CoverDrop - Un système de messagerie sécurisé pour les applications de lecture d’actualités

 (github.com/guardian)
1 points par GN⁺ 2025-06-11 | 1 commentaires | Partager sur WhatsApp
  • Solution open source de messagerie sécurisée permettant aux utilisateurs d’applications de lecture d’actualités et aux journalistes de communiquer en toute sécurité tout en préservant leur anonymat et leur dénégation plausible
  • Tous les appareils des utilisateurs génèrent un trafic chiffré aléatoire, de sorte que même l’échange de messages ne se distingue pas sur le réseau d’un usage normal de l’application d’actualités
  • Les messages sont traités avec un double chiffrement et à taille/fréquence identiques, ce qui ne laisse pas de preuves même en cas de saisie de l’appareil
  • Repose sur une architecture complète de bout en bout comprenant application mobile, API cloud, serveurs sécurisés et client desktop pour journalistes
  • Ses atouts par rapport aux projets existants sont un développement open source transparent, des techniques cryptographiques robustes et des fonctionnalités spécialisées optimisées pour les besoins des rédactions

Présentation de CoverDrop

  • CoverDrop est un système sécurisé conçu pour permettre aux utilisateurs des applications mobiles de médias d’envoyer des messages à des journalistes de manière secrète et intraçable
  • Le système offre une forte dénégation plausible, de sorte qu’un analyste réseau ne peut pas distinguer si l’application est utilisée pour des communications sécurisées ou pour une simple consultation d’actualités

Composants principaux

  • Module intégré à l’application d’actualités : intégré à l’application mobile de l’utilisateur
  • API cloud : sert de point de contact central
  • CoverNode : ensemble de services opérant dans un environnement sécurisé
  • Application desktop pour journalistes : client PC utilisé par les journalistes

Cette architecture en 4 éléments permet d’assurer un chiffrement de bout en bout et une sécurité renforcée

Fonctionnement

  • Toutes les instances de l’application d’actualités échangent périodiquement avec le serveur de petites données chiffrées (« messages de couverture »)
  • Les véritables signalements (messages de source) sont eux aussi chiffrés et transmis exactement de la même manière que les messages de couverture ordinaires. Il est impossible de les distinguer sur le réseau
  • Tous les messages sont traités avec la même taille et la même périodicité, puis transmis et traités via des flux Kinesis
  • Sur le serveur, un premier déchiffrement et l’identification des vrais messages sont effectués, puis ceux-ci sont livrés au client journaliste sous forme de dead drop. Le padding permet de maintenir une taille uniforme du dead drop
  • Le journaliste ne peut déchiffrer au final que les messages chiffrés avec sa clé publique
  • Le stockage des messages reste chiffré en permanence, de sorte qu’en cas de saisie de l’appareil, il est impossible de prouver l’existence réelle d’une conversation
  • Lorsque le journaliste répond, la communication chiffrée et l’échange de clés s’effectuent de façon similaire

Une description plus détaillée de l’architecture et des algorithmes est disponible dans le livre blanc co-rédigé avec le département d’informatique de l’université de Cambridge

Politique de sécurité

  • La sécurité de CoverDrop est la priorité absolue
  • Le projet reconnaît qu’une sécurité parfaite est impossible et accueille les signalements des chercheurs en sécurité
  • Les questions liées à la confidentialité et à l’intégrité des messages, à l’anonymat réseau et au chiffrement à dénégation plausible constituent des axes d’amélioration continue
  • Les problèmes de canaux auxiliaires causés par d’autres éléments de l’application d’actualités intégrée sont également activement traités

Précautions d’utilisation des logiciels de chiffrement

  • CoverDrop inclut un logiciel de chiffrement
  • Il est nécessaire de respecter, selon chaque pays, les lois relatives à l’importation, à l’utilisation et à la réexportation des technologies cryptographiques
  • Classification BIS du département du Commerce des États-Unis : ECCN 5D002.C.1 (logiciel incluant du chiffrement asymétrique)
  • Cette distribution open source relève d’une exception à l’exportation (TSU, §740.13)

Licence

  • Le dépôt CoverDrop est proposé sous Apache License 2.0

À lire aussi

1 commentaires

 
GN⁺ 2025-06-11
Avis Hacker News

  • Pour ceux qui voudraient plus d’explications, le site principal https://www.coverdrop.org/ semble mieux adapté à un objectif d’information générale. Il donne l’impression que l’Official Secrets Act britannique de 1920 protégeait les contacts anonymes avec les journaux, et qu’il est regrettable que cette disposition ait disparu dans des révisions ultérieures de la loi.

  • Beaucoup d’organisations de presse utilisent déjà https://securedrop.org/, ce qui amène à se demander en quoi CoverDrop est différent et meilleur. On peut consulter le répertoire des médias pris en charge sur https://securedrop.org/directory/.

    • Le document en parle déjà, mais la différence est que SecureDrop et CoverDrop ciblent des situations légèrement différentes. SecureDrop utilise TOR, ce qui peut être détecté au niveau du réseau ou de l’appareil ; dans certains contextes, le simple fait d’utiliser TOR peut suffire à exposer l’identité d’un lanceur d’alerte. À l’inverse, avoir une application d’actualité installée paraît moins suspect. CoverDrop convient bien à une première prise de contact sans exposition, même pour des utilisateurs novices. Son trafic réseau est indiscernable de celui d’un utilisateur ordinaire, et le stockage de l’application occupe de l’espace qu’elle soit réellement utilisée ou non, ce qui lui donne un caractère déniable. En revanche, CoverDrop ne peut pas envoyer de gros fichiers comme SecureDrop, et le document propose que, si nécessaire, le journaliste explique dans un message CoverDrop comment utiliser SecureDrop en toute sécurité. Donc, si l’on a déjà une bonne culture sécurité et les compétences techniques suffisantes, aller directement sur SecureDrop peut être l’option la plus simple.

    • SecureDrop est excellent, et The Guardian prévoit de continuer à l’utiliser. La grande différence est qu’il permet d’obtenir de l’anonymat sans installer Tor Browser, et le fait d’intégrer cela dans une application d’actualité réduit fortement la barrière d’entrée pour des lanceurs d’alerte non techniques. Cela aide fondamentalement à obtenir un bon OPSEC. CoverDrop (Secure Messaging) a encore des limites : d’abord, à cause des caractéristiques du protocole, l’envoi de documents n’est pas possible, donc on ne peut transmettre que quelques Ko par jour. Pour l’instant, le journaliste peut orienter l’utilisateur vers Signal selon le contexte. Comme le journaliste évalue d’abord l’identité et la menace autour de la source avant de transmettre un numéro Signal, cela constitue une bonne étape de filtrage du risque. À l’avenir, ils réfléchissent aussi à une fonction permettant, après évaluation du risque dans le système CoverDrop, d’envoyer un lien de dépôt de documents en limitant au maximum la perte d’anonymat — par exemple en le déguisant en pièce jointe d’e-mail chiffré. Il existe un article de référence. Une autre limite est que l’anonymat du système dépend d’un usage massif de l’application ; si une petite agence de presse l’adopte, cette propriété peut s’affaiblir. Malgré cela, le simple stockage déniable représente déjà, en pratique, une avancée importante par rapport à d’autres moyens de signalement (PGP, solutions basées sur Tor, etc.). Le fait qu’il reste assez sûr même si l’on est le seul à utiliser l’application paraît aussi positif.

    • La même question figure dans la FAQ du site.

  • J’aime beaucoup cette idée ; elle rappelle les systèmes de communication secrète que la CIA avait autrefois mis en place sur des sites de fans de Star Wars et autres. The Guardian ne le dit pas explicitement, mais le fait que cette application soit elle aussi conçue comme une couverture rend l’approche du déguisement en application d’actualité vraiment excellente. J’ajouterais cependant un conseil : si l’on envisage une fuite via cette application, je serais réticent à l’utiliser sur un appareil susceptible d’être examiné à tout moment. Par exemple, il peut s’agir d’un téléphone professionnel fourni par l’entreprise. Installer l’application Guardian n’est peut-être pas un problème en soi, mais si une information majeure sort effectivement dans The Guardian lors d’une enquête interne, on peut craindre une réduction de la liste des suspects comme suit : 1. les personnes qui avaient accès à l’information au départ 2. parmi elles, celles qui ont installé l’application, qui gardent des traces de téléchargement, ou qui refusent de remettre leur appareil. Si l’on divulgue une information connue seulement d’un petit groupe, ou si l’appareil est lié à l’utilisateur réel, mieux vaut utiliser l’appareil d’une autre personne (famille, etc.) pour réduire le risque d’exposition. Le véritable objectif est de ne pas devenir suspect pendant l’enquête, et puisque l’application et les informations fournies peuvent être directement reliées à un article du Guardian, il reste difficile d’obtenir une couverture parfaite, même si la sécurité technique est bonne. Dernière recommandation : utiliser un appareil difficile à relier à soi procure une sécurité bien supérieure en cas de fuite. Comme ce point n’est pas explicité dans le modèle de menace, il pourrait y avoir d’autres victimes si ce n’est pas mieux indiqué.

    • Commentaire du responsable technique du projet : je suis d’accord sur le fait qu’il ne faut pas utiliser un téléphone professionnel, d’autant que beaucoup de ces appareils embarquent en réalité des solutions de gestion mobile (MDM) proches de spyware. Cela confirme aussi que lorsqu’un groupe d’anonymat est petit, il existe des limites qu’une approche purement technique ne peut pas dépasser. Nous faisons beaucoup d’efforts pour que l’usage de l’application reste crédiblement déniable, y compris dans un contexte de lanceur d’alerte. Les données sont séparées entre stockages « publics » et « privés », et les données privées sont protégées dans un espace chiffré à taille fixe à l’aide d’une technique de KDF développée par un membre de l’équipe de Cambridge (lien). Mais si l’appareil est infecté par un spyware, tous ces efforts deviennent sans objet. Nous avons conscience de ce risque en interne et en discutons depuis un moment, et nous prévoyons aussi d’améliorer l’explication dans la FAQ, notamment en y ajoutant plus clairement un avertissement sur l’usage d’appareils soumis à MDM. Une mise à jour est prévue prochainement. De plus, des fonctions de détection et d’alerte pour les appareils rootés ou en mode debug sont déjà intégrées. La détection du MDM reste un jeu du chat et de la souris ; le mieux est donc que l’utilisateur évite tout simplement d’utiliser un appareil professionnel.

  • Question sur le calendrier : à quand une sortie officielle, car quelqu’un voudrait l’ajouter à Obtainium.

    • Ce projet est une bibliothèque, donc on ne sait pas vraiment si elle se prête à un référencement. Ce sont plutôt les applications qui l’utilisent qui devraient être listées, et pour l’instant il semble que seule l’application Guardian soit concernée. On attend encore une réponse de l’équipe Guardian sur une éventuelle distribution en dehors du Play Store.