Signal : bientôt une enclave sécurisée dans l’application ?

OWS, l’éditeur de Signal, travaille actuellement sur une technique permettant à un utilisateur de voir qui parmi ses contacts possède la même application que lui sans pour autant lui permettre de découvrir son répertoire. Depuis toujours, l’éditeur essaie de rendre son application de messagerie instantanée plus sécurisée afin de garantir le respect de la vie privée de ses utilisateurs.

Néanmoins, cette application de messagerie instantanée est dénuée d’intérêt en l’absence de contacts avec qui échanger des discussions. C’est pourquoi il faudrait que l’application trouve la méthode qui permette non seulement d’ajouter facilement des contacts, mais aussi d’identifier les personnes qui utilisent déjà Signal.

Justice Cancer Smartphone

La problématique qui se pose est donc de savoir comment rendre cette application plus efficace tout en cachant le contenu de son répertoire ?

Créer une enclave sécurisée

En réponse à cette question, le service de messagerie instantanée a publié en fin septembre un billet de blog qui détaille les mesures techniques qu’il décide d’appliquer. En résumé, cela consiste à profiter de la proposition soulevée par Intel quant à ses puces contemporaines.

La fonction SGX ou Software Guard Extensions permettra aux logiciels d’établir une sorte d’enclave sécurisée permettant ainsi au système d’isoler le noyau à son système d’exploitation hôte.

Open Whisper Systems compte ainsi inverser ce système pour créer l’enclave. Cette enclave se situera près du serveur et permettra au logiciel de faire des calculs à partir des données chiffrées du client sans pour autant en connaître le résultat ou voir le contenu de ces données.

Trouver des contacts sans révéler le contenu du répertoire

En d’autres termes, ce mécanisme d’enclave sécurisée permettra de trouver des contacts de manière chiffrée sur les serveurs de Signal. À partir de là, l’utilisateur recevra des liaisons au sein même de cette enclave sécurisée. De plus, le résultat reste chiffré et est renvoyé vers l’utilisateur.

L’activiste Moxie Marlinspike, spécialiste en cryptographie explique que le logiciel tourne à distance et que le système d’exploitation ainsi que le serveur ne disposent pas de visibilité dans l’enclave. De ce fait, le service n’apprendra rien sur le répertoire du client ni sa demande de contacts.

Pour le moment, ce mécanisme n’en est encore qu’à son stade théorique. Pour ce qui est de sa réalisation, l’éditeur avoue que ces opérations chiffrées demanderont encore quelques mois avant d’être déployées.

En parallèle, le créateur de l’application est également en train de travailler sur une nouvelle cryptomonnaie plus accessible et plus simple à utiliser.

Mots-clés signal