Pourquoi faut-il se méfier des applications de Whispersystem ?

textsecure

Whispersystem est un éditeur de logiciels de communication sécurisée pour Android sous licence GPL : Redphone (VOIP chiffrée) et TextSecure (SMS chiffrés).

Cependant, je n’ai pas confiance en ces applications.

En effet, on peut se méfier d’être espionné de 2 façons :

  • Espionnage massif type étatique, publicitaire, etc…  Dans ce cas, les menaces sont Google/Microsoft et les Etats qui contrôlent respectivement votre OS(Android/WindowsPhone), vos applications(Hangout/Skype) et le réseau de communications(DPI).
  • Espionnage discret type écoute d’un suspect, phising de VIP, etc…

Or Whispersystem ne distribue ses applications que par GooglePlay :

  1. Cela veut dire que lorsque vous l’installez, Google le sait et vous met dans une liste (des gens à espionner?).
  2. Cela vous oblige à installer les GoogleApps sur son smartphone pour profiter des logiciels (ce qui est optionnel si on utilise Cyanogen par exemple). Cela revient à donner les commandes de son smartphone à Google (Google peut installer/désintaller n’importe quelle application silencieusement).
  3. La version binaire publiée sur le GooglePlay est impossible de comparer aux sources. Qu’est ce qui me garantit que l’application que je télécharge sur le GooglePlay correspond au dépot GitHub? Absolument rien.
  4. L’ application envoie des données à l’éditeur qui sont indéchiffrables par l’utilisateur.

Ce qui est fait classiquement dans le monde des distributions linux est de recompiler le logiciel à partir des sources sur un bot automatisé. C’est ce que fait Fdroid. Mais apparemment, Whispersystem ne l’entend pas de cet avis et préfère garder le contrôle sur l’installation de leurs logiciels.

 

5 Comments

Add a Comment