L’application Confide loin d’être aussi sûre qu’elle le prétend
L’application Confide loin d’être aussi sûre qu’elle le prétend
Se présentant comme une messagerie totalement sécurisée, elle souffre de vulnérabilités potentielles.
La page de Confide sur la magasin d’applications de Google.
Depuis plusieurs semaines, c’est une application qui a, selon la presse américaine, la cote à Washington : Confide est une messagerie qui se présente comme particulièrement sécurisée. Sa promotion a été faite, à plusieurs reprises, par des articles expliquant qu’elle était utilisée par l’entourage de Donald Trump, pour tenter de limiter les fuites d’informations.
Mais Confide, qui se présente comme une sorte de « Snapchat pour les entreprises », est loin d’être aussi sécurisée qu’elle le prétend, montre une étude de la société spécialisée Quarkslab. Confide affirme faire profiter ses utilisateurs d’une triple sécurité : le chiffrement des communications, tout d’abord, mais aussi le fait que ses messages sont éphémères et que le logiciel empêche de prendre des captures d’écran des messages – et donc d’en conserver une trace à l’insu des autres participants à la discussion.
Un système de chiffrement mal conçu
Mais les trois protections sont potentiellement contournables, notent les chercheurs de Quarkslab. La manière dont le chiffrement est implémenté dans l’application permet techniquement à Confide de déchiffrer les messages lorsqu’ils transitent par ses serveurs, alors que le chiffrement dit « de bout en bout » doit justement rendre un message uniquement déchiffrable par le destinataire et l’expéditeur. La manœuvre permettant d’intercepter ainsi des communications n’est pas triviale, mais le fait qu’elle soit possible montre que Confide ne se conforme pas aux normes en vigueur dans les applications les plus sécurisées – comme Signal et WhatsApp.
De même, le système qui efface les messages envoyés et reçus, tout comme la fonctionnalité qui empêche la prise de captures d’écran, sont loin d’être inviolables. Une très légère modification du logiciel permet de faire « sauter » ces deux productions, comme le démontrent les nombreuses captures d’écran utilisées par Quarkslab dans son analyse. « Confide est une messagerie simple et intuitive. En revanche, elle ne devrait pas être considérée comme une messagerie sécurisée. »
Une capture d’écran réalisée par les chercheurs de Quarkslab.
C’est pourtant sur ce point que Confide a axé toute sa communication, bien que d’autres équipes de chercheurs aient déjà souligné des faiblesses du logiciel. Si l’application existe depuis 2013, c’est surtout après le piratage de Sony Pictures, à la fin de 2014, que le logiciel a tenté de se « vendre » comme une solution sécurisée pour les entreprises. Cette dernière affirme que l’arrivée de Donald Trump à la Maison Blanche, et le fait que l’entourage du président américain utilise son logiciel, a provoqué un « bond gigantesque » de son nombre d’utilisateurs. Mais Confide refuse toujours de communiquer les chiffres précis de personnes utilisant son application.
