Application Skred : Une copie à revoir : Réponse de Scred et contre-réponse

Suite à la publication de l’article “Application Skred : Une copie à revoir“, les éditeurs de l’application ont publié un commentaire sur mon blog.

Analysons-le rapidement ensemble.

Tout d’abord, pas une trace dans le commentaire concernant les questionnements techniques dans le billet de blog, c’est un peu dommage.

Nous comprenons votre attachement à l’application Signal, mais posez-vous la question de savoir pourquoi cette application vous demande votre numéro de téléphone ?

Tou simplement car Signal utilise le numéro de téléphone des utilisateurs comme identifiants.

Notre solution est en peer-to-peer, sécurisée de bout-en-bout…

Comme précisé dans le billet de blog, il n’y a aucune documentation sur ce qui est avancé par Skred, rien n’est documenté sur le soit disant fonctionnement en P2P tout comme sur le chiffrement.

Loin de faire une grosse publicité à Signal (qui reste à améliorer AMHA), lorsque Open Whisper Systems (éditeur de Signal) reçoit une réquisition judiciaire, ils sont incapables de fournir fournir les données demandées à cause de l’architecture technique :


Application Skred : Une copie à revoir

Depuis plusieurs mois, en écoutant la radio Skyrock, impossible de passer à côté de la publicité pour l’application Skred.

L’application propose “Enfin le vrai anonymat” qui utilise “toutes les techniques des services secrets”, afin de débunker cela, je vous propose la lecture de ce petit billet de blog.

Tout d’abord, l’application Skred est éditée par le groupe TELEFUN SAS, ce qui explique la publicité de cette appli uniquement et massivement sur la radio Skyrock.

Je vous propose quelques éléments de constatation et de réflexion, entrons dans le vif du sujet…

Eléments commerciaux :

  • En confondant anonymat et chiffrement, le discours commercial (via la publicité audio sur Skyrock) de cette application est totalement trompeur.
  • Concernant les demandes des autorités, il est indiqué ceci :

Que ce passe t’il si le gouvernement Espagnol (concernant ce qui se passe en Catalogne en ce moment) ou si le gouvernement Burkinabé fait une demande légale à Skyrock ? ou si le gouvernement Français fait une demande concernant les données d’un blogueur ? Comme le pointe justement NextInpact, “Étant donné les dérives sécuritaires locales, cela ne sera pas forcément pour rassurer ceux qui ont un besoin de sécurité complet”.

Très loin donc du “sans aucune trace.”

Eléments techniques :

  • Cette application est dévelopée, gérée et maintenue par une société commerciale.
  • On ne sait pas quel(s) protocole(s) de chiffrement sont utilisés afin de sécuriser les communications.
  • NextInpact pense que c’est WebRTC/XMPP qui sert de base pour la communication mais sans aucune information écrite ou solide là dessus.
  • On ne sait pas si il y a une vérification des contacts, ce qui peut-être problématique en cas d’attaque MITM (Attaque Man In The Middle, l’homme du millieu).
  • On ne sait pas si il y a un système de confidentialité persistante via le changement des clés.
  • Comment sont stockées les clés de chiffrement ?
  • Skred affirme que “Les technologies de chiffrement sont open source” mais ne précise pas quelles technologies sont utilisées.
  • Le code source de l’application n’est pas disponible.
  • Par conséquent, cette application, bien qu’elle prétend utiliser du logiciel libre, agit parfaitement comme une véritable boîte noire : on ne sait pas ce qui s’y passe dedans.

Conclusion :

Utilisez plutôt une application documentée qui a été auditée de manière indépendante et récente, dont le code source est disponible, qui utilise le chiffrement pendant le transit, dont les messages ne peuvent être lus par l’éditeur de l’application, qui impose la vérification des contacts, la confidentialité persistante via le changement des clés, très utile en cas de vol des clés (type PFS en quelque sorte).

Une application comme Signal par exemple (tutoriel pour Android, tutoriel pour iOS).

Par l’intermédiaire de ce petit billet de blog, j’invite Skyrock a mieux communiquer et à revoir sa copie.

Ne faites pas confiance aux discours commericaux, renseignez-vous sur les applications avant de les installer et de les utiliser.