Métadonnées : Signal a trouvé un moyen de mieux protéger ses utilisateurs – Tech

Open Whispers System, qui publie Signal, teste une nouvelle approche susceptible d'étendre davantage la vie privée de sa communauté. Comment? En intervenant au niveau des métadonnées.

Sur le front de la confidentialité, Signal a peut-être trouvé un moyen de faire progresser la vie privée de sa communauté. Dans un article de blog publié le 29 octobre, une nouvelle approche a été présentée: c'est, pour le dire simplement, pour cacher un peu plus de métadonnées circulant avec les messages (cryptés) que nous pouvons échanger via Signal.

Tout d’abord, une petite explication: Signal est une application de messagerie sécurisée qui fournit un cryptage de bout en bout: cela signifie que seuls les membres d’une discussion peuvent accéder au contenu échangé. Cette protection empêche par exemple le FAI ou l'éditeur de service (ici Open Whispers System) de les consulter.

Dans ces circonstances, il n'est pas possible de répondre favorablement aux demandes de déchiffrement du message émanant des tribunaux ou de l'administration (il est techniquement possible d'obtenir un accès, mais indirectement: par exemple en forçant la main d'un participant à la conversation visée par les autorités pour déverrouiller son portable).

Le défi des métadonnées

Le problème est que cette protection est limitée au contenu: les métadonnées ne sont pas couvertes. Cependant, ces informations peuvent être très bavardes, comme le démontrent par exemple deux universitaires de Stanford, mais également l’organisation EFF, qui œuvre pour la défense de la vie privée dans l’espace numérique. En effet, ils donnent le contexte d'un échange.

Ils peuvent dire qui a écrit le message, qui l'a reçu, quelle heure et quelle date (qu'il s'agisse de l'envoi ou de la réception), par quel moyen, de quel endroit (par exemple, s'il y a une géolocalisation en jeu), combien de fois, comment long (s’il s’agit d’un appel téléphonique), etc. Regroupés et analysés, ils peuvent fournir des indices sur le contenu d'un échange.

Il s'avère que Signal ne conserve pas les métadonnées au-delà de la période requise pour le flux de messages. Ce n'est qu'une rétention temporaire, de nature technique. D'autres mesures sont prises pour dégrader la précision de certaines informations, en commençant par les informations indiquant la dernière connexion d'un utilisateur aux serveurs Open Whispers System.

Une mesure en beta test

La fonction récente, disponible dans une version bêta de l'application, est présentée par Joshua Lund, un développeur qui travaille pour Open Whisper Systems. Il s’agit de cacher des informations sur les personnes qui envoient des messages à qui. Deux méthodes sont utilisées: l’une consiste à délivrer un certificat éphémère, l’autre à vérifier l’authenticité de l’envoi.

" Nous avons exploré des techniques permettant de réduire davantage la quantité d'informations disponibles pour le service. La dernière version bêta inclut des modifications destinées à rapprocher progressivement Signal de la dissimulation d'une autre métadonnée. Explique Joshua Lund en donnant des explications techniques sur le processus en cours d’exploration.

Et ajoutez ça " Bien que le service doive toujours savoir où un message doit être transmis, il ne devrait pas idéalement avoir besoin de savoir qui est l'expéditeur. Il serait préférable que le service puisse traiter des colis dont seule la destination est écrite à l'extérieur, avec un espace vide où l'adresse "De:" était précédemment ". C’est ce que Signal est tout.