Depuis plusieurs mois, en écoutant la radio Skyrock, impossible de passer à côté de la publicité pour l’application Skred.
L’application propose “Enfin le vrai anonymat” qui utilise “toutes les techniques des services secrets”, afin de débunker cela, je vous propose la lecture de ce petit billet de blog.
Tout d’abord, l’application Skred est éditée par le groupe TELEFUN SAS, ce qui explique la publicité de cette appli uniquement et massivement sur la radio Skyrock.
Je vous propose quelques éléments de constatation et de réflexion, entrons dans le vif du sujet…
Eléments commerciaux :
- En confondant anonymat et chiffrement, le discours commercial (via la publicité audio sur Skyrock) de cette application est totalement trompeur.
- Concernant les demandes des autorités, il est indiqué ceci :
Que ce passe t’il si le gouvernement Espagnol (concernant ce qui se passe en Catalogne en ce moment) ou si le gouvernement Burkinabé fait une demande légale à Skyrock ? ou si le gouvernement Français fait une demande concernant les données d’un blogueur ? Comme le pointe justement NextInpact, “Étant donné les dérives sécuritaires locales, cela ne sera pas forcément pour rassurer ceux qui ont un besoin de sécurité complet”.
Très loin donc du “sans aucune trace.”
Eléments techniques :
- Cette application est dévelopée, gérée et maintenue par une société commerciale.
- On ne sait pas quel(s) protocole(s) de chiffrement sont utilisés afin de sécuriser les communications.
- NextInpact pense que c’est WebRTC/XMPP qui sert de base pour la communication mais sans aucune information écrite ou solide là dessus.
- On ne sait pas si il y a une vérification des contacts, ce qui peut-être problématique en cas d’attaque MITM (Attaque Man In The Middle, l’homme du millieu).
- On ne sait pas si il y a un système de confidentialité persistante via le changement des clés.
- Comment sont stockées les clés de chiffrement ?
- Skred affirme que “Les technologies de chiffrement sont open source” mais ne précise pas quelles technologies sont utilisées.
- Le code source de l’application n’est pas disponible.
- Par conséquent, cette application, bien qu’elle prétend utiliser du logiciel libre, agit parfaitement comme une véritable boîte noire : on ne sait pas ce qui s’y passe dedans.
Conclusion :
Utilisez plutôt une application documentée qui a été auditée de manière indépendante et récente, dont le code source est disponible, qui utilise le chiffrement pendant le transit, dont les messages ne peuvent être lus par l’éditeur de l’application, qui impose la vérification des contacts, la confidentialité persistante via le changement des clés, très utile en cas de vol des clés (type PFS en quelque sorte).
Une application comme Signal par exemple (tutoriel pour Android, tutoriel pour iOS).
Par l’intermédiaire de ce petit billet de blog, j’invite Skyrock a mieux communiquer et à revoir sa copie.
Ne faites pas confiance aux discours commericaux, renseignez-vous sur les applications avant de les installer et de les utiliser.