J'ai déjà partagé un article de ce blog récemment, et même s'il y a encore peu de contenu, c'est dur de ne pas tout partager, tant c'est qualitatif, bien écrit, captivant.

Ici, il est question de la sécurité de Linux (je sais, on touche à un sujet quasi-religieux).

Et Linux traîne malheureusement quand même pas mal de casseroles en la matière, depuis des années...

Pour le citer : "un code ouvert ne remplace pas une architecture robuste (Zero Trust). Il faut regarder au-delà des conceptions idéologiques !"

Dans ses articles, l'auteur met souvent en lumière les différences des modèles de sécurité des OS "desktop" (qu'il préfère appeler "traditionnels") et les OS "mobiles" (dits "modernes").

Contrairement à ce qu'on pourrait penser (moi le premier !), AOSP (la base open-source d'Android) a un modèle de sécurité très robuste, avec de nombreux mécanismes de protection en place (verified boot, sandboxing strict des applications, chiffrement, privilèges restreints, CFI, ...). Si vous y couplez un hardware bien conçu et qui prend ces considérations en ligne en compte, en proposant par exemple une enclave sécurisée moderne (comme les Pixel), alors vous avez probablement l'un des OS les plus sécurisés (grand public) à l'heure actuelle !

Les plus gros problèmes des distributions AOSP (autrement dit, des ROMS Android) sont l'omniprésence des services de Google et des mécanismes de protection activées ou implémentées au bon vouloir du fabricant/développeur... Cela vaut aussi pour le matériel.

Dans les faits, on se retrouve alors quasi-exclusivement avec des Android peu sécurisés, bavards et trop rapidement abandonnés.

Et n'allez pas croire que les ROM alternatives, customs (LineageOS, /e/ et consoeurs), sont forcément mieux loties : https://wonderfall.space/modele-securite-mobile/ (à lire absolument)

Elles sont souvent "très négligentes" au sujet du modèle de sécurité d'AOSP, car "se contentent souvent de "fonctionner" à tout prix plutôt que d'être conservatrices du modèle de sécurité."

Sans oublier qu'une ROM custom à jour ne signifie pas forcément qu'elle bénéficie de toutes les mises à jour de sécurité pour l'appareil. Oui, c'est trompeur...

Selon l'auteur, le combo idéal est un Pixel (pour la partie hardware) + GrapheneOS (pour la partie software, avec ou sans les services de Google), dont j'ai partagé l'article de présentation et d'explications il y a peu.

Offrir un support logiciel à long terme des smartphones sous Android, ce n'est pas forcément si simple, y compris pour les fabricants eux-mêmes !

Témoignage et explications d'Agnès Crepet (responsable de l'équipe informatique et de la longévité logicielle chez Fairphone) dans l'émission "Libre à vous !" (à partir de 27:01).

Pour résumer :
- Les fabricants de puces doivent continuer de fournir les pilotes dans le temps ;
- L'intégration des services de Google implique une phase de certification très chronophage et rigoureuse. Validation qui doit être refaite pour chaque version (majeure ?) de l'OS.

(Si vous avez le temps, n'hésitez surtout pas à écouter l'intégralité du sujet "Téléphonie mobile et libertés" !)

Je suis actuellement en train de tester la messagerie Threema, dont voici un aperçu des caractéristiques :

• Hautement sécurisée :
   ✓ Chiffrement de bout en bout (E2E, avec la bibliothèque open source NaCl) : une paire de clés ECC est générée sur l'appareil et *seule* la clé publique est envoyée sur les serveurs*.
   ✓ Chiffrement du canal de transport (TLS, avec certificat du CA codé en dur dans l'application).
   ✓ Confidentialité persistante (forward secrecy).
   ✓ Vérification de l'identité des contacts avec un code QR.
   ✓ Conformité de la sécurité confirmée par un audit externe (réalisé en 2015).
• Développée par une entreprise suisse avec des serveurs situés exclusivement sur le territoire helvétique (dans un centre de données certifié ISO 27001 à Zurich).
• Pleinement conforme avec le RGPD, la Loi fédérale sur la protection des données (LPD) et l'Ordonnance relative à la loi fédérale sur la protection des données (OLPD).
• Anonymat complet : chaque utilisateur possède un ID aléatoire, et aucun numéro de téléphone ni adresse e-mail ne sont requis (vous pouvez toutefois les renseigner afin de pouvoir être retrouvé·e plus facilement par vos contacts).
• Multiplateforme : Android, iOS, Windows Phone, Web...
• Confidentialité garantie : les groupes, messages, contacts restent sur l'appareil*, l'accès aux contacts est un choix volontaire et les méta-données sont réduites au strict nécessaire.
• Transparente :
   ✓ Algorithmes cryptographiques et protocoles documentés.
   ✓ Politique de confidentialité concise.
   ✓ Vérification indépendante possible de la bonne mise en œuvre du chiffrement (cf. https://threema.ch/validation).
   ✓ Récupération aisée des données en possession de Threema (droit d'accès) : envoyer le message "info" à l'ID *MY3DATA.
• Protection locale : l'intégralité de la base de données peut être protégée par un mot de passe maître ; un code de verrouillage peut être également mis en place afin d'empêcher l'accès de l'application par des tiers.
• Modèle d'entreprise clair : vente de l'application (paiement unique de CHF 2.95) et services payants pour les professionnels†, donc indépendance financière.
• Nombreuses fonctionnalités : formatage des messages, envoi de fichiers, sons, vidéos ou emplacements, appels audio, sondages, groupes (jusqu'à 100 membres), conversations privées (cachées), etc.
• Paramétrage poussé : blocage des inconnus, (dés)activation des indicateurs de saisie et des accusés de lecture, sécurité, apparence (thème, langue...), notifications, etc.

À titre personnel, je trouve que l'interface est ergonomique et esthétique, et l'application plutôt véloce compte tenu de la lourde couche de chiffrement en place !

Les fonctionnalités ne sont pas en reste, avec des classiques comme le statut des messages (envoyé, distribué...) et des plus originales comme les sondages et les conversations privées.

Les paramètres sont parmi les plus complets que j'aie pu voir dans une messagerie ; il est même possible de configurer les dimensions des images envoyées !

Pour les plus « paranos » (ou soucieux de la vie privée), il est permis de se passer du GCM (Google Cloud Messaging, technologie utilisée pour la notification de l'arrivée de nouveaux messages) en optant pour une consultation de type "polling" (toutefois déconseillée). En outre, l'application Android peut être achetée directement sur leur boutique en ligne (y compris avec des Bitcoin).

Finalement, le seul gros point que je pourrais lui reprocher (en-dehors de la faible base d'utilisateurs par rapport aux mastodontes du genre) est l'absence d'ouverture du code source, condition essentielle pour garantir de la bonne implémentation de la sécurité (principe de Kerckhoffs). Cependant, je dois avouer que je leur fais confiance, car leur cryptographie semble robuste (cf. leur livre blanc), un audit externe a confirmé la sécurité de la solution, tout le monde peut vérifier la bonne mise en œuvre du chiffrement E2E et il est *permis* (fait très rare) d'effectuer une ingénierie inverse sur l'application‡ !

MÀJ du 31.01.19 : en parlant du GCM, Google ne voit rien passer, car ni le message, ni les correspondants ne sont dans la charge utile. Il est uniquement utilisé pour signaler à l'application qu'un nouveau message est disponible sur le serveur. Je vous encourage à lire la FAQ si vous avez d'autres questions ou vous souhaitez en apprendre davantage, car elle est rudement complète : https://threema.ch/en/faq
MÀJ du 09.02.19 : j'ai publié des captures d'écran dans la galerie : https://gallery.vuilleumier.tv/?dir=Tests%2FThreema

* Une sauvegarde chiffrée des données locales (clés, liste de contacts, abonnements de groupes... tout, sauf les messages et médias) peut être effectuée de manière anonyme sur un serveur sécurisé de son choix (Threema Safe). Une sauvegarde complète (comprenant les messages et médias) est également faisable, sous la forme d'un ZIP chiffré enregistré dans l'espace de stockage de l'appareil.
† Ces services payants comprennent par exemple l'accès à l'API d'envoi/réception de messages, intégration à l'entreprise, etc.
‡ Selon cette page : https://threema.ch/press-files/content/the-threema-advantage_en.html

Hum. Est-ce vraiment si étonnant que cela ?

Au programme de cette mise à jour :
• Ajout de la possibilité d'être notifié quotidiennement d'un mot aléatoire (désactivé par défaut) ;
• Diverses optimisations.

L'application est téléchargeable depuis les liens suivants :
• https://play.google.com/store/apps/details?id=net.kevinvuilleumier.android.lemotdujour
• http://kevinvuilleumier.net/android/le-mot-du-jour/ (lien direct vers l'APK).

J'avais contacté l'Administration fédérale des douanes à ce sujet et j'ai récemment reçu une réponse (très amicale).

Tout d'abord, ils me confirment « qu’aucune donnée n’est récoltée dans l’application qui est actuellement mise en téléchargement. »

La présence de ces permissions et des trackers s'explique car l'application « a été réalisée sur la base de react-native » et utilise le framework Expo « qui définit les permissions par défaut. »

Ainsi : « Ces permissions prévoient en effet un accès possible à la caméra ou au micro du téléphone portable. Ces accès sont toutefois tous désactivés dans QuickZoll. »

Pour finir, « davantage de clarté sera apportée » au sujet des permissions demandées « dans le cadre du release 1.0.3 ».

Au programme de cette mise à jour :
Un système de notification a été ajouté afin de vous prévenir de messages importants.

Annonce : à partir du 2 avril, le rythme de publication des mots va changer et devenir plus irrégulier ! Plus d'infos ici : http://lemotdujour.info/nouvelles/changement-du-rythme-des-publications/

L'application est téléchargeable depuis les liens suivants :
• https://play.google.com/store/apps/details?id=net.kevinvuilleumier.android.lemotdujour
• http://kevinvuilleumier.net/android/le-mot-du-jour/ (lien direct vers l'APK).

Au programme de cette mise à jour :
• Ajout de la possibilité de faire une donation afin de soutenir le projet et de supprimer toutes les publicités* !
• Correction de bugs.

*Paiement unique. Via Google In-app Billing. Facultatif.

L'application est téléchargeable depuis les liens suivants :
• https://play.google.com/store/apps/details?id=net.kevinvuilleumier.android.lemotdujour
• http://kevinvuilleumier.net/android/le-mot-du-jour/ (lien direct vers l'APK).

Pour détecter le SDK Teemo dans les applications installées sur votre appareil  :
1. Installez l'application gratuite "Addons Detector" : https://play.google.com/store/apps/details?id=com.denper.addonsdetector
2. Lancez l'application
3. Appuyez sur "Scan" et attendez la fin de celui-ci
4. Appuyez sur "Extensions"
5. Appuyez sur l'icône de recherche et tapez "teemo"
6. Enjoy !

Pour ma part, seule l'application "Se coucher moins bête" contient le SDK incriminé.