La messagerie Surespot, qui dit offrir un "chiffrement exceptionnel" et qui met en avant sa sécurité pour se différencier des nombreuses autres messageries électroniques, est-elle compromise ? C'est ce que fait craindre le silence des développeurs à des questions qui visaient à savoir si le "warrant canary" était toujours vivant...

En 2013, Apple avait rendu populaire le mécanisme du "warrant canary", inspiré par les canaris que les mineurs emportaient dans les tunnels pour détecter les risques de coups de grisou (lorsque l'air était vicié, le canari faiblissait ou mourait, ce qui envoyait un signal d'alerte à tous les mineurs). La firme de Cupertino avait en effet inséré sur son "rapport de transparence" un message qui affirmait qu'il n'avait jamais reçu de demandes secrètes de communications de données privées de la part des autorités américaines, puis avait supprimé ce message en septembre 2014, signalant à tout le monde que la situation avait changé, ce qu'il n'avait pas le droit de dire.

La technique est aujourd'hui reproduite par de nombreux sites internet et prestataires de services (voire une liste sur CanaryWatch). Elle peut aussi prendre d'autres formes.

Le blogueur George Maschke qui édite le site Antipolygraph raconte que plusieurs fois depuis juin 2014, il a écrit à la société 2fours qui édite la messagerie sécurisée Surespot (l'une de celles qui proposent du chiffrement de bout en bout) pour poser quatre questions :

  1. Est-ce que 2fours a reçu des demandes gouvernementales d'informations concernant un ou plusieurs de ses utilisateurs ? ;
  2. Est-ce que 2fours a reçu des demandes gouvernementales de modifier le logiciel client ? ;
  3. Est-ce que 2fours a reçu des demandes gouvernementales de modifier le logiciel du serveur de Surespot ? ;
  4. Est-ce que 2fours a reçu la moindre autre demande de faciliter l'écoute électronique d'une manière quelconque ?

Jusqu'à récemment, Maschke avait toujours eu des réponses à ses négatives, négatives. Mais il raconte que depuis avril 2015, Surespot ne répond plus, ni par mail, ni en contactant ses dirigeants par la messagerie. Or Surespot, qui compterait sur Android entre 100 000 et 500 00 utilisateurs, est aussi utilisé par des sympathisants de l'Etat Islamique. L'information avait été donnée par Channel4, et a été confirmée dans le cadre de l'affaire dont nous parlions plus tôt ce vendredi, concernant l'adolescent qui a plaidé coupable pour avoir voulu aider l'Etat Islamique à recevoir des dons en bitcoins. Les éléments communiqués par les autorités font état de l'utilisation de Surespot pour communiquer.

Comme l'explique Techdirt, étant chiffrée de bout en bout, Surespot n'a aucun moyen de lire les conversations de ses utilisateurs, donc de les transmettre aux autorités. En revanche, la société stocke certaines données sur ses serveurs, dont certaines intéressent particulièrement les autorités, comme les contacts de chaque utilisateur, ou l'identifiant Google GCM associé au compte Surespot (pour les notifications push).

Le risque principal est que les autorités demandent à Surespot d'utiliser une "master key" qu'ils savent déchiffrer pour accéder aux contenus, ou encore que le client soit modifié et envoyé comme mise à jour, généralement installée en silence sur Android.

En 2013, Lavabit et Silent Circle avaient dû fermer leurs portes pour éviter de voir leurs services compromis suite aux pressions américaines. Le créateur de PGP et Silent Circle, Phil Zimmermann, a depuis choisi de s'exiler en Suisse pour y bénéficier d'un climat juridique plus favorable.

Partager sur les réseaux sociaux

Articles liés