Dis tous tes secrets à Kevlar

Par SwissTengu @SwissTengu @SwissTengu — 03.09.2014
Un site1 permet, à première vue, de s'échanger des secrets via un lien à durée de vie limitée : dès qu'on accède au lien secret, le message est effacé de manière définitive du serveur hébergeant l'application.

Sympa non ? Vous voulez dire un truc sans que cela se sache, et vous ne voulez pas envoyer un mail chiffré ? Bah hop, ce site est fait pour vous !

Son apparence sobre et propre, les assurances concernant le fait que les messages sont effacés dès la visite du lien, etc sont là pour vous montrer que ça rigole pas. Serious Business!





OK, j'arrête, je vais plus tenir :]. Ce site est un tel ramassi de mauvaises choses que je le soupçonne d'être un cas d'école, une démonstration de la crédulité des gens.

On va dresser une liste non-exhaustive des petites choses qui devraient vous sauter aux yeux dès que vous arrivez sur le site.

SSL ? Kesako ??
Premier point : le site n'est pas en SSL. Autrement dit, vous envoyez tout en clair sur le Net. N'importe qui se situant entre votre ordinateur et le serveur applicatif peut intercepter le contenu sans le moindre effort.
Au temps pour vos secrets ;)

Google Analytics in da place
Bah oui… Faut bien voir combien de personnes sont venues… Je ne dis pas que GA arrive à intercepter ce que vous écrivez hein, on se comprend bien… Juste qu'il est là.

Google Fonts in da place
Oh bin tiens, hop, polices google en place aussi. Là encore, je ne dis pas que ça permet à Google de vous écouter. Juste que c'est là, que les cookies, c'est magique et qu'ils savent donc qui vous êtes et ce que vous faites. Gosh


Et non, y a pas de chiffrement Javascript côté client. Tout passe, réellement, en clair.

En creusant un poil plus loin, on peut aussi voir les choses suivantes :

Cloudflare
Le site est servi via Cloudflare, société américaine soumise comme il se doit au Patriot Act et autres FISA2… Du coup on peut se demander comment ils gèrent les logs de leurs services ;).
Ah, le DNS est aussi géré via Cloudflare, en toute bonne logique.

Vous en voulez encore ?

Comment ça marche ?
On ne sait pas. C'est magique :). Plus sérieusement, il y a l'air d'y avoir un peu de crypto (côté serveur uniquement), mais ce n'est même pas dit…

Politique de confidentialité ?
Rien à ce sujet. On ne sait rien sur l'auteur de ce site. On ne sait rien sur le pays de stockage. On ne sait rien sur la plate-forme. On ne sait rien sur les logiciels. On ne… bon, bref, c'est une boîte noire.

Ce truc pue. Vraiment. C'est un joli frontend qui se contente d'enregistrer vos secrets, sans qu'on sache ce qu'il enregistre au final : votre IP ? votre empreinte de navigateur ? 
On ne sait pas non plus si les données sont chiffrées côté serveur, si elles sont réellement effacées ou autres.

Je me demande combien de personnes ont réellement tenté de mettre un "vrai" secret là-dessus. Je me demande combien de personnes vont aller, après lecture de ce billet, tester l'application
Je me demande combien de personnes se sont posés les mêmes questions que moi.

Le piège est parfait. Je me réjouis que d'autres informations filtrent sur ce site. Au détour du Net, on peut tomber sur 1-2 billets3, mais le pseudo ne mène pas très loin… Enfin, potentiellement à quelques comptes github.
Chose intéressante, Adam Butler semble être lié à la marque Kevlar. Ce qui me fait penser à un faux pseudo. Ou pas.

Bref. Ça demande quelques éclaircissements.

En attendant : je vous conseille fortement de ne pas faire confiance à ce genre de sites (il n'est de loin pas le seul) et à toujours, je dis bien TOUJOURS, avoir un regard critique face à ces services.
Idem pour ceux que vous pouvez installer sur votre smartphone, comme Snapchat par exemple ;).

Là encore : n'oubliez pas d'allumer le cerveau. Vraiment.


Commentaires (0)

Ajouter un commentaire