vendredi 28 mars 2014

Voix sur le Blackphone et réflexions sur la VOIP chiffrée en général

Le Blackphone utilise les applications commercialisées par Silent Circle. Leur application de VOIP est Silent Phone qui se base sur le protocole ZRTP (pour le flux média) et TLS (pour le flux de signalisation SIP). Cette application n'est pas la première à proposer de la téléphonie chiffrée sur Android. L'application Linphone par exemple, de la société française Belledonne Communication propose le chiffrage ZRTP depuis au moins sa version 3.5.2 de fin 2012, le chiffrage du flux SIP dépendant du support ou non du TLS par le serveur voix. Même chose pour CSIPSimple basée sur la stack pjsip et développée par Régis Montoya un autre français.

A noter que l'application Skype elle-même chiffre les flux voix et offre donc une protection relative contre un sniffeur de réseau. La grande différence entre Skype et les applications mentionnées plus haut est que ces dernières pratiquent un échange de données chiffré de pair à pair, c'est-à-dire que le serveur voix n'a jamais la connaissance des clés et ne peut donc pas interpréter le flux voix ou vidéo qui y transite (Silent Circle s'en fait d'ailleurs la publicité sur son site). Dans le cas de Skype les données sont chiffrées de chaque client au serveur, qui lui peut décoder tout ce qui passe. On doit donc avoir confiance dans le fait que Microsoft (ou une entité gouvernementale qui ordonnerait à Microsoft) n'écoute pas vos conversations. A ce sujet on peut sourire en lisant sur leur propre FAQ:

"Pour les messages instantanés, nous utilisons TLS (Transport Layer Security) pour chiffrer vos messages entre votre client Skype et le service de discussion dans notre cloud ou AES (Advanced Encryption Standard) en cas d'envoi direct entre deux clients Skype. La plupart des messages sont envoyés des deux manières, mais à l'avenir, l'envoi ne sera effectué que via notre cloud afin d'optimiser l'expérience utilisateur."

Afin d'optimiser l'expérience utilisateur ...

Quoi qu'il en soit toutes ces solutions de VOIP chiffrée présent le défaut majeur de nécessiter que les deux participants à la conversation utilisent une application compatible. On se heurte au même problème que pour le chiffrage des emails, ou 99% de nos destinataires ne seront pas en mesure de lire nos emails chiffrés.

Il est également intéressant de noter que toutes ces solutions reposent toujours sur un réseau de donnée (2G, 3G ...) et non pas directement sur le réseau voix GSM, et ceci parce qu'un fabriquant de mobile ou un développeur d'applications n'a aucun accès à l'infrastructure GSM ou CDMA mondiale, architecture qui, bien que chiffrée est écoutable depuis longtemps par les gouvernements et par les hackers.

SneakersMap

Aucun commentaire:

Enregistrer un commentaire