des SMS/MMS par Open Whisper Systems[24], ainsi que la dépendance forte envers les technologies Google Google Cloud Messaging et Google Market ; l'indisponibilité de l'application sur les plateformes F-Droid et Amazon[25] a conduit plusieurs développeurs à créer un fork, initialement connu sous le nom de SMSSecure[3],[26],[27]. L'utilisation de l'une ou de l'autre des applications fait débat, l'essentiel des arguments se concentrant sur « facilité » contre « sécurité »[28].

Fonctionnalités[modifier | modifier le code]

Silence permet à ses utilisateurs d'envoyer des messages textes chiffrés vers d'autres utilisateurs de Silence, sur smartphone sous Android. Il permet également d'envoyer des messages non chiffrés (SMS et MMS) vers des utilisateurs de téléphone ne disposant pas de Silence.

Gestion des SMS/MMS classiques[modifier | modifier le code]

Les messages émis avec Silence peuvent être chiffrés, dès que l'utilisateur démarre une session de communication privée. Cette fonctionnalité diffère de l'utilisation de TextSecure, qui − par l'utilisation de son annuaire centralisé − connaît les clefs publiques de tous les utilisateurs, et émet directement les messages chiffrés si l'utilisateur distant est déjà connu. Pour cela, TextSecure utilise une Federation (information technology) d'annuaires LDAP, et utilise les services de Google Cloud Messaging ou de WhisperPush sur CyanogenMod, sans même avoir besoin d'attendre une requête de l'utilisateur[29]. En contrepartie de cette perte de fonctionnalité, ni les informations sur les utilisateurs ni les clefs publiques ne sont connues d'un serveur centralisé comme cela peut l'être avec TextSecure.

Chiffrement des SMS[modifier | modifier le code]

Après le démarrage d'une session chiffrée dans Silence, tous les messages SMS ou MMS envoyés à l'interlocuteur seront automatiquement chiffrés avant de partir, et déchiffrés à l'arrivée. Le flux n'est donc disponible en clair à aucun autre moment que dans la mémoire de l'applicatif au départ, et à l'arrivée. Cette opération de chiffrement-déchiffrement automatique implique que seul le récipiendaire sera en mesure de décoder le message envoyé, de manière automatique, tant que la session chiffrée durera. Les clefs utilisées pour chiffrer les messages sont stockées sur le seul téléphone, et sont protégées par une couche de chiffrement supplémentaire si l'utilisateur a une passphrase paramétrée. Visuellement, le chiffrement des messages est figuré par un petit verrou fermé, au niveau de l'interface utilisateur.

Vérification de clé[modifier | modifier le code]

Silence dispose d'une fonction de vérification des utilisateurs et de leur clef de chiffrement, pour éviter les attaques du type man-in-the-middle. Cette validation est faite par comparaison de l'empreinte fingerprint de l'utilisateur distant. Chacun peut ainsi vérifier celle de l'autre via un QR code.

Indépendance vis-à-vis de Google[modifier | modifier le code]

Contrairement à TextSecure qui implémente les technologies d'envoi de message via Google Cloud Messaging ou WhisperPush (CyanogenMod)[30], Silence est annoncé comme étant totalement indépendant de Google, et donc de Google Cloud Messaging[31],[32].

Chiffrement sans connexion de données[modifier | modifier le code]

L'applicatif ne repose pas sur le maintien d'une connexion de données pour chiffrer/déchiffrer les messages. Selon le site slovaque cybersec.sk[33], c'est d'ailleurs la seule application qu'ils aient testée à permettre ce chiffrement sans connexion de données, depuis l'abandon du chiffrement des SMS par TextSecure.

Stagefright[modifier | modifier le code]

Le 27 juillet 2015, la firme Zimperium a révélé avoir repéré une faille[34],[35] dans la librairie Stagefright utilisée par nombre d'applications Android pour afficher les contenus non textuels, dont les applications de MMS par défaut. D'après le développeur d'origine, TextSecure ne faisant pas de pré-processing d'images n'est pas vulnérable au 0-clic, mais peut l'être au 1-clic[36]. D'après yemen-press.com[37], les paramètres de SMSSecure peuvent être modifiés pour que l'application ne soit pas sensible à ce bug.

Licence[modifier | modifier le code]

Le code source de Silence est totalement disponible sur la plateforme GitHub sous licence libre[32]. Cela permet aux personnes intéressées de consulter, d'auditer le code, et d'aider les développeurs à vérifier que tout se passe comme ils l'ont prévu. Cela permet également aux utilisateurs avancés de compiler leur propre copie de l'application, et de comparer le résultat avec celui de la version distribuée. Enfin, cela permet aux développeurs de contribuer directement à l'amélioration de l'application, et/ou de réutiliser le code de l'applicatif dans une autre.

Accueil de la presse[modifier | modifier le code]

En avril 2015, Silence a été inclus dans une liste de "Les 9 meilleures applis pour Android" du site web néerlandais Android Planet[38].

Diffusion[modifier | modifier le code]

Silence est disponible via Google Play, F-Droid et Amazon Market.

Notes et références[modifier | modifier le code]

  1. (en) « v0.14.3 »
  2. GitHub, consulté le
  3. a et b (de) « TextSecure-Fork bringt SMS-Verschlüsselung zurück », sur Heise,‎ (consulté le 29 juillet 2015)
  4. Open Whisper Systems, « Saying goodbye to encrypted SMS/MMS »,‎ (consulté le 22 mars 2015)
  5. « Announcing the public beta », Whisper Systems,‎ (consulté le 22 janvier 2015)
  6. a et b Caleb Garling, « Twitter Open Sources Its Android Moxie | Wired Enterprise », Wired,‎ (consulté le 21 décembre 2011)
  7. « Company Overview of Whisper Systems Inc. », Bloomberg Businessweek (consulté le 4 mars 2014)
  8. Tom Cheredar, « Twitter acquires Android security startup Whisper Systems », VentureBeat,‎ (consulté le 21 décembre 2011)
  9. The acquisition was done "primarily so that Mr. Marlinspike could help the then-startup improve its security
  10. Danny Yadron, « Moxie Marlinspike: The Coder Who Encrypted Your Texts », The Wall Street Journal,‎ (lire en ligne)
  11. Chris Aniszczyk, « The Whispers Are True », sur The Twitter Developer Blog, Twitter,‎ (consulté le 22 janvier 2015)
  12. « TextSecure is now Open Source! », Whisper Systems,‎ (consulté le 22 janvier 2015)
  13. Pete Pachal, « Twitter Takes TextSecure, Texting App for Dissidents, Open Source », Mashable,‎ (consulté le 1er mars 2014)
  14. a et b Andy Greenberg, « Your iPhone Can Finally Make Free, Encrypted Calls », Wired,‎ (consulté le 18 janvier 2015)
  15. a et b « A New Home », Open Whisper Systems,‎ (consulté le 23 janvier 2015)
  16. a et b Brian Donohue, « TextSecure Sheds SMS in Latest Version », Threatpost,‎ feb 24, 2014 (consulté le 1er mars 2014)
  17. Christine Corbett, « Sure! », Open Whisper Systems,‎ (consulté le 16 mars 2014)
  18. Moxie Marlinspike, « The New TextSecure: Privacy Beyond SMS », Open Whisper Systems,‎ (consulté le 26 février 2014)
  19. « Free, Worldwide, Encrypted Phone Calls for iPhone », Open Whisper Systems,‎
  20. Jon Evans, « Talk Private To Me: Free, Worldwide, Encrypted Voice Calls With Signal For iPhone », TechCrunch, AOL,‎
  21. Michael Mimoso, « New Signal App Brings Encrypted Calling to iPhone », Threatpost,‎
  22. Micah Lee, « You Should Really Consider Installing Signal, an Encrypted Messaging App for iPhone », The Intercept,‎ (consulté le 3 mars 2015)
  23. Megan Geuss, « Now you can easily send (free!) encrypted messages between Android, iOS », Ars Technica,‎ (consulté le 3 mars 2015)
  24. http://www.techwalls.com/textsecure-no-longer-encrypts-sms/
  25. http://derstandard.at/2000013841576/SMSSecure-TextSecure-Abspaltung-belebt-SMS-Verschluesselung-wieder
  26. https://www.security.nl/posting/422674/Versleuteld+sms%27en+met+Android-app+SMSSecure
  27. http://open-freax.fr/smssecure-retour-sms-chiffres/
  28. http://pixellibre.net/2015/07/textsecure-ou-smssecure/#comment-66018
  29. LinuxFr : SMSSecure - Les sms et mms chiffrés sur Android, ce n'est pas fini
  30. The client logic is contained in a CyanogenMod system app called WhisperPush, which the system hands outgoing SMS messages to for optional delivery. https://whispersystems.org/blog/cyanogen-integration/
  31. SMSSecure focuses on SMS and MMS. This fork aims to: Keep SMS/MMS encryption ; Drop Google services dependencies (push messages are not available in SMSSecure). SMSSecure/README.md
  32. a et b SMSSecure est libre (sous licence GPL), ne dépend d'aucun serveur tiers, ne repose pas sur les API et services de Google et utilise un chiffrement de 256 bits. Korben : crypter sms et mms
  33. http://www.cybersec.sk/navody-a-programy/navody/ako-si-ochranit-komunikaciu-predovsetkym-na-androide/ (via Google translate) SMSsecure The only exception among the selected applications, which replaces the built-in Messenger Android. After you install it, use the SMS if only this application, including received messages. The authors have chosen this solution, especially for greater security - SMS messages are also encrypted locally in the phone memory. Note, however, that after uninstalling lose all SMS messages that have been received by it. The indisputable advantage of the application and its unique is that it does not require a data connection. If the application uses only one party sends unencrypted traditional SMS. If you have applications installed both, sender and recipient, it is possible to exchange messages in encrypted mode. Enough to exchange encryption keys (one-touch). This is a very intuitive application that the operator should not cause more trouble even inexperienced users.
  34. http://blog.zimperium.com/experts-found-a-unicorn-in-the-heart-of-android/
  35. http://www.zdnet.fr/actualites/stagefright-un-simple-mms-pour-controler-95-des-smartphones-android-39822978.htm
  36. « Stagefright vilnerability » TextSecure plays audio/video by handing it to the system's default media player. If there's a stagefright vulnerability, it's possible that the system's default media player is vulnerable. From TextSecure, that interaction should only happen by physically tapping on an audio/video attachment, then tapping through a warning dialog about insecure playback. At that point, it's out of our hands.
  37. (ar) https://yemen-press.com/news52022.html
  38. http://www.androidplanet.nl/apps/de-9-beste-android-apps-in-google-play-van-week-15-2015/

Annexes[modifier | modifier le code]

Articles connexes[modifier | modifier le code]

Liens externes[modifier | modifier le code]