Sécurité Tutoriels

Oversec : une appli pour tout chiffrer !

Oversec est une application Android révolutionnaire qui permet d’ajouter une couche de chiffrement à n’importe quelle application mobile : SMS, WhatsApp, Gmail, Instagram, Facebook, Viber, Skype, etc. Plus fort, l’appli propose de masquer le véritable contenu par du texte aléatoire ou fantaisiste...

Vous le savez bien, lorsqu’il s’agit de chiffrer des communications, il faut que les correspondants utilisent le même logiciel ou protocole pour que cela fonctionne. Cela peut décourager le plus motivé des utilisateurs puisque lui faudra «convertir» ses amis et contacts à telle ou telle solution de chiffrement. Uniquement disponible sur Android, Oversec simplifie tout puisqu’il va ajouter une option de chiffrement à n’importe quelle application présente sur votre téléphone. À vous les SMS, Facebook, Hangouts, Skype, ou Gmail entièrement chiffrés ! Alors certes, ici aussi vos correspondants devront posséder Oversec, mais ils pourront l’utiliser avec toutes les applications en leur possession !

Une appli pour les gouverner toutes

Si vous utilisez une appli pour converser avec vos amis, une autre pour vos activités sportives et une autre pour le travail, pas besoin de mettre tout le monde à l’unisson puisque Oversec n’est pas restrictif et s’applique potentiellement à chacune de vos applications. Il est même possible d’afficher de faux textes qui s’afficheront en clair sur le réseau pour détourner l’attention des espions/pirates ! Comme il s’agit d’une appli un peu spéciale, il subsiste des ratés. Premièrement il vous faudra un appareil sous Android 4.3 (au moins), mais le root n’est pas nécessaire.

Attention aussi à la batterie, car les cycles de chiffrement/déchiffrement sont particulièrement lourds pour le système, surtout avec PGP. Enfin, il existe des petits soucis avec certaines applis qui nécessitent des réglages particuliers (voir le point 7 de notre tuto). Même si tout n’est pas parfait (comme les traductions réalisées de main de maître par un bulot atteint d’une maladie orpheline), nous considérons que ce type de programme constitue le futur du chiffrement pour les particuliers.

Gratuit mais…


Oversec est gratuit, mais vous pouvez passer à la version payante si vous souhaitez changer l’apparence de l’appli, si vous souhaitez chiffrer des photos ou si vous voulez paramétrer vous-même le contenu du texte leurre (voir le point 6 de notre tuto). Les prix sont libres puisqu’il n’y a pas de vérification quant à votre déclaration. L’appli coûte donc entre 1,20 € et 119 € en fonction de votre activité : journaliste, chômeur, étudiant, entreprise ou service gouvernemental.

Chiffrement symétrique et asymétrique

Lorsqu’on parle de chiffrement symétrique, la clé est la même pour les deux interlocuteurs. On encode et on décode le message avec la même clé. Cette clé est une suite binaire plus ou moins longue. Le problème avec ce type de chiffrement est la transmission de la clé. Si le canal n’est pas lui-même sécurisé, la clé peut se retrouver dans la nature et compromettre le secret. Et plus on a d’interlocuteurs, plus on a un risque de fuite. Pour pallier les problèmes de clé symétrique, est arrivé le concept de clés asymétriques avec deux clés distinctes : une clé privée, jamais dévoilée et une clé publique qu’il est possible d’envoyer par e-mail, SMS ou même en la chantant à tue-tête. L’interlocuteur n’aura qu’à chiffrer son message avec votre clé publique. De votre côté, vous le déchiffrerez avec votre clé privée que vous êtes le seul à posséder.

Tutoriel : Les multiples facettes d’Oversec

#1 - Lancement
Dès le lancement d’Oversec, l’appli vous prendra par la main pour l’activation. Elle va aussi vous dresser une liste de services compatibles déjà installés sur votre téléphone. Si vous comptez utiliser le chiffrement asymétrique PGP, il faudra appuyer sur le lien pour télécharger OpenKeyChain. Attention, PGP ne fonctionnera pas avec les SMS.
#2 - Votre clé de chiffrement
Dans l’onglet Clés, appuyez sur le + bleu et Choisissez Clé aléatoire pour une meilleure sécurité. Nommez votre clé puis appuyez sur l’icône bleue pour choisir votre mot de passe. Une fois votre clé générée, vous pourrez sélectionner l’option Envoyé crypté. Trouvez un autre mot de passe pour l’envoi et sélectionnez l’application SMS par exemple.
#3 - L’envoi de la clé
Une nouvelle fenêtre va faire son apparition. Vous devrez ici choisir si vous désirez utiliser PGP (avec un échange de clés publiques), une clé symétrique ou un simple mot de passe. Pour les e-mails nous vous conseillons la première option, mais la seconde méthode conviendra pour une utilisation «tous terrains». Si les applications plantent ou refusent de déchiffrer vos messages malgré l’échange de clé, il faudra se contenter de la troisième option.
#4 - Le type de chiffrement
Cette dernière permet de définir un mot de passe à communiquer à votre interlocuteur. Après avoir sélectionné cette option, remplissez le nom de votre contact dans le champ (ou son adresse mail ou identifiant en fonction de l’appli que vous utilisez pour communiquer) et appuyez sur le cadenas pour envoyer votre clé. Votre interlocuteur devra alors taper votre mot de passe pour déchiffrer vos messages à venir (Input required). Pour les autres méthodes, il faudra que les interlocuteurs échangent leur clés (voir notre point 7 en cas de problème).
#5 - Communiquez chiffré !
Bien sûr ce type d’authentification n’est pas aussi solide qu’un système de clé asymétrique (PGP) ou symétrique, mais si le mot de passe est suffisamment solide et que le mode d’échange est sécurisé, il n’y a pas grand risque. D’autant que c’est le seul mode qui a fonctionné à 100 % sur toutes les applications que nous avons testées. À vous les messages chiffrés ! Notez que pour un éventuel espion, les échanges peuvent être fictifs. Vous verrez un calque avec vos messages puis en dessous des échanges complètement inventés par l’appli (voir plus loin).
#6 - Les autres paramètres
L’organisation des paramètres est un peu bordélique en plus de comprendre des problèmes de traduction. Lorsque vous ouvrez Oversec, vous aurez accès aux Paramètres (gestion du mode Panic, purge du cache, etc.) et à l’onglet Leurre où vous pourrez choisir quels sont les messages fictifs : du latin de remplissage pour maquettiste, l’histoire d’Hansel et Gretel en anglais ou juste le mot Chicken répété en boucle. De quoi brouiller les pistes…
#7 - Un problème ?
Lorsque vous êtes dans l’appli SMS ou Gmail, par exemple, un appui sur l’icône en forme d’engrenage va vous permettre de gérer certaines options, le visuel de l’interface et d’avoir accès au Lab. C’est ici qu’il faudra aller si vous constatez des plantages ou si l’appli refuse de déchiffrer vos messages. Pour l’appli SMS, cochez Décrypte toutes les vues et pour Gmail et Instragram, cochez Répartir l’encodage. Redémarrez votre téléphone avant de faire d’autres tentatives.