RCS : Google expérimente le chiffrement intégral des SMS

Google chiffrement SMS RCS

Google acte la disponibilité quasi mondiale du RCS dans l’application Android Messages. Et commence à y expérimenter le chiffrement de bout en bout.

La bêta d’Android Messages donne désormais accès au chiffrement de bout en bout. Google ajoute cette fonctionnalité expérimentale parallèlement à la généralisation du RCS.

La GSMA diffuse depuis 2012 ce protocole sur IP destiné à apporter aux SMS des usages « enrichis » (RCS signifie Rich Communication Services). Google en a fait une arme face au développement des messageries instantanées. Il avait d’abord tenté de rallier les opérateurs. Mais la mise en œuvre laborieuse chez ces derniers a poussé le groupe américain à mise sur sa propre implémentation. Elle repose sur le cloud de Jibe, start-up acquise en 2015.

Les opérateurs ne sont pas autant hors jeu. Priorité leur est laissée s’ils comptent fournir à leurs clients un serveur de messagerie RCS. Pour le chiffrement de bout en bout, c’est autre chose : seul Google hébergera les serveurs de clés.

serveur de clés

Dans un premier temps, les conversations de groupe ne bénéficieront pas du chiffrement de bout en bout. Pour le reste, il s’activera automatiquement si les deux correspondants utilisent une version compatible d’Android Messages. Une icône cadenas apparaîtra à côté des messages chiffrés ainsi que sur le bouton d’envoi dans le champ de saisie.

RCS E2E

Google mise sur Signal

L’implémentation repose sur le protocole Signal.
Dans les grandes lignes, chaque client utilise, lors du paramétrage, la fonction RAND_bytes de BoringSSL pour créer trois paires de clés. La première « de long terme », associée à l’utilisateur. La deuxième, « de moyen terme » et dont la clé publique est signée avec la clé de long terme. La troisième (optionnelle) « de court terme ».

L’algorithme Diffie-Hellman travaille sur cette base pour établir les clés de session à partir des clés publiques des clients. Le chiffrement – en Base64 – englobe aussi les pièces jointes et les indicateurs (accusés d’envoi et de réception, saisie en cours). Mais pas les informations relatives à l’expéditeur et au destinataire.

Le chiffrement de bout en bout s’applique également à la version web d’Android Messages. Le code QR qu’on scanne pour connecter le smartphone contient deux clés générées avec WebCrypto. Google promet par ailleurs un basculement automatique en cas de changement d’appareil ou de réinstallation de l’application.

Photo d’illustration © MaximP – shutterstock.com