L’application sécurisée de messagerie instantanée Surespot a-t-elle été compromise par le gouvernement fédéral?

Surespot est une application de messagerie sécurisée open source pour Android et iOS. Se distingue par le cryptage puissant qu'il utilise (cryptage AES-GCM 56 bits à l'aide de clés créées avec ECDH 521 bits), la prise en charge des messages longs et la capacité de messagerie d'autodestruction. La version Android seule a été installée de 100 000 à 500 000 fois. Dans notre résumé de l'année dernière des alternatives sécurisées à WhatsApp, nous avons conclu que,


"SureSpot ne prend pas en charge Perfect Forward Secrecy (bien que de nouvelles clés puissent être générées à tout moment par les plus paranoïaques), et il existe une vulnérabilité connue aux attaques MiTM, mais dans l'ensemble, il s'agit d'une application très sécurisée et facile à utiliser."

surespot

L'application a cependant atteint une notoriété indésirable lorsque le Daily Mail du Royaume-Uni

«Les épouses djihadistes britanniques sont soignées en ligne à l'aide d'une application téléphonique gérée par des militants d'extrême gauche, peut révéler le Mail. Après avoir subi un lavage de cerveau sur Twitter, les recruteurs de l'État islamique disent aux jeunes filles de communiquer avec elles à l'aide d'un programme de messagerie appelé Surespot. »

Cela a été suivi en mai par une nouvelle de Channel 4,

«Les militants et les partisans de l'Etat islamique affluent vers des applications de messagerie cryptées, ce qui pose un défi aux services de sécurité, qui disent qu'ils perdent la capacité d'intercepter les données de suspects de terrorisme. Une enquête de Channel 4 News peut révéler l'ampleur de l'utilisation d'une telle application de messagerie cryptée, qui fonctionne comme WhatsApp ou Facebook Messenger mais avec des niveaux de sécurité très élevés. L'enquête a révélé qu'au moins 115 personnes liées à l'Etat islamique avaient utilisé l'application populaire Surespot au cours des six derniers mois. »

Il n'est donc pas surprenant que l'application ait suscité l'intérêt des services de renseignement, mais il semble que les choses auraient pu progresser davantage…

La société mère de Surespot 2fours était dirigée par Cherie Berdovich et Adam Patacchiola (bien que le Daily Mail rapporte que Berdovich a quitté `` l'été dernier ''). Contrairement à certains sites Web de produits de sécurité, Surespot ne gère pas de mandataire, alors George Maschke, un ancien officier du renseignement de l'armée et utilisateur de Surespot, a contacté Berdovich et Patacchiola en mai de l'année dernière avec les questions fluides,

«1 - Avez-vous déjà reçu une lettre de sécurité nationale?

2 - Avez-vous déjà reçu une décision de justice pour information?

3 - Avez-vous déjà reçu une autre demande de coopération avec un organisme gouvernemental? »

Il a reçu une réponse de Berdovich disant,

"[La] réponse à toutes les questions est non."

Maschke a écrit à nouveau en novembre 2014 en posant les trois mêmes questions et a reçu une réponse de Patacchiola (qui a programmé l'application),

"1 et 2, toujours non, 3 nous avons reçu un e-mail nous demandant comment nous soumettre une assignation que nous n'avons pas encore reçue."

Clairement intrigué par cette réponse, Maschke a de nouveau envoyé un courriel le lendemain pour lui demander «quelle agence ou organisation cherche des détails sur la façon de soumettre une assignation». Assez inquiétant, il n'a reçu aucune réponse. Il n'a également reçu aucune réponse lorsqu'il a envoyé les mêmes questions en avril 2015 et lorsqu'il a envoyé les questions suivantes en mai.,

  1. "Est-ce que 2fours a reçu une demande gouvernementale d'informations sur l'un de ses utilisateurs?
  2. 2fours a-t-il reçu une demande gouvernementale de modification du logiciel client surespot?
  3. 2fours a-t-il reçu une demande gouvernementale de modifier le logiciel du serveur surespot? 2fours a-t-il reçu toute autre demande gouvernementale visant à faciliter l'écoute électronique de toute nature?
  4. Si la réponse à l’une des questions ci-dessus est oui, pouvez-vous élaborer? »

De nouvelles tentatives pour contacter Berdovich et Patacchiola via l'application Surespot ont également rencontré aucune réponse.

En juin, le président Michael McCaul a déclaré à une audience de la commission de la sécurité intérieure que,

"Les applications mobiles comme Kik et WhatsApp ainsi que les applications de destruction de données comme Wickr et Surespot permettent aux extrémistes de communiquer en dehors de la vue des forces de l'ordre."

Plus tard au cours de l'audience, lorsqu'on lui a demandé si le FBI faisait pression pour des «portes dérobées» défaites par le chiffrement dans des logiciels tels que Surespot, Michael Steinbach, directeur adjoint du FBI pour la lutte contre le terrorisme, a répondu «Non», mais,

«Je parle d'aller aux entreprises qui pourraient alors nous aider à obtenir les informations non chiffrées. Et l'élément d'attribution - il est important de comprendre que, selon la technologie impliquée, cela - et cela nécessite, très franchement, une discussion sur la technologie - il existe des jetons qui ne permettent pas l'attribution. Ce n'est donc pas aussi simple que d'utiliser d'autres techniques ou attributions. Parfois, cette attribution n’est pas là. »

Hmm… cela semble suspect comme si, tout comme Ladar Levison de Lavabit, Surespot avait reçu un mandat en vertu du Patriot Act, exigeant qu'il coopère avec les autorités, tout en ajoutant un bâillon pour empêcher les propriétaires, sous peine de prison, de alerter leurs utilisateurs sur le fait.

Bien que M. Levison ait pu fermer son entreprise et protéger ainsi ses clients, cette option n'aurait probablement pas été disponible pour Patacchiola (Levison a lui-même été menacé d'arrestation pour ses actes.)

Bien sûr, une telle spéculation de notre part est simplement que - pure spéculation.

En théorie, le fait que Surespot utilise un chiffrement de bout en bout devrait rendre impossible d'espionner les communications des utilisateurs, même si 3fours a en effet été compromis. L'incapacité de l'application à implémenter Perfect Forward Secrecy pourrait cependant fournir un moyen de décrypter les messages des utilisateurs, et la quantité de métadonnées stockées dans la base de données Surespot pourrait fournir à un adversaire des indices précieux sur l'identité des utilisateurs.

Si nous craignions que nos communications soient espionnées, nous pourrions être tentés de chercher ailleurs une application de messagerie sécurisée…

Brayan Jackson Administrator
Sorry! The Author has not filled his profile.
follow me