myEnigma — quelques précisions

Par SwissTengu @SwissTengu @SwissTengu — 22.05.2014
/static/images/myEnigma.png

myEnigma1 est une application suisse permettant, un peu comme Whatsapp, d'échanger des messages, images et documents avec ses contacts. L'avantage par rapport à Whatsapp est qu'elle est suisse, à priori chiffrée, et que les serveurs sont localisés en Suisse.

J'ai pu obtenir une interview de l'entreprise Qnective AG2, société basée à Zürich.

Les questions posées couvraient les points suivants :
  • Sécurité : quelles sont les mesures prises face aux failles type Heartbleed, s'ils s'étaient fait attaquer, etc
  • Statistiques : comment est employée l'application, où, combien, etc
  • Plans futurs
  • Légal : si le gouvernement a émi des demandes d'accès, logs, etc
  • Divers questions d'ordre plus générale
  • Utilisation (j'ai pu faire quelques tests)

Sécurité
Malheureusement, ils ne sont pas très communicatifs, principalement au niveau de la sécurité présente autour de leurs systèmes…
À chaque fois, j'ai reçu un « on ne partage pas d'information sur nos mesures de sécurité », ce qui, de nos jours, peut être mal vu. Les questions couvraient Heartbleed, TLS, les attaques qu'ils auraient subies — mais aucune communication n'est faite à ce niveau.
Un white paper3 est disponible et explique 2-3 choses, mais reste très vague quant aux algorithmes et librairies employées. Sur le papier, cela semble tout de même solide (modulo la partie en rapport à TLS qui, dernièrement, a montré quelques faiblesses4

La seule chose obtenue à ce niveau concernait l'ouverture du code source à des fins de « community review », mais je doute que cela se fasse. La réponse elle-même est ironique par rapport à la constatation précédente :
Trust is mainly related to the people behind an application. Our business model is based on providing secure mobile communication. We consider to open source as soon as patents are not impacted.
« La confiance dépend principalement des gens derrière l'application. Notre business model est de fournir des communications mobiles sécurisées. On pourrait ouvrir les sources dès que cela n'impactera pas des brevets »

La confiance… Tout est là.

Statistiques
Je n'ai pas pu obtenir de statistiques par rapport au nombre d'utilisateurs ou même le nombre de messages transitant sur leurs serveurs… Par contre, il semblerait que myEnigma soit principalement employé en Allemagne, Suisse, Italie et Espagne. Le Brésil et d'autres pays d'Amérique du Sud semblent intéressés, ce qui fait que l'application sera traduite prochainement en espagnol et portugais.
Mais pas en français, par contre…

Futur
Pas de dates annoncées, mais pas mal de nouvelles fonctionnalités devraient venir durant l'année : emoticon pour la version Android, ainsi qu'un nouveau design sont actuellement en cours de développement.
Aussi, l'application est actuellement gratuite, mais une notion de licence (« free » pour le moment) au sein de l'application, ainsi qu'une mention de coût et de modification à ce niveau dans la FAQ m'a fait poser la question pour avoir plus de précisions.
Ils considèrent plusieurs modèles économiques, le principal étant un abonnement annuel qui, je cite, « ne dépassera pas le coût d'une tasse de café (Starbucks exclu) ». Donc compter une thune par année environ.

Demandes légales
Pour le moment, ils n'ont reçu aucune demande légale au niveau des communications. De plus, le chiffrement se faisant au moment de l'émission du contenu, ils n'ont à priori aucun moyen de savoir ce qui transite sur leurs serveurs.
Au niveau des logs, ils ne semblent pas être soumis aux lois sur les télécommunications, parce qu'ils ne se considèrent pas comme étant un fournisseur de service de télécommunication… Sur ce point, je suis dubitatif, je l'avoue.

Divers
Pour les utilisateurs d'Android découplés de Google, l'application est disponible sur demande en-dehors de Play. Il suffit d'en faire la demande par email5 au support.
Bon point. Bien qu'un lien de téléchargement disponible directement sur le site serait nettement plus    pratique à mon sens…

Par contre, du fait qu'ils sont en train d'implémenter le support de GCM6, il faudra peut-être s'attendre à ce que l'APK ne soit plus disponible, à moins qu'ils ne laissent l'ancien mode disponible pour les « déconnectés ». Ce qui serait logique.

Aussi, les messages ne sont pas conservés sur les serveurs : du moment qu'ils sont délivrés, ils sont effacés. Ce qui, au passage, empêche d'avoir le même compte sur de multiples appareils.

Utilisation
J'ai un peu tester l'application. Le problème premier a été de trouver un contact possédant aussi cette application : parmi mes contacts, très peu (4) sont sur l'application. Et, de ce que j'ai pu remarquer, aucun de ces contacts ne semble encore employer myEnigma.
Ce premier problème résolu (merci François), l'utilisation est relativement simple. L'interface demande effectivement d'être revisitée et améliorée pour rendre les choses plus simples et plus compréhensibles.
L'application est assez fluide. On a moyen d'activer des logs pour voir un peu ce qu'il se passe. Cela permet de savoir à quoi on se connecte, mais pas vraiment plus à première vue.
M'enfin, ça m'a permis de déterminer qu'ils utilisent un certificat SSL signé par SwissSign, société suisse appartenant à la Poste Suisse — ce qui, en soit, est un détail, mais je trouve que c'est une bonne chose.

Pour ma part, je préfère une autre application (dont je parlerai dans un prochain article) — mais il faudra surveiller les améliorations, principalement au niveau interface.

En conclusion : myEnigma a du potentiel. Si tant est qu'on ait un accès un peu plus grand aux informations de sécurité. Et que l'interface soit revue et simplifiée.


Commentaires (0)

Ajouter un commentaire