Journal d'investigation en ligne et d'information‑hacking
par Jef Mathiot

Facebook vs DOJ : Messenger dans la mouise ?

Chiffré de bout-en-bout, pas si sûr…

Dans le dernier épisode des « cryptowars », c'est au tour de Facebook de se retrouver opposé au gouvernement états-uniens, dans une affaire où il est, encore une fois, question de cryptographie.

Department of Justice - Coolcaesar - CC BY-SA 3.0

C'est l'agence Reuters qui révélait, hier, un conflit juridique opposant le Département de la justice (DOJ) et le géant des réseaux sociaux. D'après Reuters, dans une affaire qui n'est pas sans rappeler celle dans laquelle s'affrontaient le FBI et Apple, les autorités demandent en effet à Facebook sa collaboration pour l'interception des communications d'un suspect via l'application de messagerie instantanée Messenger.

La demande du DOJ porte précisément sur la fonctionnalité « voix » de la messagerie, c'est un point d'importance. Comme Apple avant elle, la société Facebook se défend d'être en capacité de répondre favorablement à cette demande, en avançant que les communications sur Messenger sont chiffrées de bout-en-bout.

En effet, il existe deux catégories de chiffrement. Dans le cas du chiffrement de « transport », les informations ne sont rendues confidentielles que pendant leur acheminement entre le client et le serveur, en « flux », et sont déchiffrées aux « extrémités ». Les opérateurs des serveurs ont alors accès « en clair » aux communications. Dans le cas du chiffrement dit « de bout-en-bout », seuls les participants à la conversation disposent des clés de secrètes utilisées pour le chiffrement. Les serveurs jouent alors le rôle de « passe-plat » et, à l'exception des métadonnées — qui parle à qui, à quelle heure, etc. — n'ont accès à rien. On pourra rétorquer que les métadonnées sont bavardes, ce qui est vrai, mais ce n'est ici pas le sujet.

Le diable est dans les « détails »

Toujours est-il que cette affaire provoque de nombreuses spéculations sur la nature des opérations que le gouvernement exige de Facebook. Ces communications étant censées être chiffrées de bout-en-bout, s'agit-il de placer une « porte dérobée » dans le code de la messagerie instantanée ? D'imposer à Facebook le développement d'une version « piégée » visant un utilisateur particulier, voire potentiellement tous les utilisateurs de Messenger ?

En réalité, la situation pourrait être beaucoup plus simple. En effet, plusieurs analyses documentant le fonctionnement de Facebook Messenger — par exemple ici ou — nous apprennent que les communications « voix » sont basées sur le protocole WebRTC, une architecture pair-à-pair, où les communications ont lieu entre les deux interlocuteurs, mais où la mise en relation entre les deux participants nécessite l'intervention d'un serveur. Les communications elles-même sont en effet chiffrées de bout en bout, mais sur les versions mobiles de la messagerie (et seulement sur celles-ci), c'est le protocole SDES (SDP Security Descriptions for Media Streams) qui est utilisé pour l'échange des clés de chiffrement. En tout cas qui l'était encore en 2016. Or, avec ce protocole les clés secrètes de chiffrement sont échangées au travers des serveurs de « signaling » — en l'occurrence les serveurs de Facebook — qui y ont donc accès. Ce protocole a d'ailleurs été déprécié, suite aux révélations d'Edward Snowden, au profit d'autres protocoles plus robustes.

Autrement dit, pour peu que Facebook n'ait pas fait évoluer son application et que SDES soit toujours en service, pas sûr que le réseau social réussisse à se tirer si facilement de ce guêpier.

0 Commentaires
Une info, un document ? Contactez-nous de façon sécurisée