Depuis les révélations Snowden, pas une semaine ne passe sans qu'un nouveau service de protection des communications soit proposé à l'internaute anxieux. Dernière entreprise à avancer ses pions dans ce domaine, Open Whisper Systems n'est pas une nouvelle venue. Elle est déjà à l'origine de deux applications pour Android bien connues des défenseurs de la vie privée : RedPhone et TextSecure.
Elle a annoncé à la fin de juillet l'entrée dans son catalogue d'une nouvelle application, nommée Signal. Pour la première fois, Open Whisper Systems s'aventure sur la plateforme d'Apple, iOS. Le but est clair, et détaillé dans le billet de blog annonçant cette application : « Nous voulons que tout le monde ait accès à des communications d'une sécurité avancée, qui soient aussi faciles et accessibles qu'un banal appel téléphonique. »
Interrogée par LeMonde.fr — en utilisant l'application Signal —, Christine Corbett Moran, qui a co-dirigé l'équipe iOS pour Open Whisper Systems, confirme : « L'objectif est que chaque personne concernée par le respect de la vie privée dans son quotidien ait accès à un service gratuit. On croit que tout le monde a le droit de communiquer librement et en sécurité. »
Cette démocratisation de la sécurité des communications est l'un des chevaux de bataille d'Edward Snowden lui-même : il a appelé à plusieurs reprises à rendre la cryptographie et la protection des communications aussi simples que leurs équivalents commerciaux.
Nous avons donc décidé d'installer Signal sur nos téléphones. L'expérience est troublante pour qui a l'habitude des applications complexes pour sécuriser ses communications : ici, l'application se télécharge et s'installe comme n'importe quelle application pour iPhone, de l'App Store.
Comment ça marche ?
Nul passage à la caisse : comme il est de coutume chez Open Whisper Systems, l'application est totalement gratuite, l'entreprise se rémunérant par des donations et des subventions (notamment de l'Open Technology Fund, un fonds américain qui finance également le logiciel Tor). Cet aspect, qui la distingue d'autres applications permettant des appels sécurisés, comme Silent Circle, payante elle, est primordial pour l'équipe à l'origine de Signal. Christine Corbett Moran explique que la société « tient à [son] indépendance, et à laisser [ses] applications gratuites, pour que le plus grand nombre y ait accès ».
Au lancement, l'application demande de saisir son numéro de téléphone, et d'autoriser l'accès à ses contacts. Moins d'une minute plus tard et la réception d'un SMS de confirmation et l'application semble prête à fonctionner.
Elle est organisée très simplement : un onglet pour les contacts, un autre pour la saisie du numéro, un troisième pour le journal des appels et un consacré aux contacts favoris. Attention : pour pouvoir passer un appel, il faut que votre correspondant figure dans votre répertoire et ait installé Signal. Si ce n'est pas le cas, un SMS lui est envoyé, l'incitant à le faire.
Lors d'un test avec nos téléphones connectés à un réseau Wi-Fi, l'appel était fluide, clair, réactif. Tout le dispositif de sécurité demeure complètement invisible, à l'exception des deux mots qui s'affichent sur l'écran d'appel et qui sont censés garantir que l'appel n'est pas intercepté.
Ces deux mots, tels que « snapshot stethoscope », s'affichent sur les deux téléphones en communication. Christine Corbett Moran explique qu'il s'agit de la manière choisie pour visualiser le protocole sécurisé utilisé par l'application. « Plutôt que de vous montrer un long code avec des 0 et des 1, on a choisi ce système. Tant que vous avez les mêmes mots, vous êtes sûrs que personne n'espionne votre conversation. »
Est-ce que c'est sûr ?
Faut-il faire confiance à Signal ? On serait tentés de dire que oui : Open Whisper Systems a, depuis plusieurs années, une excellente réputation dans le milieu des défenseurs de la vie privée. Dans les entrailles de l'application, on trouve deux protocoles connus pour leur robustesse, ZRTP et AES-128. De plus, et comme c'est le cas pour ses autres applications, Open Whisper Systems a publié l'intégralité du code source en ligne. C'est une garantie supplémentaire de sécurité : en permettant à quiconque d'examiner la manière dont l'application est conçue, les risques qu'une faille béante figure dans le code s'en trouve diminués. Néanmoins, cette application venant tout juste d'être mise en ligne, il y a peu de chances que le code ait été inspecté en profondeur.
De plus, la publication du code source n'est pas synonyme de solidité absolue : le fameux bug « Heartbleed », qui touchait un des mécanismes fondamentaux de la sécurité des échanges sur Internet, concernait du code ouvert et est resté opérant pendant près de trois ans. Par ailleurs, et ainsi que le note l'entreprise, cette application fonctionne sur un système d'exploitation complètement fermé : le code qui fait fonctionner iOS est secret, et il n'est pas possible de savoir s'il y a une vulnérabilité ou une fonctionnalité cachée qui rendrait obsolète la protection offerte par Signal.
Verdict
Nous vous conseillons Signal si :
- Vous êtes un peu à cheval sur votre vie privée : cette application est plus sécurisée que la plupart des solutions de voix sur IP (Internet protocol).
- Vous cherchez à disposer d'outils simples et sécurisés pour communiquer : Open Whisper Systems annonce travailler sur une extension de Signal aux messages texte, le tout associé à une extension pour navigateur Web, soit un kit tout en un pour communiquer.
- Vous voulez téléphoner à l'étranger. L'appli ayant besoin pour fonctionner d'un réseau de données (Wi-Fi ou 3G), elle fonctionne aussi bien avec des correspondants situés dans le même bureau que vous qu'avec vos contacts dans un autre pays.
Nous vous déconseillons Signal si :
- Vous recherchez une solution éprouvée, fiable et sûre pour communiquer, et que votre activité (dissident, lanceur d'alerte…) ne vous donne pas droit au moindre risque. « Soyez encore plus parano », exhorte à ce propos Christine Corbett Moran, expliquant que Signal ne pourra rien faire si quelqu'un a installé un dispositif pour capter votre micro. Avant de nuancer : « Mais Signal est un très bon produit pour les activistes, et leur apportera le plus de sécurité qu'ils peuvent obtenir... à part bien sûr en ne téléphonant pas. »
- Vous allez discuter régulièrement avec des interlocuteurs dotés de la version Android de l'application (RedPhone) : la compatibilité n'est pas encore parfaite. Mais Christine Corbett Moran annonce que ces problèmes devraient être réglés lors de la mise à jour de Signal version Android dans les prochains mois.