< Back to article list
Dans ma veille, je suis tombé sur un excellent article qui analyse la sécurité et les affirmations sur la protection de la vie privée d’une app de messagerie instantannée.
On y apprend:
- comment analyser une app android (apk, analyse du JS)
- quels sont les protocoles des apps standards (whatsapp, signal)
L’implémentation dans cette app est un film d’horreur de tous un tas de trucs à éviter.
Bon c’est tellement mal fait qu’il n’y a pas besoin de connaissances en protocoles pour que les affirmations ne tiennent pas longtemps:
- RSA est utilisé (on est loin de l’état de l’art, avec des courbes elliptiques)
- un SaaS tiers recoit tous les messages pour gérer le chiffrement
- on peut trouver les identifiants de chiffrements utilisés avec ce SaaS
- la base firebase est (était) publique, donc n’importe qui peut se connecter dessus et tout lire
- les données utilisateurs sont dans firebase
- les messages y sont aussi stockés (en clair)
Bref:
- ya des metadonnées
- ya (évidemment) des serveurs
- ya des services tiers (google analytics, firebase, Seald) qui recoivent les données utilisateur
Comme certains le commentent, ça ressemble plus à un projet amateur qu’à un vrai outil d’avenir…