Snapchat, ou l'illusion de l'éphémère

Par SwissTengu @SwissTengu @SwissTengu — 10.05.2014
Snapchat. Une application permettant d'échanger des messages éphémères avec ses contacts.
Les messages, dont la durée de vie est limitée, sont censés être effacés du smartphone de votre contact de manière irrémédiable, permettant ainsi d'éviter des fuites de photos génantes ou assimilé.

Sauf que…

Pour plusieurs raisons, cette publicité est mensongère. Entre autres :
  • les transmissions sont chiffrées de manière vaseuse1;
  • les transmissions passent par de multiples serveurs et autres appareils avant d'arriver à destination;
  • on ne maîtrise pas l'appareil de destination;
  • on ne peut pas assurer que l'écran ne sera pas photographié, ou qu'aucune capture d'écran ne sera faite;

En gros, Snapchat, c'est de la poudre verte2 avec de la licorne magique dedans : "faites-nous confiance, mais surtout ne grattez pas trop la couche de vernis".

On va creuser et expliquer pourquoi les différents points ci-dessus posent plus de problèmes qu'autre chose.

Chiffrement
Plusieurs problèmes se posent : le contenu est certes chiffré lors de la transmission, mais avec une clef de chiffrement unique. Se retrouvant sur TOUS les appareils possédant l'application. Je vous laisse voir le potentiel de nuisance que cela permet. Sur Android, elle se trouverait ici : com.snapchat.android.util.AESEncrypt3.
Il s'avère aussi qu'ils utilisent un mode AES-1284 pourri, nommé ECB5, qui produit un chiffrement faible en comparaison de CBC6 : ECB ne possède pas de vecteur d'initialisation, permettant ainsi de comparer plusieurs textes chiffrés (et donc de pouvoir retrouver la clef de chiffrement). Il permet aussi "facilement" de tronquer ou altérer un message chiffrer.

Au cas où, des bouts de code permettant de déchiffrer les contenus de Snapchat se balladent dans la nature7

Transmissions
Hey, on est sur Internet : un paquet IP passe par de multiples plate-formes, appareils etc. Chacun de ces intermédiaire garde en tous cas une trace du passage du paquet, et, selon son emplacement, poourrait enregistrer la transmission dans son ensemble, et donc reproduire le contenu. Associé à un chiffrement faible, je vous laisse voir ce que ça permet.

La destination
Un iOS ou Android avec accès root permet de faire ce que l'on veut, on a accès à tout le système de fichier, donc, aussi, aux fichiers temporaires créés par Snapchat.
Donc, assez simplement, on peut copier les contenus.

Appareil externe
Et, même si on arrive à faire un truc réellement chiffré de bout en bout, avec un minimum de traces sur le réseau (allez, via vpn + chiffrement fort, pour rire), rien, absolument RIEN n'empêche le destinataire de prendre une photo. 

L'éphémère n'existe pas quand on parle du monde numérique. Entre les traces sur les divers appareil réseaux, le manque de sécurité, le manque de contrôle sur l'appareil de destination, on ne peut absolument pas garantir que les contenus sont "effacés définitivement".

Pour celles et ceux qui pensent qu'on peut effectivement effacer du contenu d'Internet, je vous invite à aller consulter la page sur ce qui est appelé "Effet Streisand"8 et d'en tirer les conclusions qui s'imposent.

En passant : Snapchat vient d'avouer deux choses9 :
  • elle a menti à ses usagers quant à l'effacement des messages
  • elle collectait des données à l'insu des utilisateurs

Encore des envies de faire confiance à cette application ?


Commentaires (3)

par SwissTengu — 12.05.2014, 07:26 — PermaLink
François Charlet a fait un article de son côté concernant Snapchat, en prenant l'angle de la FTC plutôt que l'aspect purement technique :
http://francoischarlet.ch/2014...

Je le recommande chaudement en complément au présent article :).
par funambuline — 15.05.2014, 13:03 — PermaLink
Il y a un fait certain : quand on tente de downloader Snapchat d'une boutique d'app en ligne... les premières app que l'on nous propose, sont celles qui permettent de garder les images échangées pour qu'elles ne disparaissent plus. Donc, avant même de tester Snapchat, le bullshit est bien présent.

Ce qui m'inquiète avec ce succès c'est le fait que "les gens" puisse avoir l'idée qu'un contenu soit totalement effaçable et donc "protégé". Induire cette notion d'éphémère et de "sécurité par l'effacement" ne va pas faire avance le schmilblik.
par kl4v — 16.05.2014, 08:29 — PermaLink
En outre, Snapchat figure parmi les derniers du rapport "Who Has Your Back" de l'EFF pour 2014: https://www.eff.org/who-has-yo...
Ajouter un commentaire