EXCLUSIF : entretien avec le fondateur de la messagerie sécurisée Session

Armurerie numérique, Science et technologie

mise à jour le 23/06/21

Pour faire suite à la précédente interview du fondateur de la messagerie sécurisée Briar, nous vous proposons aujourd’hui une autre interview exclusive. Il s’agit cette fois, de Simon Harman, le président de la Loki Foundation qui est derrière l’application Session.

Simon, pouvez-vous vous présenter en quelques mots ?
Je suis Simon Harman, président de la Loki Foundation. La fondation développe Oxen, une « pile de technologie » utilisée pour créer de nouvelles technologies privées, y compris notre propre application de messagerie privée Session. J’étais l’un des fondateurs d’Oxen en 2017 et je suis le P-DG du projet depuis le début.

L’application Session est développée par la Loki Foundation. Pouvez-vous nous en dire plus sur celle-ci, ses buts et projets ?
La Loki Foundation est une organisation australienne à but non lucratif, qui met en place des outils pour protéger la vie privée et la sécurité des personnes dans le monde numérique. Les informations sur les personnes sont le produit numéro un vendu sur Internet, et notre objectif est de rétablir la vie privée qui a été perdue à cause de cela, et d’aider à éduquer le grand public sur la sécurité en ligne.

Des applications comme Session sont nécessaires pour restituer aux gens leur vie privée. Communiquer en privé, sans que des informations sur vous ou vos conversations soient collectées et vendues, est un droit fondamental que toute personne dans le monde devrait posséder. C’est ce que Session permet aux gens de faire : avoir des conversations en privé.

La Loki Foundation s’est engagée à développer des applications à code source ouvert, gratuites et accessibles à tous. Ces services doivent être accessibles gratuitement à tous ceux qui en ont besoin ou qui le souhaitent, et nous en sommes fermement convaincus.

La fondation vise également à prendre part à l’activisme et à l’éducation numériques, et prend souvent part à des conférences et des événements dans le monde entier – comme la RightsCon – pour parler de l’importance de la vie privée et aider à sensibiliser les gens à notre mission et à nos projets.

Qui a-t-il de différent entre Session et Signal ou Telegram, par exemple ?
Contrairement à Signal and Telegram, Session vise à donner aux gens un moyen de parler sans donner aucune de leurs informations personnelles, ou métadonnées, qui pourraient compromettre la sécurité de leur conversation.

Comme Signal et Telegram nécessitent tous deux un numéro de téléphone pour s’inscrire, les utilisateurs ne sont pas vraiment anonymes et leurs identités peuvent être reliées à leurs comptes. Session permet aux utilisateurs de créer un compte de manière anonyme, et les ID de session sont utilisées pour contacter des personnes au lieu de numéros de téléphone.

L’infrastructure du réseau de Session est également décentralisée, ce qui signifie qu’il n’y a pas de serveurs centraux ni de points de contrôle centraux. De ce fait, Session est plus résistant à la censure que les autres messageries, car il n’y a aucun moyen de bloquer ou de censurer les utilisateurs sur la plateforme.

Tous les messages envoyés sur Session sont acheminés par son réseau décentralisé, de sorte que votre IP est cachée lorsque vous envoyez des messages sur Session. Tout comme la création d’un compte anonyme, cela permet de protéger votre identité lorsque vous utilisez l’application.

En termes de vie privée et d’anonymat, Session va plus loin que Signal ou Telegram.

Comment  les messages transitent-ils avant d’être délivrés ?
Tous les messages sont acheminés via le réseau Tor, ce qui signifie que ces derniers, passant par l’application Session, sont « enveloppés » dans plusieurs couches de chiffrement et acheminés par le réseau décentralisé.

Chaque message est envoyé par trois serveurs du réseau, ce qui signifie qu’aucun serveur n’a une vue d’ensemble de votre identité ou de votre interlocuteur sur Session.

Aucun de ces serveurs ne peut voir le contenu de vos messages, car tous les messages dans Session sont chiffrés de bout en bout, et aucun de ces serveurs ne stocke les messages à long terme – ils sont supprimés du serveur une fois qu’ils ont été livrés.

Quelles sont les informations demandées aux utilisateurs pour utiliser Session et quelles sont les informations que vous pouvez voir ou auxquelles vous pouvez accéder ?
Session ne peut pas voir d’informations vous concernant. Nous avons conçu l’application pour préserver votre vie privée autant que possible.

Aucune information personnelle n’est jamais nécessaire pour créer un compte Session, il vous suffit d’installer l’application, de créer un compte et elle vous fournit un identifiant spécial.

Les identifiants sont le principal moyen de contacter les personnes sur Session – ils constituent notre alternative privée à l’utilisation de numéros de téléphone.

Session est une application où les échanges sont chiffrés de bout en bout, cela signifie que seuls les utilisateurs peuvent voir/lire leurs messages. Comment cela est-il possible ?
Chaque message sur Session est chiffré de bout en bout, de sorte que les seules personnes qui peuvent lire les messages sont l’expéditeur et le destinataire des messages.
Cela est possible grâce à la cryptographie à clé publique, un système cryptographique qui utilise des paires de clés pour envoyer des messages en toute sécurité. Chaque utilisateur de Session dispose de deux clés : une clé publique et une clé privée. La clé publique est en fait son identifiant dans Session – c’est ce que les gens utilisent pour contacter les autres utilisateurs.
Les clés privées sont utilisées pour déchiffrer les messages qui sont envoyés à votre clé publique. Lorsque vous donnez à quelqu’un votre clé publique (votre ID de Session), il est capable d’utiliser un algorithme pour chiffrer un message qui ne peut être décodé qu’en utilisant la clé privée couplée à cette clé publique (ID de Session). Ensuite, vous pouvez envoyer ce message chiffré en sachant que seule une personne possédant la clé privée correspondante sera en mesure de le décoder.
Dans Session, votre clé privée est chiffrée et n’est stockée que sur l’appareil. Cette information ne quitte jamais votre appareil, de sorte que personne d’autre que vous ne peut lire vos messages.

Vous êtes basé en Australie qui est un des « Cinq Yeux ». Comment cela peut-il vous affecter et affecter la vie privée des utilisateurs de Session ?
Bien que Oxen et la Loki Foundation soient basés en Australie, l’infrastructure de Session est partout dans le monde. Le réseau décentralisé de Session est une caractéristique importante pour éviter la surveillance. Les serveurs de Session ne sont pas seulement basés en Australie, et nous ne contrôlons pas les serveurs utilisés par Session. Au lieu de cela, le réseau est entièrement géré par la communauté Oxen qui fournit l’infrastructure du réseau.

Session est également open-source, ce qui signifie que tout le monde peut aller lire le code de l’application et s’assurer que nous ne faisons rien qui puisse mettre en danger la vie privée de nos utilisateurs. Nous avons une communauté dédiée qui analyse le code de Session, et qui lèverait le drapeau très rapidement si quelque chose de suspect apparaissait dans le code de l’application.

L’Australie dispose d’une législation assez solide qui donne au gouvernement le pouvoir d’obliger les sociétés de logiciels à modifier le code pour des utilisateurs individuels spécifiques. Cependant le gouvernement australien ne peut rien faire pour nous obliger à compromettre la vie privée des utilisateurs sans avoir au préalable un accès physique ou un contrôle total sur l’appareil de cette personne – ce que nous ne pouvons pas faire.

Une question récurrente : votre service est gratuit. Comment pouvez-vous offrir une telle messagerie privée dans ce cas ? Comment êtes-vous financé ?
Session reçoit son financement directement de la Loki Foundation. Lors de sa création en 2018, la Fondation a organisé une collecte de fonds, dont une partie a été consacrée au développement de l’application Session dans le cadre de la mission de la fondation qui consiste à défendre la vie privée dans le monde numérique.

Un grand merci de la part du « Média en 4-4-2 » à Simon Harman pour cet entretien et sa disponibilité !

Si on résume, l’application Session :
– est gratuite et open source
– fonctionne sur Android, iOS, macOS, Windows et Linux
– propose des échanges (textes, fichiers, images et vidéos) chiffrés de bout en bout
– n’utilise aucun serveur propre ou tiers pour fonctionner
– ne demande qu’un nom d’utilisateur et un mot de passe pour fonctionner
– sécurise les communications via le réseau Tor
– appels vidéos à venir…

Liens utiles :
site officiel de Session
page de téléchargement

Thierry pour « Le média en 4-4-2 »

partage cet article !