DMA : la question sensible de l'interopérabilité des messageries
L'accord autour du Digital Markets Act (DMA) interroge. Ce texte sur lequel le Conseil et le Parlement européen se sont mis d'accord récemment implique de sérieux changements dans les manières de fonctionner des géants du web. Entre autres, il demande à ce que les grands services de messagerie (WhatsApp, Facebook Messenger ou encore iMessage) soient compatibles entre eux et deviennent interopérables avec les plus petits services. Si on peut saluer l'idée, l'aspect technique amène de nombreuses questions, notamment dues au fait que certaines de ces applications sont chiffrées de bout en bout.
The Verge a interrogé quelques spécialistes en informatique et en sécurité, qui se sont montrés plus que réservés sur la faisabilité technique du projet. « Il est tout simplement impossible de concilier deux architectures cryptographiques différentes. L'une ou l'autre des parties devra apporter des changements majeurs » affirme Steven Bellovin, professeur de l'Université de Colombia.
Un second expert appuie sur le fait que les grandes entreprises n'ont pas coopéré pour créer leurs messageries, et que certains aspects de leurs produits sont donc très différents. De plus, les identifiants entre les apps ne sont pas communs, ce qui va rendre difficile la communication entre tous les services. « Comment dites-vous à votre téléphone à qui vous voulez parler, et comment le téléphone trouve-t-il cette personne ? » s'interroge Alex Stamos, un ancien responsable de la sécurité chez Facebook.
Pour eux, l'interopérabilité s'annonce compliquée. Plusieurs scénarios peuvent être envisagés : abandonner totalement le chiffrement de bout en bout, ou bien déchiffrer un message pour le re-chiffrer dans un format compréhensible par l'autre application. Une solution qui pose problème, étant donné qu'elle crée une nouvelle zone de vulnérabilité.
Matthew Hodgson du projet open source Matrix avance plusieurs hypothèses : les messageries pourraient effectuer ce recâblage en local sur la machine, passer à un protocole de chiffrement universel ou encore avertir l'utilisateur quand sa conversation n'est pas chiffrée de bout en bout.
Pour en savoir plus, il faut désormais attendre les précisions techniques du texte européen. Celui-ci doit encore être finalisé et ne devrait pas être mis en pratique avant 2023. On sait qu'il n'enchante pas les entreprises, au premier rang desquelles Apple : les discussions avec Google par rapport à une ouverture des iMessages remontent à 2013 et n'ont jamais rien amené de concluant. De son côté, Meta a pour projet d'unifier ses messageries depuis plusieurs années, mais n'a toujours rien présenté de concret. Les ingénieurs du groupe sont face à un sacré challenge technique, et on voit mal comment ils pourraient ajouter le chiffrement de bout en bout avec des messageries externes alors qu'ils peinent déjà à le raccorder à des applications internes.
Texte mort né j’espère.
@shaba
Mais pourquoi? Autant je ne vois pas comment ça pourrait fonctionner (identifiants différents, fonctions différentes, cryptage différent, multiples options pour joindre un même interlocuteur, etc.), autant je trouverais ça bien de pouvoir contacter quelqu’un qui utilise WhatsApp alors que je n’utilise que iMessage et Signal.
@DahuLArthropode
Je parle du texte dans son ensemble. Je ne vois pas pourquoi on impose ça aux utilisateurs Apple alors que la majorité d’entre eux choisissent la marque pour son écosystème fermé et donc sûr. Apple ne représente même pas 20% de PDM par ailleurs.
On dit souvent qu’on peut ne pas utiliser les stores alternatifs mais ce n’est pas si simple, certaines apps ne seront peut-être plus disponibles sur l’AppStore ce qui compromet l’écosystème dans son ensemble. Et niveau vie privée et sécurité c’est moyen également.
@shaba
"Je ne vois pas pourquoi on impose ça aux utilisateurs Apple alors que la majorité d’entre eux choisissent la marque pour son écosystème fermé et donc sûr."
Il est ici question de l’interopérabilité des messageries. On peut très bien être contre le sideloading et vouloir converser avec des amis hors de l’écosystème d’Apple. Mieux: ça m’éviterait de devoir avoir un compte Messager, un WhatsApp, etc.
@DahuLArthropode
C’est techniquement extrêmement compliqué et remet en question le principe du chiffrement.
@shaba
Je me cite: « Autant je ne vois pas comment ça pourrait fonctionner (identifiants différents, fonctions différentes, cryptage différent, multiples options pour joindre un même interlocuteur, etc.) (…) »
C’est techniquement extrêmement compliqué et remet en question le principe du chiffrement.
Non les emails sont interopérables et chiffrables de bout en bout (et il n'y a même pas besoin que Free et Orange se mettent d'accord sur le chiffrement pour que ça marche par exemple, il suffit que l'expéditeur et le destinataire se mettent d'accord).
Comme toujours les concernés vont utiliser l'arme consistant à dire que si le projet va au bout ça va être la fin du monde donc il faut abandonner le projet. Mais la réalité est tout autre.
@bibi81
Oui, sauf que se mettre d’accord entre utilisateurs, donc avant l’envoi d’un message instantané, cela n’a plus vraiment rien d’instantané… et ça devient encore plus compliqué en cas de conversation de groupe. Imagine un groupe de 10 personnes, par exemple, qui doivent se mettre d’accord au préalable pour que leurs conversations soient chiffrées… c’est en complet désaccord avec le principe d’instantanéité, non ?
Le mail est différent en cela. C’est pas pour de la conversation.
Oui, sauf que se mettre d’accord entre utilisateurs, donc avant l’envoi d’un message instantané, cela n’a plus vraiment rien d’instantané… et ça devient encore plus compliqué en cas de conversation de groupe. Imagine un groupe de 10 personnes, par exemple, qui doivent se mettre d’accord au préalable pour que leurs conversations soient chiffrées… c’est en complet désaccord avec le principe d’instantanéité, non ?
Bah non, quand tu donnes ton identifiant à quelqu'un tu donnes ta clé de chiffrement avec et le problème est résolu. Comme pour le mail quoi !
@shaba
"son écosystème fermé et donc sûr. "
Magnifique sophisme.
mais donc est ce que Whatsapp récolera mes données si je discute avec quelqu’un qui utilise cet app, et moi iMessage? Est ce que je pourrait savoir de quelle appli mon correspondant me contacte, et est ce que je pourrai bloquer les requêtes de certaines plateformes?
En plus du challenge technique il y a aussi le respect de la vie privée à considérer.
@ShokoLaNoir
Je comprends bien. Note que le problème existe déjà: quand tu es dans les contacts de quelqu’un, si toutes ses données sont pompées, on récupère ton adresse, courriel, téléphone, âge, conjoint, le code de ta porte d’entrée et le petit sobriquet ridicule dont on t’affuble depuis l’école primaire.
@shaba
trop tard
@apple fan
Non pas trop tard. Il n’a pas été adopté et peut encore être profondément revu.
@shaba
même si je suis d'accord avec toi, ce texte ne doit pas être mis en application du moins pas telle qu’il est écrit actuellement.
Mais ça fait longtemps que l'ue veux imposer sa loi à ces entreprises américaines.
@shaba
La partie messageries unifiées c’est sur
Je mise sur une coquille vide qui fera office d’interface sans toucher à la nature de messagerie.
Ainsi, l’utilisateur lambda n’y verra que du feu sur les fausses conséquences du chgt d’interface alors que l’averti saura…
Au moins y’aura le sideloading ce qui est cool
A part rajouter une couche de conversion, je pense que ça va être compliqué.
Mais j'imagine que ça arrange bien certains gouvernements de faire sauter indirectement le chiffrement de bout en bout...
Pour ma part j’y vois une volonté de l’UE d’imposer le RCS comme un standard.
De la même manière que dans l’application Messages d’Apple on échange en sms avec tout le monde et en iMessage avec les appareils iOS, je vois bien l’obligation que toutes les apps supportent le RCS en leur disant : entre applications identiques vous pouvez utiliser votre protocole mais entre applications différentes c’est le RCS.
Et pour Apple ce sera une nouvelle couleur de bulles dans les conversations 😁
@maxetlu
Et pourquoi le RCS? Pourquoi pas un autre protocole? Suffit que personne ne se mette d'accord sur le protocole pour que ça devienne vite compliqué.
Si l'UE voulait pousser le RCS, il aurait fallu le mentionner dans le texte de loi...
@fousfous
Parce que le RCS est un standard (pas les autres) déjà en place et est présent sur la grande majorité des smartphones android en vente ?
Ensuite il est bien écrit dans l’article que des précisions techniques suivront. Ça paraît logique d’indiquer la direction dans un premier temps puis dans un deuxième temps de préciser comment faire.
Et enfin ce n’est que mon avis …
@maxetlu
Si ce n'est que sur android, de n'est pas un standard... Sinon dans ce cas je peux dire que iMessage est un standard car c'est sur tous les appareils iOS...
@fousfous
?? Ça peut être un standard, reconnu par un organisme d’accréditation de normes/protocoles mais n’est pas forcément utilisé partout.
@Ios_What a joke
En effet, mais rien n'est proposé justement.
@fousfous
Combien de part de marche pour iOS ? Pour android ?…
@armandgz123
Si tu pars de ce principe, alors l'Europe devrait imposer l'usage de chromium pour les navigateurs (remarque en pratique c'est presque le cas).
@fousfous
Pourquoi ?
@ fousfous:
Parce qu'ils veulent laisser le choix aux acteurs, le texte n'est pas monolithique et est appelé à évoluer.
Mais si ces acteurs traîne la patte, une injonction genre obligation du RCS, vous avez trois mois après c'est 10% de votre CA. Tu vas voir comment ces acteurs qui chouinent que "holala ça va pas être possible" vont trouver une solution en moins de temps qu'il n'en faut pour le dire.
@debione
Enfin une solution précipitée vue la complexité technique ça me semble bien dangereux.
L'interoperabilite des messageries ça m'arrangerai pour qu'on arrête de me demander d'installer whatsapp mais d'un point de vue technique ça me semble bien compliqué.
@ fousfous
Tu veux dire que ces entreprises n'auraient pas en leur sein les meilleurs ingénieurs du monde? Perso je pense que si, et perso je pense que si 10% du CA peut partir en amendes, des solutions ils vont en trouver, alors ça couinera , c'est sur, comme cela a toujours couiner dans tous les secteurs quand le politique n'agit en leur pure faveur. Mais pour nous, chouette, et c'est bien le but.
@debione
« Mais si ces acteurs traîne la patte, une injonction genre obligation du RCS, vous avez trois mois après c'est 10% de votre CA. Tu vas voir comment ces acteurs qui chouinent que "holala ça va pas être possible" vont trouver une solution en moins de temps qu'il n'en faut pour le dire. »
Mon dieu, quand on pense que tu perds ton temps à être serveur dans un restaurant, alors que tu aurais pu créer une boite de conseils pour résoudre les problèmes des grosses boîtes en 3 mois ! Si c’est pas malheureux ce gâchis de talents !!
@maxetlu
Tout à fait
@maxetlu
+1
Il manque un sujet… le partage d’info… exemple… un service de messagerie US et l’autre Chinois… tout le monde se partage joyeusement les données… peu de chance que cela passe..
@David_P
Qu’est ce qui t’empêche aujourd’hui de partager des infos dans des sms/mms en direction de la Chine?
@Ios_What a joke
Rien… les deux pays peuvent lire
Si tu utilises WhatsApp.. les us.. peuvent lire
Si tu utilises WeChat.. la chine peut lire..
Ce sont des exemples…
Mais ce système permet de savoir un minimum ce qu’il se passe..
si les deux messageries ont leurs serveurs reliés, on se retrouve avec le partage des infos.
Beaucoup de pays interdises des messageries pour cela.
Rester sur iMessages et envoyer des messages sur WhatsApp sans devoir télécharger cette 💩 que tous le monde utilise, ça me convient du coup 🤔😁
Vu la complexité voire l’impossibilité d’une réelle interoperabilité des différentes messageries (technique, financière, temporelle), cela va se terminer par un choix à minima, un plus petit dénominateur commun, en comitologie européenne (comité d’experts proches des industriels, des représentants des états (avec la aussi leurs intérêts propres) sous la supervision d’un représentant de la CE chargé lui de s’assurer que les décisions prises restent dans les clous de la directive votée).
Pour ceux qui vantent le RCS, protocole surtout poussé par les opérateurs (ils ont perdu la main sur les messageries au profit de FaceBook, Google et Apple principalement et essaient de la reprendre par tous les moyens), rappelons que celui-ci n’est pas chiffré de bout en bout. Google a certes rajouté une surcouche de chiffrement dans son jardin qu’est sa messagerie Messages. Mais ne concerne uniquement celle-ci, et en 1 to 1.
@vincentn
Je me demande comment les français d’Olvid vont s’y prendre.
Le seul problème qui sera en plus c’est que l’ensemble des instigateurs vont vouloir proposer leurs solutions.Ce qui poussera l’Union européenne à obliger son propre protocole 😌
@Insomnia
un truc ouvert opensource et deja standard, genre RCS ;) ?
@raoolito
Le RCS n’est pas chiffré de bout en bout …
@Baptiste_nv18
Si c’est possible https://www.igen.fr/android/2020/11/google-prepare-le-chiffrement-de-bout-en-bout-de-rcs-chat-119113 😉
@raoolito
Sûrement 😌 chez android on sera déjà bien loti 🤣
https://matrix.org/
L’intégration du rcs dans l’app message d’iOS/macos je dis oui.
La compatibilité direct avec whatsapp ou Facebook messenger pitié non.
Ok pour linteroperabilité, mais pourquoi ne pas promotionner aussi les services comme Olvid, messagerie sécurisée française, 0 données collectées et open source…
Chouette, le retour d’Adium !
en vrai, à froid, j'ai envie de dire : si on veut qu'une application soit compatible avec une autre, il faut donner ses ID à cette application en question via des API. Une application de message doit s'enregistrer sur les serveur de l'éditeur pour recevoir un certif pour valider l'authenticité de l'apps et tu fais tout transité par des API.
Genre, si personne lambda A veut converser avec ses amis sur messenger via iMessage, il doit rentrer dans les parametre de l'application ses ID facebook/messenger. Puis après à faire les API pour que ça marche.
je ne dis pas que cela est simple hein. surtout niveau sécurité, on n'y est pas. A moins de passer par une solution commune à tous, ce qui est tout simplement impossible. Où alors, chaque Application embarque la solution de chiffrement du voisin. Bonjour le bordel.
On va certainement finir à ce que que chaque Application propose son lot d'API pour se connecter à son service et impose a la solution concurrence d'implémenter tour cela dans son application avec la solution de chiffrement propre à chacun.
J'ai pas l'impression que techniquement, cela soit impossible. Très compliqué, absolument. Mais c'est juste parce que chacun reste dans son pré que personne n'a bossé sérieusement sur une solution genre Apple avec iMessage.
mais je trouverais cela cool si ça se fait. Je ne pourrais plus que me servir de message pour tout avoir centralisé.
bref, c'est en tout cas une très bonne chose, avec le paiement alternatif + l'ouverture obligatoire du NFC pour Apple + possibilité de DL depuis un autre store, on va sur quelque chose de vraiment cool et dans une bonne direction. Plus de choix pour l'utilisateur final.
Pages