Les messageries chiffrées ont des problèmes avec une restriction d'iOS 13

Mickaël Bazoge |

Plusieurs messageries instantanées ont fait part de leur difficulté à implémenter les changements apportés par Apple à une API d'iOS 13. En l'occurrence, il s'agit de l'API PushKit utilisée pour les appels VoIP ; certains éditeurs s'en servent pour chiffrer les conversations, mais aussi pour faire le plein de données.

Avec iOS 13, cette API ne servira plus qu'aux appels via internet, et c'est tout. Une restriction qui vise en premier lieu à couper le robinet à Facebook, dont on connait l'appétit gargantuesque pour les informations privées (lire : VoIP : Apple restreint une API et le siphonnage potentiel de données par Facebook).

Selon The Information, des messageries chiffrées comme Signal, Wickr, Threema et Wire ont remonté à Apple leurs problèmes avec l'API. Les éditeurs de ces apps craignent que le serrage de vis d'Apple n'ait en fait les effets inverses que ceux attendus, sachant que les solutions de chiffrement alternatives sont inférieures aux capacités de l'API PushKit. Plutôt gênant alors qu'Apple se veut le champion de la confidentialité.

Un porte-parole du constructeur a cependant indiqué qu'Apple avait entendu les difficultés liées à la nouvelle API et que l'entreprise travaillait avec les développeurs pour les aider à implémenter ces fonctionnalités. Ils ont par ailleurs jusqu'en avril 2020 pour se plier aux nouvelles règles de PushKit.

avatar Lu Canneberges | 

Aïe :/ Et pas de problème pour Telegram ?

avatar PacmanJones | 

@Lu Canneberges

Ohhhh tu insinuerais que Telegram n’est pas chiffré ? C’est pas gentil ca. Surtout vis a vis d’une messagerie soit disant sécurisé qui garde des données sur des serveurs. 😏

avatar Lu Canneberges | 

@PacmanJones

Non non, pour le coup je suis fan et fervent défenseur de Telegram malgré tout :/ Question sincère du coup

avatar Jeckill13 | 

« sachant que les solutions de chiffrement alternatives sont inférieures aux capacités de l'API PushKit »

En gros ils se plaignent auprès d’Apple que les API de chiffrage tierces sont moins performantes … et c’est la faute à Apple … ok l’API pushKit est plus performante mais ils sont surtout mécontents de ne plus avoir accès aux données.

avatar SyMich | 

En gros... vous n'avez rien compris 🤦‍♂️

avatar bubu16 | 

@Jeckill13

Non. Ils se plaignent auprès d’Apple que les restrictions apportées à PushKit dans iOS 13 les obligent à utiliser à la place des solutions de chiffrement alternatives, moins performantes que celles fournies dans cette API.

Ils utilisent aujourd’hui cette API. Des entreprises — notamment FB — ont abusées de celle ci. Apple sert la vis et ceci est un effet collatéral. Il est donc logique que les éditeurs demandent à Apple d’éviter les régressions sur ce point.

avatar Zara2stra | 

.

avatar bubu16 | 

@Zara2stra

Ben du coup merci de cette réponse argumentée et explicative qui participe de manière utile au débat...

avatar quentinf33 | 

@Zara2stra

Bah explique alors. Ouah des fois on trouve de ces réponses constructives.

avatar marc_os | 

@bubu16

Non, ils veulent continuer à « faire le plein de données » sans entraves.

avatar frankm | 

Excellent

avatar reborn | 

Ce sujet semble clair pour pas mal de monde 🤣

avatar moua | 

L’article en anglais est déjà un peu flou, faisant référence à d’autres articles du même site avec les détails techniques.
La traduction sur iGen l’est encore plus en ne reprenant pas certains points de compréhension essentiels.

Au final pas d’urgence car les apps peuvent continuer comme avant en attendant les changements d’Apple. Au prix de ne pouvoir profiter des nouveautés d’iOS 13 pour l’instant

avatar broketschnok | 

Haha 👍🏻. De plus en plus dur de siphonner les données. 

avatar marc_os | 

« certains éditeurs s'en servent pour chiffrer les conversations, mais aussi pour faire le plein de données. »

M’est avis que ce maïs est le vrai fond de l’histoire, pas le chiffrement.
En vérité ils veulent continuer à « faire le plein de données »,, ce qui est très clair !
L’histoire du chiffrement n’est qu’un leurre, et comme on le voit aux réactions, on dirait bien que ça marche. :/

avatar SyMich | 

Mais vous etes vraiment irrécupérable! 🤦‍♂️

Vous croyez vraiment que si c'était ça le problème, ils viendraient voir Apple en expliquant que les "restrictions apportées à l'API ne leur permet plus de siphonner tranquillement les données des utilisateurs"?

Si Apple les a entendus et va travailler avec eux pour revoir l'API c'est bien que c'est pour un usage légitime de l'API qu'ils sont bloqués !

avatar byte_order | 

@marc_os
Dans la liste des éditeurs qui se plaignent, y'a Signal.
Le code source de Signal est open source, tant pour le client iOS que pour le serveur d'ailleurs.

Cf https://github.com/signalapp/Signal-iOS

Signal est à ma connaissance le seul système de messagerie chiffrée de bout en bout qui soit intégralement open source, qui est donc intégralement vérifiable, dont vous pouvez contrôler vous même la partie client mais aussi la partie serveurs, y compris ne l'utiliser qu'avec vos propres serveurs à vous, sous votre contrôle, avec la version du code serveur que vous voulez.
Et il a été prouver que le protocole est bien chiffré de point à point, c.a.d. que seul l'émetteur et le récepteur sont capables de déchiffrer le contenu échangé, les serveurs ne faisant que passe-plat d'un truc indéchiffrable pour eux.

Vous croyez vraiment qu'un éditeur d'une telle messagerie chiffrée totalement open source irait se plaindre des limitations de PushKit parce que cela l'empêcherait de siphonner des données privées alors que toute sa messagerie, code client, code serveur, et protocole sont exposés à qui veut !?!

> M’est avis que ce maïs est le vrai fond de l’histoire, pas le chiffrement.
> En vérité ils veulent continuer à « faire le plein de données »,, ce qui est très clair !

On ne passe pas d'un avis fondé sur des craintes à une preuve que votre avis est la vérité et que la crainte est avérée.

Merci de ne pas transformer un légitime besoin de méfiance et de confiance limitée à une paranoïa complotiste sans la moindre début de preuve.

Le mot clé ici, c'est "preuve".
Trouvez une preuve que Signal dissimule de la collecte de données dans son système de messagerie, et là vous aurez alors de quoi argumenter sur une possible raison cachée pour râler sur des limitations de PushKit par Signal.

avatar marc_os | 

@byte_order

Ok au sujet de Signal, ceci dit, je ne suis pas journaliste, et encore moins un journaliste d'investigation. Et malheureusement il n'y en a pas non plus chez igen.fr.

Par contre je ne sais pas quelle API Telegram utilise, mais visiblement cela ne les embête pas plus que ça.

avatar byte_order | 

@marc_os

Je ne suis pas non plus journaliste.

> Par contre je ne sais pas quelle API Telegram utilise, mais visiblement cela ne les embête
> pas plus que ça.

Ben si, puisqu'ils font parti du groupe qui aimerait pouvoir utiliser PushKit mais qui ne le peut pas et doivent pour l'instant utiliser des technos alternatives qu'ils jugent eux-même moins performantes, mais qui contrairement à l'actuel PushKit, leur permettent de faire ce qu'ils ont besoin. Et comme Signal ne fait - pour les raisons évoqués ci-dessus - aucun siphonnage de données, la raison qui empêche Signal d'utiliser dès maintenant PushKit est donc ailleurs.

avatar EBLIS | 

@byte_order
"...groupe qui aimerait pouvoir utiliser PushKit..."

Qui aimerait pouvoir utiliser PushKit ou qui vont être contraint de l'utiliser au passage à iOS 13 d'où leur objection? Parce que ça ressemble plus à une obligation de l'utiliser pour être compatible avec iOS 13 d'où ma question.

J'utilise Signal et Wire et ça m'embêterait qu'ils deviennent moins sécurisés ou moins pratiques avec iOS13. J'attends de lire un article qui explique bien les pros/cons de ce kit.

avatar SyMich | 

Actuellement, ils utilisent PushKit. Mais cette API a subi tellement de restrictions dans sa version iOS13, qu'elle n'est plus utilisable pour les messageries chiffrées (Telegram, Signal, ...)
Soit Apple entend leurs besoins et revient aux fonctions qui étaient la base de l'API (en trouvant une autre façon de bloquer ceux comme FaceBook qui détournaient l'API pour d'autres usages), soit ces messageries vont devoir utiliser d'autres solutions de chiffrement avec iOS13, solutions dont ils disent qu'elles sont beaucoup moins fiables car non intégrées à l'OS.

avatar SyMich | 

"...je ne suis pas journaliste..."
Nul besoin de carte de presse pour réfléchir et se renseigner. C'est encore ouvert à tout un chacun acceptant de faire un minimum d'effort.

CONNEXION UTILISATEUR