211service.com
Une application pour les dissidents
Au plus fort des récents troubles politiques en Égypte, des tracts ont averti les manifestants de ne pas utiliser des services comme Facebook et Twitter pour communiquer, de peur d'alerter les autorités de leurs intentions. Deux chercheurs en sécurité ont maintenant créé des applications pour smartphones qui cryptent les communications téléphoniques et textuelles pour offrir un canal de communication sécurisé dans de telles situations.
Deux nouvelles applications pour les appareils Android, appelées RedPhone et TextSecure, ont été publiées la semaine dernière par Whisper Systems, une startup créée par les chercheurs en sécurité Moxie Marlinspike et Stuart Anderson. Les applications sont proposées gratuitement aux utilisateurs en Égypte, où des manifestants opposés à l'ex-président Hosni Moubarak se sont affrontés avec la police pendant des semaines. Les applications utilisent un cryptage de bout en bout et un serveur proxy privé pour masquer qui communique avec qui et pour sécuriser le contenu des messages ou des conversations téléphoniques. Nous avons littéralement travaillé jour et nuit au cours des deux dernières semaines pour mettre en place une infrastructure de serveur internationale, explique Anderson.
Anderson et Marlinspike travaillent avec plusieurs organisations non gouvernementales, telles que MobileActive, pour créer un produit qui sera utile à d'autres manifestants. Bien sûr, le logiciel n'aurait pas aidé lorsque le gouvernement égyptien a pris la décision sans précédent de fermer efficacement les communications Internet et cellulaires dans tout le pays à la fin du mois de janvier.
RedPhone et TextSecure s'adressent principalement aux entreprises, en particulier celles qui souhaitent relayer des données sensibles aux travailleurs sur leurs téléphones portables. Les attaques sur les téléphones deviennent beaucoup plus faciles, dit Marlinspike. Alors qu'auparavant, il en coûtait 750 000 $ pour lancer une attaque sur un réseau cellulaire, les chercheurs ont déjà démontré des méthodes utilisant du matériel qui coûte moins de 20 $. À l'heure actuelle, nous sommes en quelque sorte au point avec le sans fil cellulaire où nous étions avec [Wi-Fi] il y a 10 ans, dit-il.
Certains systèmes Internet vocaux, tels que Skype, utilisent déjà le cryptage, mais la sécurité de ces systèmes n'est pas prouvée, et on ne sait pas dans quelle mesure les entreprises qui les proposent coopèrent avec les autorités, explique Marlinspike. On ne sait pas ce qu'est le cryptage de Skype et ce qu'ils ont fait, dit-il. D'après une analyse limitée du point de vue de la recherche sur la sécurité, cela ne semble pas bon.
Le logiciel RedPhone est open source, donc tout le monde peut auditer le code, explique Marlinspike. Le cryptage bidirectionnel est basé sur Protocole de transport en temps réel Zimmerman , un moyen éprouvé d'échanger des clés cryptographiques afin d'établir un canal de communication sécurisé.
Travailler pour offrir le service aux manifestants en Égypte a suggéré de nouvelles fonctionnalités, dit Anderson. Par exemple, il peut être nécessaire de masquer la capacité du téléphone à recevoir des communications cryptées. Dans certains pays, le simple fait d'avoir un appareil crypté ou d'envoyer des communications cryptées est en soi quelque chose qui peut vous causer beaucoup de problèmes, dit Anderson. Il existe un besoin pour une solution stéganographique, où vous pouvez cacher le fait que vous cryptez les informations en premier lieu.