Avec Silence, chiffrez vos SMS sur Android

Silence est une application libre qui remplace votre application SMS sur Android.
Son avantage est de chiffrer les messages de bout en bout.
Elle s’appelait auparavant SMSsecure et est un fork de TextSecure qui a été créé par Moxie Marlinspike.

Le principe est de chiffrer la conversation entre 2 téléphones en utilisant une clé de chiffrement connue uniquement des 2 participants. La clé ne sera pas stockée dans le cloud mais uniquement sur les téléphones ce qui rend très coûteux la surveillance de masse puisqu’il faudrait pirater chaque téléphone pour déchiffrer les messages SMS échangés.

Mais comment se mettre d’accord sur une clé de chiffrement commune par SMS sans l’envoyer en clair à l’autre en premier lieu? C’est là qu’intervient la technique de l’échange de Diffie-Hellman qui permet de se mettre d’accord sur une clé secrète sans jamais la révéler (c’est prouvé mathématiquement et c’est beau). A moins que l’espion ait modifié les données lors de l’échange de Diffie-Hellman initial, vos messages seront chiffrés de bout en bout. Il y a peu de risque que cela arrive car si c’était le cas, l’espion (l’opérateur télécom SMS) serait clairement hors la loi.

Néanmoins vous pouvez le vérifier facilement en cliquant sur l’icone du cadenas en haut de l’écran dans l’interface d’une conversation. Cela affichera la signature de votre clé perso et celle de votre interlocuteur. Si chaque interlocuteur voir la même chose, c’est que l’échange de Diffie-Hellman initial n’a pas été modifié et donc que vous êtes tranquille.

Le chiffrement des messages se fait selon la méthode Axolotl développée par Moxie Marlinspike. Cet algorithme utilise des clés de Diffie-Hellman temporaires car renouvelées à chaque message échangé. Ainsi, si un espion pirate votre téléphone et qu’il récupère la clé de Diffie-Hellmann actuelle, il ne pourra pas déchiffrer les messages déjà transmis (puisqu’ils utilisaient une autre clé de chiffrement qui n’est plus présente sur votre téléphone). Bien sûr, ça sous entend que vous avez effacé votre historique, hein ;-)

WhatsApp a récemment annoncé utiliser la même méthode de chiffrement. Sauf que vous ne pouvez pas vérifier si le code fait ce qui est annoncé par la publicité, que WhatsApp est à la place de l’espion lors des échange de clés initiaux, que vous ne pouvez pas vérifier qu’il n’a pas modifié les clés de chiffrement ni qu’il ne peut récupérer votre clé privée.

L’application est maintenue par un français Bastien Le Querrec de Rennes qui n’est visiblement pas de droite :D

11 Comments

Add a Comment

Ce site utilise Akismet pour réduire les indésirables. En savoir plus sur comment les données de vos commentaires sont utilisées.