211service.com
Comment échanger des messages cryptés sur n'importe quel site Web
Après les révélations de l'année dernière sur la surveillance d'Internet aux États-Unis, l'intérêt pour les outils de confidentialité a augmenté, Google et Yahoo tous deux ont annoncé qu'ils travaillaient sur un logiciel permettant aux personnes qui utilisent leurs services de messagerie électronique d'échanger facilement des messages cryptés.
Maintenant un prototype d'extension de navigateur appelée ShadowCrypt , réalisée par des chercheurs de l'Université de Californie à Berkeley et de l'Université du Maryland, va encore plus loin. Il facilite l'envoi et la réception de texte crypté sur Twitter, Facebook ou tout autre site Web.
En utilisant ShadowCrypt, une personne qui écrit ou est autorisée à lire un tweet ou un e-mail voit le texte normal. L'opérateur du site ou toute autre personne regardant ou interceptant la publication verrait une chaîne brouillée de lettres et de chiffres.
ShadowCrypt a été créé pour montrer qu'un cryptage fort pouvait être rendu à la fois simple à utiliser et compatible avec des services populaires tels que Twitter, déclare Devdatta Akhawe , un ingénieur en sécurité chez Dropbox qui a aidé à développer ShadowCrypt en tant qu'étudiant diplômé à Berkeley. Nous voulions montrer comment on pouvait fabriquer un mécanisme pratique, rapide et facile à utiliser, dit-il. Akhawe et ses collègues ont testé ShadowCrypt sur 17 services Web majeurs différents ; cela a fonctionné plus ou moins parfaitement sur 14, y compris Facebook, Twitter et Gmail.
PGP, logiciel sorti pour la première fois en 1991, est probablement le logiciel le plus connu pour la messagerie cryptée, mais il est notoirement difficile à maîtriser. En général, les outils existants pour la messagerie cryptée ont tendance à nécessiter le passage à un nouveau service, tel que Silent Circle (voir An App Keeps Spies Away from Your Phone ), ou sont très maladroits.
Pour utiliser ShadowCrypt, vous installez l'extension, puis créez des clés de cryptage pour chaque site Web avec lequel vous souhaitez l'utiliser. Une petite icône de cadenas au coin de chaque zone de texte est la seule indication que ShadowCrypt cache la version cryptée brouillée qui sera soumise lorsque vous appuierez sur le bouton envoyer ou publier.
D'autres personnes peuvent lire ce texte si vous leur fournissez la clé de cryptage utilisée pour le créer à ajouter à leurs propres paramètres ShadowCrypt. Une fois qu'ils ont fait cela, tout texte qu'ils voient et qui a été crypté avec cette clé leur semble normal.
Par exemple, le tweet ci-dessous est parfaitement lisible pour toute personne ayant installé ShadowCrypt, car il a été chiffré à l'aide de la clé par défaut de l'extension pour Twitter.com. Plusieurs clés peuvent être créées pour n'importe quel site et il est facile de choisir parmi elles. Vous pouvez en utiliser un différent pour chaque personne à qui vous souhaitez envoyer un e-mail en toute sécurité, par exemple.
=?shadowcrypt-4ff95cef5a76149b687f7b54908cd2fa168794e214cedf9ee1a5df1dfec13057?fYtRaaL8maPP6ud0RldZhAEhO1KGy8pCqOMeSuVzldAwNpkB??=
-Tom Simonite (@tsimonite) 4 novembre 2014
ShadowCrypt est toujours un projet de recherche, mais le chercheur indépendant en cryptographie Justin Troutman affirme que sa conception démontre une nouvelle approche utile de la sécurité en ligne.
C'est parce qu'il offre un moyen pour les gens de prendre le contrôle de la sécurité des données qu'ils mettent dans un service Web, dit-il. Le plus souvent, la plus grande attention est accordée à la protection des données uniquement lorsqu'elles voyagent vers et depuis les serveurs des fournisseurs de services. C'est une étape vers la construction d'une surface plus bénigne pour interagir avec les applications Web, dit Troutman.
Un document sur ShadowCrypt, dont le code est open-source, sera présenté au Conférence ACM sur la sécurité informatique et des communications cette semaine.