SMSsecure vs TextSecure

Bonjour à tous !

Aujourd'hui on va parler de SMSSecure et de TextSecure en tant que solutions de chifrement de textos. Avantages, inconvénients, architecture de chiffrement...

Comme d'habitude ans les échanges cryptographiques, on prendra Alice qui veut communiquer avec Bob, et Ève qui tente d'espionner (vous commencez à avoir l'habitude si vous lisez hashtagueule.fr régulièrement ;) ).

Fonctionnalités de base

Les deux application TextSecure et SMSSecure peuvent être utilisée par le grand public puisqu'elles fonctionnent même sans chiffrement. Elles servent alors de remplacement à l'application SMS/MMS par défaut de votre Android.

TextSecure et SMSSecure sont sous licence libre GPLv3 ! Vous pouvez vous en servir avec une grande confiance, et éventuellement donner aux développeurs de TextSecure et SMSSecure, si le cœur vous en dit.

Puisqu'elles sont sous licence libre, on peut plus facilement avoir confiance dans le chiffrement qu'elles proposent, ce que nous allons détailler ci-dessous.

Description du chiffrement

TextSecure est une solution de chiffrement développée par Open Whisper Systems, qui permettait le chiffrement de SMS et MMS sur mobile. Cette solution était d'assez bonne qualité, en voici les détails :

  • chiffrement de bout en bout : Alice chiffre (automatiquement, c'est mieux pour le commun des mortels) le message sur son téléphone avec la clef de Bob. Ainsi le message n'est jamais sur le réseau de manière non-chiffrée ;

  • pas de notion de session de chiffrement, à l'inverse de ce qui peut se faire avec XMPP + OTR : inconvénient : si Alice perd sa clef, tous les messages chiffrés par Bob peuvent être déchiffrés ;

  • l'application utilise le "TOFU" : Trust on First Use : c'est-à-dire que lorsque Alice parle à Bob, elle va d'abord initier une session chiffrée, et quelqu'un (Bob a priori) va recevoir le message d'initialisation. Alice va donc recevoir une clef de chiffrment à utiliser. À partir de ce moment, la conversation est chiffrée, mais pas authentifiée, puisqu'Alice n'est pas certaine de savoir à qui appartient la clef de chiffrement reçue. Il faudra donc qu'Alice rencontre Bob, ou quelqu'un qui connait la clef de Bob (et en qui Alice a confiance) pour que la conversation soit authentifiée.

Depuis quelques mois, TextSecure a abandonné le chiffrement des SMS pour ne garder que celui des MMS, ce qui a mis en rogne certains utilisateurs, ce pourquoi SMSSecure est né, forké du code de TextSecure. SMSSecure a donc la même architecture de chiffrement que TextSecure, mais diffère sur quelques points.

Alors SMSSecure ou TextSecure ?

Avantages de SMSSecure :

  • SMSSecure chiffre aussi les SMS.
  • Les SMS chiffrés par SMSSecure ne passent pas par des serveurs de Google (contrairement aux messages chiffrés de TextSecure, ce qui fait que Google a les métadonnées, mais pas les données. On se rappelle Edward Snowden qui nous a dit que les métadonnées était aussi importantes que les données).
  • SMSSecure demande moins de permissions que TextSecure. Là il faudrait voir s'il y a un loup, mais je préfère une application qui demande moins de permssions.

Avantage de TextSecure :

  • TextSecure passe par la donnée, donc peut potentiellement être utilisé à l'étranger par des correspondants de différents pays. À l'instar des applcations Hangouts de Google et iMessage de Apple.
  • TextSeure est compatible avec l'application iPhone "Signal".

Comment passer de l'une à l'autre ?

(Attention ni hashtagueule.fr ni l'auteur de cet article ne sont responsables d'éventuelles pertes de données. Je décris ces mécanismes parce que j'ai un peu bidouillé, et n'ai eu absolument aucun problème).

C'est assez facile, mais cela requiert que vos contacts fassent de même, ce qui peut être un frein... Le processus pour passer à SMSSecure est le suivant :

  • on installe SMSSecure ;
  • on définit SMSSecure comme application par défaut ;
  • on importe les SMS (si vous utilisiez une autre application sans chiffrement, comme l'application par défaut)
  • on exporte les données de TextSecure ;
  • on importe la sauvegarde de TextSecure à l'aide de SMSSecure.

Voilà. C'est propre et assez rapide (les phases d'import et export sont les plus lentes, durant à peu près 5 min chacune, en fonction du nombre de SMS/MMS).

Important : ne pas supprimer d'application SMS ni de données tant que vous n'êtes pas arrivé au bon résultat que vous souhaitez.

Mais pas de panique, si vous importez en double des SMS/MMS sur SMSSecure, il vous suffit de tout supprimer de SMSSecure et de recommencer les deux procédures d'import.

Il ne vous reste qu'à indiquer cette procédure à tous vos amis, et les inciter à utiliser SMSSecure.

Bonne journée !

Motius