Chiffrement de bout en bout : Viber pointé du doigt pour son manque de transparence
Suite à l’intégration du chiffrement de bout en bout dans son service de messagerie, Viber essuie des critiques concernant l’algorithme qui aurait été utilisé.
Alors que Viber vient tout juste de rendre son service chiffré de bout en bout, la société entrée dans le giron du groupe Rakuten en 2014 est maintenant sous le feu des critiques, sur fond d’un manque de transparence flagrant quant à la technologie de chiffrement mise en oeuvre.
Suivant WhatsApp et d’autres services (tels que Telegram), Viber annonçait il y a quelques jours, par la voix de Michael Shmilov (son directeur des opérations), que l’intégration du chiffrement de bout en bout protégerait les messages envoyés par les quelque 700 millions d’utilisateurs du service d’une quelconque interception (y compris par Viber).
Mais, contrairement à WhatsApp, Viber est resté peu prolixe sur la manière dont le chiffrement est implémenté sur son service.
Les développeurs de systèmes de chiffrement publient souvent des documents afin que leurs potentielles vulnérabilités puissent être découvertes par d’autres chercheurs.
Pour chiffrer son service de bout en bout, WhatsApp n’a ainsi pas hésité à préciser s’être appuyé sur la technologie développée par Open Whisper Systems, un groupe à but non lucratif qui développe des logiciels en mode open source. Avec comme leitmotiv de « rendre les communications privées simples », le groupe s’est déjà illustré avec sa propre application baptisée Signal (d’appels en VoIP et de messagerie) qui bénéficie d’un tel chiffrement de bout en bout.
Autre témoignage de sa crédibilité : Edward Snowden avait lui-même fait l’article des applications TextSecure et RedPhone, adossées, elles aussi, à la technologie de chiffrement de bout en bout d’Open Whisper Systems.
Or, jusqu’à présent, Viber n’a publié aucune information sur la technique de chiffrement utilisée. De quoi laisser perplexes les chercheurs en sécurité.
Bad vibes
Justement, selon Frederic Jacobs, un chercheur en sécurité qui a précédemment planché sur Signal et est actuellement étudiant à l’EPFL (École polytechnique fédérale de Lausanne ), Viber pourrait exploiter l’algorithme MD5, considéré comme peu sécurisé.
Toutefois, selon TechCrunch, un porte-parole de Viber a réfuté cette information de manière laconique : « MD5 n’est pas utilisé. Notre protocole de chiffrement est basé sur un concept de protocole open source, avec un niveau de sécurité supplémentaire développé en interne. »
Certains experts en sécurité s’inquiètent que dans le rush pour chiffrer tout rapidement, toutes les mesures pour mettre en place une sécurité adéquate ne soient pas prises.
Ainsi, Joe Hall, technologue en chef du Center for Democracy and Technology, a exprimé ses préoccupations à TechCrunch sur ce sujet sensible : « Dans la course pour chiffrer tout, je souhaite que le chiffrement ne devienne pas simplement une mode, ce qui entraînerait une sécurité de mauvaise facture. On ne sait pas si c’est ce qui se passe ici, mais je soupçonne que nous allons nous en rendre compte, tôt ou tard. »
(Crédit photo : ra2studio, Shutterstock.com)