La bêta d’Android Messages donne désormais accès au chiffrement de bout en bout. Google ajoute cette fonctionnalité expérimentale parallèlement à la généralisation du RCS.
La GSMA diffuse depuis 2012 ce protocole sur IP destiné à apporter aux SMS des usages « enrichis » (RCS signifie Rich Communication Services). Google en a fait une arme face au développement des messageries instantanées. Il avait d’abord tenté de rallier les opérateurs. Mais la mise en œuvre laborieuse chez ces derniers a poussé le groupe américain à mise sur sa propre implémentation. Elle repose sur le cloud de Jibe, start-up acquise en 2015.
Les opérateurs ne sont pas autant hors jeu. Priorité leur est laissée s’ils comptent fournir à leurs clients un serveur de messagerie RCS. Pour le chiffrement de bout en bout, c’est autre chose : seul Google hébergera les serveurs de clés.
Dans un premier temps, les conversations de groupe ne bénéficieront pas du chiffrement de bout en bout. Pour le reste, il s’activera automatiquement si les deux correspondants utilisent une version compatible d’Android Messages. Une icône cadenas apparaîtra à côté des messages chiffrés ainsi que sur le bouton d’envoi dans le champ de saisie.
L’implémentation repose sur le protocole Signal.
Dans les grandes lignes, chaque client utilise, lors du paramétrage, la fonction RAND_bytes de BoringSSL pour créer trois paires de clés. La première « de long terme », associée à l’utilisateur. La deuxième, « de moyen terme » et dont la clé publique est signée avec la clé de long terme. La troisième (optionnelle) « de court terme ».
L’algorithme Diffie-Hellman travaille sur cette base pour établir les clés de session à partir des clés publiques des clients. Le chiffrement – en Base64 – englobe aussi les pièces jointes et les indicateurs (accusés d’envoi et de réception, saisie en cours). Mais pas les informations relatives à l’expéditeur et au destinataire.
Le chiffrement de bout en bout s’applique également à la version web d’Android Messages. Le code QR qu’on scanne pour connecter le smartphone contient deux clés générées avec WebCrypto. Google promet par ailleurs un basculement automatique en cas de changement d’appareil ou de réinstallation de l’application.
Photo d’illustration © MaximP – shutterstock.com
Formats de paramètres, méthodes d'apprentissage, mutualisation GPU... Voici quelques-unes des recommandations de l'ANSSI sur l'IA…
À la grogne des partenaires VMware, Broadcom répond par diverses concessions.
iPadOS a une position suffisamment influente pour être soumis au DMA, estime la Commission européenne.
FT Group, éditeur du Financal Times, a signé un accord avec OpenAI afin d'utiliser ses…
Au premier trimestre, Microsoft, Meta/Facebook et Alphabet/Google ont déjà investi plus de 32 milliards $…
La société britannique de cybersécurité Darktrace a accepté une offre de rachat de 5,32 milliards…