L'open source, meilleur rempart contre les portes dérobées (les fameuses backdoors) qui semblent se multiplier ses derniers temps ? Tel est le parti pris par Open Whisper Systems, la société qui développe déjà les applications de communication chiffrées RedPhone et TextSecure. Celle-ci vient de livrer sur l'App Store son dernier né : Signal, un logiciel de communication en voix sur IP gratuit et sécurisé dédié à iOS.
Le principe ? Quand deux correspondants se parlent par l'intermédiaire de Signal, leurs échanges transitent par Internet (et non par le réseau voix traditionnel) de façon chiffrée (via le protocole ZRTP) : ainsi, ils limitent les effets qu'aurait une éventuelle interception. Signal affiche également sur l'écran de chacun des participants à la conversation un token viusel, sous la forme de deux mots choisis aléatoirement, qui doivent permettre de vérifier si besoin qu'aucun intrus n'est venus s'immiscer dans la communication (attaque de type man in the middle).
L'application fonctionne sur la base du numéro de téléphone mobile et n'est utilisable qu'après une confirmation par SMS. Elle demandera ensuite l'accès au carnet d'adresses de façon à localiser instantanément les contacts utilisant déjà Signal. Enfin, elle requiert l'autorisation des notifications push, de façon à pouvoir avertir d'un appel entrant. L'intégralité du code de l'application est accessible, ce qui autorise n'importe quel internaute averti à l'auditer lui-même.
Sur le sujet, voir aussi :
