Session étant une branche de Signal, il a hérité de la sécurité élevée de Signal. À partir de là, l'équipe de Session a construit un système anonyme et décentralisé qui offre à ses utilisateurs un niveau de confidentialité et d'anonymat supérieur. Êtes-vous prêt à en savoir plus sur ce challenger pour le trône de la meilleure application de messagerie sécurisée et privée ? Alors plongeons dans cette revue de Session.
Les bases de Session.
En coulisses, Session est fondamentalement différent de la plupart des autres services de messagerie sécurisée. Pour faciliter la compréhension du reste de cet article sur Session, nous devons d'abord revoir quelques principes de base.
Les conversations dans Session sont sécurisées à l'aide d'un chiffrement E2E côté client. Seuls l'expéditeur et le destinataire d'un message peuvent le lire. Mais Session ne se contente pas d'assurer la sécurité des messages. Elle protège également l'identité de ses utilisateurs. Elle rend vos communications privées et anonymes, tout en les sécurisant.
La session peut le faire parce qu'elle connecte les utilisateurs par l'intermédiaire d'un réseau de type Tor composé de milliers de nœuds de service. Les nœuds de service sont des serveurs qui transmettent des messages dans les deux sens à travers le réseau et fournissent des services supplémentaires. Le système de requête en oignon utilisé par Session pour protéger les messages garantit qu'aucun nœud de service du réseau ne connaîtra jamais l'origine (votre adresse IP) et la destination (l'adresse IP du destinataire) d'un message. Cela vous permet de masquer votre IP par défaut.
Session prend un certain nombre de mesures supplémentaires pour protéger votre identité :
Aucun numéro de téléphone n'est requis pour l'inscription
Aucun courriel n'est requis pour l'inscription
Aucune donnée de géolocalisation, données d'appareil ou métadonnées n'est collectée.
Les nœuds de service sont regroupés en essaims. Les essaims fournissent une redondance au réseau ainsi qu'un stockage temporaire lorsque les messages ne peuvent pas être livrés à leur destination. Chaque client de session se connecte à un essaim pour envoyer et recevoir des messages en temps réel, ainsi que pour récupérer des messages pertinents qui sont stockés dans l'essaim en attendant d'être livrés.
Vous remarquerez que nous n'avons pas parlé d'un quelconque serveur central. Le réseau de Session est décentralisé, sans point de défaillance unique, ni serveur principal à pirater. Session déplace les messages à l'aide d'un système de routage en oignon.
Dans un système de routage en oignon, les messages sont entourés de plusieurs couches de cryptage et passent par plusieurs nœuds du système. Chaque nœud décrypte une couche de cryptage avant de transmettre le message. En raison de la manière dont les messages sont cryptés, aucun nœud ne peut connaître à la fois l'origine du message et sa destination. En outre, votre adresse IP n'est jamais visible à la destination, ce qui signifie que votre interlocuteur n'a aucun moyen de vous identifier lorsque vous utilisez le service Session. Le service de session devrait s'avérer très résistant et continuer à fonctionner même si des nœuds de service individuels rejoignent ou quittent le réseau.
Le système de routage en oignon de Session fonctionne sur le réseau de nœuds de service Oxen. Ce réseau (anciennement connu sous le nom de Lokinet) fait également partie de l'infrastructure de la crypto-monnaie $OXEN. Pour en savoir plus sur OXEN, consultez le site Oxen.io.
Bien que Session gère très bien les fonctions de messagerie de base, il ne dispose pas de certaines des fonctionnalités offertes par des concurrents tels que Signal ou Telegram. Il ne permet pas encore de passer des appels vocaux ou vidéo, entre autres. Si vous avez besoin de ces fonctionnalités spécifiques, vous devriez peut-être vous tourner vers une autre application de messagerie.
Voici les avantages et les inconvénients que nous avons identifiés dans cet examen de la session :
+ Avantages
Le chiffrement de bout en bout (E2E) sécurise les messages textuels et vocaux ainsi que les pièces jointes.
Cryptage : Protocole de session
Ne nécessite pas de numéro de téléphone ou d'adresse électronique pour s'inscrire
Source ouverte
Le système de routage en oignon assure la décentralisation et l'anonymat.
N'enregistre pas les adresses IP ni les métadonnées
Groupes fermés cryptés (jusqu'à 100 personnes) et groupes ouverts (sans limite de taille)
L'audit du code de sécurité des applications Desktop, Android et iOS a été mené à bien.
- Inconvénients
Ne prend pas en charge l'authentification à deux facteurs (2FA)
Synchronisation multi-appareils remaniée (version bêta préliminaire)
Suppression du système Perfect Forward Secrecy
Important: le fait que Session ne collecte pas de métadonnées est un énorme avantage. Nous considérons que le problème des métadonnées est le talon d'Achille de nombreux services de messagerie sécurisée et de messagerie électronique sécurisée. Même les services de messagerie sécurisée les plus populaires, tels que ProtonMail, n'ont pas de bonne solution au problème des métadonnées.
Nous allons maintenant examiner les principales caractéristiques du messager Session.
Résumé des fonctionnalités de Session.
Voici les caractéristiques que vous voudrez prendre en compte lorsque vous évaluerez Session :
Il utilise le protocole de session inspiré de Signal, en plus d'un système de routage en oignon distribué pour une communication anonyme et décentralisée.
Code 100% open-source (le code est disponible sur GitHub).
Clients pour Android, iOS, macOS, Windows, Linux.
Le système est beaucoup plus stable après plusieurs mois de refonte et de remaniement.
Informations sur la société Session.
Session est un projet de la Fondation Loki. La Loki Foundation (enregistrée sous le nom de LAG Foundation, LTD) est une fondation caritative enregistrée basée à Victoria, en Australie. La fondation déclare que son objectif est de "...construire des outils et des applications de communication libres de métadonnées qui défendent la vie privée dans le monde numérique".
Note : Les produits Loki changent de nom pour devenir Oxen. Pendant une période prolongée, les noms Loki et Oxen seront probablement utilisés de manière interchangeable.
Où sont stockées les données de votre session ?
Les messages qui vous sont envoyés sont en fait envoyés à votre essaim. Les messages sont temporairement stockés sur plusieurs nœuds de service au sein de l'essaim afin d'assurer la redondance. Une fois que votre appareil a récupéré les messages de l'essaim, ils sont automatiquement supprimés des nœuds de service qui les stockaient temporairement.
Remarque : il ne s'agit pas d'une architecture peer-to-peer. Voir la FAQ sur la session ici,
Les clients de Session n'agissent pas comme des nœuds sur le réseau, et ne relaient ni ne stockent les messages pour le réseau. L'architecture réseau de Session est plus proche d'un modèle client-serveur, dans lequel l'application Session joue le rôle de client et l'essaim de nœuds de service celui de serveur. L'architecture client-serveur de Session facilite la messagerie asynchrone (lorsque l'une des parties n'est pas en ligne) et l'obscurcissement des adresses IP par routage en oignon, par rapport aux architectures de réseau pair-à-pair.
Tests et audits de Session par des tiers.
Session utilise désormais son réseau de routage en oignon. L'année dernière, elle a commandé à Quarkslab un audit de sécurité des applications Session Desktop, Android et iOS. Cet audit est maintenant terminé et apporte de bonnes nouvelles pour Session et ses utilisateurs. Le rapport d'audit se conclut en partie par ce qui suit :
Oxen Session améliore réellement la confidentialité et la résilience du signal en utilisant un réseau superposé à la solution de messagerie instantanée existante avec chiffrement de bout en bout. Les mécanismes de routage en oignon utilisent les Snodes d'Oxen pour stocker et échanger les messages. Toutefois, d'autres services web standard centralisés sont toujours utilisés par le réseau superposé (pour le service "push" et pour la livraison de fichiers joints). Tous les problèmes majeurs ont été rapidement résolus.
Quarkslab Oxen Session Audit, Rapport technique
La Session est maintenant utilisable dans les cas où une sécurité prouvée et vérifiée de manière indépendante est une condition préalable.
Quel est le degré de sécurité et de confidentialité de la session ?
Une fois que la session est terminée et entièrement développée, elle devrait être super sécurisée, extrêmement privée, anonyme et généralement excellente. Cependant, il est difficile de savoir à quel point le produit est proche de l'achèvement.
Le système de routage en oignon est maintenant fonctionnel, ce qui est un grand pas en avant pour la sécurité et la vie privée. Et l'audit de sécurité de Quarkslab montre que les applications Desktop, Android et iOS sont toutes sécurisées.
Inquiétudes concernant l'Australie et la sécurité des données.
En ce qui concerne la protection de la vie privée et la sécurité de vos données, nous devons discuter de l'endroit où Session est basée. Comme nous l'avons vu plus haut, Session est basée en Australie. Malheureusement, l'Australie n'est pas une juridiction parfaite en matière de protection de la vie privée, et ce pour plusieurs raisons.
Comme nous l'avons récemment évoqué dans notre guide sur les meilleurs VPN pour l'Australie, le pays a adopté une loi visant à saper le chiffrement et la sécurité des données en 2018. Voici un aperçu rapide de cette loi :
Le Parlement australien a adopté jeudi un projet de loi controversé sur le cryptage visant à obliger les entreprises technologiques à fournir aux forces de l'ordre et aux agences de sécurité un accès aux communications cryptées. Les défenseurs de la vie privée, les entreprises technologiques et d'autres entreprises se sont fortement opposés à ce projet de loi, mais le gouvernement du Premier ministre Scott Morrison a déclaré qu'il était nécessaire pour contrecarrer les criminels et les terroristes qui utilisent des programmes de messagerie cryptée pour communiquer.
Dans les milieux de la protection de la vie privée, le projet de loi sur l'assistance et l'accès est parfois appelé "loi contre le chiffrement" ou "loi anti-chiffrement" en raison de ce qu'il autorise. Cette loi affecterait fondamentalement les entreprises qui fournissent des services de communication cryptée, notamment les sessions, les services VPN et d'autres entreprises axées sur la protection de la vie privée. Ce sujet continue de susciter des critiques de la part des défenseurs de la vie privée du monde entier.
S'inspirant du modèle australien, les autorités de régulation américaines ont également proposé d'obliger les entreprises technologiques à briser le cryptage, facilitant ainsi la surveillance.
La Fondation Loki, à l'origine de Session, a abordé cette question épineuse dans un billet de blog :
Il est évident que nous avons été terrifiés lorsque nous avons vu ce projet de loi pour la première fois. La possibilité que le projet soit entièrement sapé par cette législation n'est pas passée inaperçue. Nous avions commencé à réfléchir à la manière dont nous pourrions mettre en place des sécurités pour permettre aux gens de détecter l'injection de mauvais code dans notre base de code, ou pour payer quelqu'un d'extérieur à Loki pour effectuer des inspections régulières des binaires que nous publions et s'assurer qu'ils ne divulguent pas d'informations supplémentaires ou qu'ils ne correspondent pas à la base de code d'une manière ou d'une autre. Si nous devions recevoir un avis de capacité technique (TCN), nous ne pourrions en parler à personne. Si nous mettions en place une sorte de système canari, nous pourrions être emprisonnés. Par conséquent, quel que soit le dispositif de sécurité que nous mettrions en place, il faudrait qu'il soit externe à Loki et qu'il fasse l'objet d'audits réguliers pour s'assurer que nous n'avons pas été compromis avant l'émission d'un avis de capacité technique.
En fin de compte, la Loki Foundation estime qu'elle peut encore exploiter un service de messagerie sécurisé dans cet environnement juridique périlleux. Leur article de blog sur le sujet va vraiment au fond des détails techniques et juridiques, que vous pouvez étudier si vous avez le temps et l'envie de le faire. En outre, ils abordent la question dans la rubrique FAQ intitulée "La position anti-chiffrement du gouvernement australien pose-t-elle un risque pour Session ?" ainsi que dans cette mise à jour de leur article de blog original.
Alors, vos données sont-elles en sécurité avec le messager Session ?
J'ai des doutes après avoir fait des recherches sur le projet de loi 2018 sur les télécommunications et autres amendements juridiques (assistance et accès), communément appelé projet de loi AA ou TOLA, mais vous pouvez arriver à vos propres conclusions.
Autres problèmes liés à la protection de la vie privée en Australie.
Il convient également de noter que la législation anti-chiffrement n'est pas le seul problème de protection de la vie privée qui touche l'Australie. Voici quelques exemples :
Conservation obligatoire des données - En 2017, l'Australie a mis en place un cadre de conservation obligatoire des données. Cela oblige tous les fournisseurs d'accès à Internet et les compagnies de téléphone à stocker les données de connexion pour les agences gouvernementales pendant deux ans.
Five Eyes - Nous avons également noté précédemment que l'Australie est membre de l'alliance de surveillance Five Eyes. Cette alliance collabore à la collecte et au partage de données de surveillance de masse.
Et si vous pensez que les différentes agences n'exploitent pas ces lois pour collecter des données sur les Australiens, détrompez-vous. Voici un titre récent du Guardian :
Session Messenger FAQ.
Voici quelques questions qui sont revenues fréquemment au cours des recherches et de la rédaction de cette mise à jour.
Session Messenger est-il sûr ?
L'audit de sécurité récemment réalisé par Quarkslab a confirmé ce que nous pensions depuis longtemps : Session est sécurisé. Mais les actions du gouvernement australien pour contourner les protections de la vie privée sur pratiquement toutes les applications ou services (pas seulement Session) nous font penser que votre vie privée ne peut pas être garantie si vous utilisez Session.
Qu'est-ce que le protocole Session ?
Le protocole Session est un nouveau protocole de messagerie développé par Session. Le passage du protocole Signal au protocole Session permet de conserver la sécurité de ce dernier tout en offrant des fonctionnalités de confidentialité/anonymat et de décentralisation. Le résultat est un protocole qui fonctionne bien avec l'architecture unique de Session.
Conclusion de la revue Session.
Session est un produit prometteur, mais il présente des avantages et des inconvénients. Une fois terminé, il devrait être aussi sûr que Signal, encore plus privé que Signal, et également anonyme. Mais des inquiétudes subsistent quant à l'Australie, à la confidentialité des données et à la capacité de la Loki Foundation à assurer la sécurité des données des utilisateurs dans cet environnement.
Last edited by a moderator:
