Messagerie textuelle
La messagerie ne permet pour l'instant que le chat textuel, à deux ou en groupe. L'ajout des appels audio et vidéo est toutefois prévu.Outre les mobiles, Session est également disponible pour desktop sous forme d'applications indépendantes.
Initialement un fork de Signal, Session a ensuite évolué avec un double parti-pris : anonymat et décentralisation. Il faut noter que le projet a fait l'objet d'une restructuration et d'un rebranding en décembre 2020. Le développement de l'application s'inscrit désormais dans le cadre du projet Oxen (anciennement Loki), sous couvert d'une fondation à but non lucratif (Loki Foundation).
Anonymat et protection de la vie privée
Session ne nécessite ni adresse email ni numéro de téléphone. A l'initialisation, un identifiant unique et anonyme est créé. L'utilisateur est ensuite invité à recopier (et à conserver dans un endroit sûr) une phrase mnémonique de 13 mots, qui servira à restaurer son identifiant en cas de problème (perte du mobile par exemple).Les communication sont chiffrées de bout en bout, via un protocole maison développé à partir de la librairie Sodium, une suite d'outils cryptographiques libre et ouverte.
La messagerie met l'accent sur l'élimination des méta-données mais cherche aussi à garantir l'anonymat des conversations. Pour cela, l'appli utilise le “routage en oignon”, la technique également utilisée par le réseau Tor, caractérisé par des couches de chiffrement successives.
Il faut noter qu'un audit externe, destiné à jauger la sécurité offerte par Session, est actuellement en cours mais n'a pas encore remis ses conclusions (en janvier 2021).
La décentralisation en plus
L'une des caractéristiques singulières du projet est de chercher à accroître la décentralisation des données. Le développement de Session s'inscrit dans le cadre du projet Oxen, porté par une blockchain indépendante et sa crypto-monnaie éponyme ($OXEN), qui devraient jouer un rôle pour décentraliser les échanges.A ce jour sur Session, l'adresse IP des correspondants est masquée, et les messages rebondissent entre plusieurs noeuds du réseau utilisé par la messagerie. Les messages de deux personnes dialoguant depuis la France vont ainsi passer par plusieurs noeuds différents dans divers pays avant d'être acheminés, sans être traçables. Session assure ainsi “qu'aucun serveur unique ne connaît à la fois l'origine et la destination d'un message”.
Les noeuds sont déjà opérés par les utilisateurs eux-mêmes, avec un dispositif incitatif de rémunération, mais le procédé va sans doute évoluer avec la transition entre Loki et Oxen.
