Threema — détails et informations

Par SwissTengu @SwissTengu @SwissTengu — 02.06.2014
/static/images/threema.png
Threema est une application de communication sécurisée. Dans le même genre que myEnigma, elle permet d'échanger des messages, images et documents de manière sécurisée, les contenus étant à priori chiffrés.

J'ai pu obtenir quelques informations de plus de la part de l'éditeur, Threema GmbH1, société suisse, dont les serveurs applicatifs dédiés à Threema sont localisés en Suisse.

Les questions couvraient les points suivants :
  • Sécurité : quelles sont les mesures prises face aux failles type Heartbleed, s'ils s'étaient fait attaquer, etc
  • Statistiques : comment est employée l'application, où, combien, etc
  • Plans futurs
  • Légal : si le gouvernement a émi des demandes d'accès, logs, etc
  • Divers questions d'ordre plus générale

Sécurité
Bonne nouvelle, Threema n'utilise pas de version d'OpenSSL affectée par Heartbleed. De même, le mode de fonctionnement n'implique pas d'authentification par certificat SSL, ce qui exclu aussi la petite faille dans le protocol TLS2.
Aussi, ils ne semblent pas avoir encore subi d'attaques « concertées » dirigées spécialement sur leurs services. Selon Manuel Kasper, à part le « bruit habituel d'Internet » (scan, tentatives de connexion SSH et autres du genre), ils n'ont rien remarqué.

Aussi, ils ne considèrent pas encore ouvrir le code source à des fins d'audit communautaire, et ce principalement à cause du modèle économique de l'application.
Par contre, il semblerait que cela n'ai pas empêché une analyse approfondie du fonctionnement de Threema3, ainsi qu'une validation des processus de chiffrement.

Statistiques
Threema possède environ 2.8 millions d'utilisateurs, et environ 40 millions de messages transitent quotidiennement sur leurs serveurs.
La majorité des utilisateurs provient de l'Allemagne, suivi par la Suisse, l'Autriche et les USA.

Futur
Ils préfèrent ne pas annoncer les nouveautés avant de les sortie — mais ils travaillent sur des nouvelles fonctionnalités.

Demandes légales
Kasper System n'a pas eu de demandes d'accès. Ce qui, de toutes façons, ne ferait pas grand chose, vu que les messages et contenus sont, à priori, chiffrés.
Ils n'ont pas non plus modifié leur politique de logs4 (à savoir : rien n'est enregistré), ce qui est plutôt  bien.

Divers
À priori, Threema ne fait pas partie du « pack gouvernemental », ce qui est assez dommage vu la qualité de l'application.
Aussi, leur canal de communication est plus germanophone, ce qui explique qu'on n'en entend pas beaucoup en Suisse romande.

À noter aussi que Threema s'obtient, pour Android, en-dehors de Play5, ce qui permet en plus de payer en bitcoins !
De base, l'application utilise le GCM6, mais permet aussi de passer en mode « pull »: l'application va elle-même contrôler si des messages sont en attente à intervalle régulier (toutes les 15 minutes).

Conclusion
De manière générale, j'adore cette application : simple, efficace, elle permet de mettre à portée de tous une solution de chiffrement propre.
La validation de ses contacts permet en outre de s'habituer à contrôler soi-même « qui est qui ». À ce niveau, on est très proche de GPG/PGP, s'agissant de signer les clefs et de régler le niveau de contrôle effectué.


Commentaires (0)

Ajouter un commentaire