Depuis les révélations sur Prism et les capacités de la NSA à accéder aux informations stockées dans les smartphones iOS, Android ou BlackBerry, la protection de la vie privée semble impossible. Ce n'est pas le cas si vous utilisez SMS Perseus qui permet d'envoyer de petits messages texte de type SMS en toute discrétion. En théorie, aucun opérateur télécom ne peut les lire et les autorités ne peuvent que piéger le téléphone pour pouvoir les consulter.
Disponible pour l'instant en version Alpha sur le Play Store de Google, cette application gratuite a été conçue par deux Français, Éric Filiol et Dorian Larget. Le premier, qui est directeur du Laboratoire de virologie et de cryptologie opérationnelles de l'école d'ingénieurs ESIEA, a développé la base mathématique et la bibliothèque associée tandis que le second, étudiant en 5e année et chercheur au laboratoire de virologie et cryptologie opérationnelle, s'est chargé de l'application sous Android.
SMS Perseus repose sur trois principes essentiels visant à garantir l'anonymat des échanges. Premièrement, il s'agit d'une communication « point à point », c'est-à-dire que les deux correspondants doivent avoir installé ce programme sur le smartphone. « Elle ne nécessite pas de passer par un serveur tiers sur lequel une personne pourrait mettre des backdoor (type attaque par le milieu par exemple). Les messages passent par le réseau mobile et les clés sont différentes pour chaque conversation », précise Éric Filiol.
Deuxième technique majeure : pour chaque SMS, une partie de la clé et l'algorithme change. « Avec un algorithme qui change en permanence, il est impossible de le modéliser facilement mathématiquement, car cela donnerait des équations beaucoup trop complexes, mais en même temps impossibles à traiter, car les personnes qui voudraient les analyser ne disposeraient pas assez d'informations (un SMS est un fichier trop court) », précise Éric Filiol. Deux SMS identiques bénéficient donc d'une protection polymorphe, c'est-à-dire qui change en permanence. « Pour schématiser, c'est un peu comme si lors de la première communication un SMS ressemblait à un fichier Word et le suivant à une image », ajoute Dorian Larget.
Un SMS « ressemblant » à un PDF
En ne reposant pas sur de la cryptographie classique, les SMS n'apparaissent pas comme des contenus chiffrés qui pourraient être détectés par des filtres de type Échelon, firewalls, IDS (Intrusion Detection System ou système de détection d'intrusion)... mais comme une communication mobile. Ce procédé à basse entropie (qui transforme un fichier) permet de contourner toutes les techniques de filtrage par identification de contenu chiffré.
Le fonctionnement est simple comme nous avons pu le vérifier. « Il faut préciser que l'algorithme Perseus est plutôt gourmand en ressources. Pour que cette application ne rentre pas en conflit avec les autres applications (que Perseus ne prenne pas un trop grand pourcentage de la mémoire totale) il faut tout de même 1 Go de RAM, dans le cas contraire l'application fonctionnera, mais l'envoi de SMS peut prendre quelques secondes supplémentaires », indique Dorian Larget.
Pour que deux personnes entament des échanges sécurisés, ils doivent installer SMS Perseus, créer un mot de passe personnel et lancer l'application. Après avoir appuyé sur l'icône du cadenas, présente en haut à droite de l'écran du téléphone, et sur « Initialiser session sécurisée », la conversation devient « inaudible » aux petites et grandes oreilles. Mais à la différence d'un logiciel « classique » de messagerie, il faut cliquer sur chaque message et choisir l'option « Déchiffrer le message » pour pouvoir le lire. Sinon, il apparaît sous forme d'une longue liste de lettres et de chiffres.
SMS Perseus devrait connaitre d'autres évolutions dans les prochaines semaines, l'application n'étant pas encore en version définitive. « Votre mot de passe et votre clé privée RSA sont chiffrées dans les données de l'application Perseus. Mais les clés Perseus sont en clair dans les données de l'application. Dans très peu de temps, cette faiblesse sera comblée et les clés seront bien entendu chiffrées », déclare Dorian Larget.
Parmi les autres évolutions prévues, il y aura une seconde version de la bibliothèque qui permettra de « maquiller » un message texte pour qu'il apparaisse (forme et profil statistique) comme une image ou un PDF ou comme tout autre contenu au choix de l'utilisateur. Enfin, les développeurs ont fait appel à la société la société ARX Arceo pour encourager le développement d'applications commerciales intégrant la bibliothèque Perseus, laquelle est également utilisable sur le Web pour chiffrer des échanges en HTTP.