Utilisez-vous la messagerie sécurisée TextSecure sur votre appareil Android ? Si oui, êtes-vous sûr qu’il s’agit réellement d’une messagerie sécurisée ?

Les développeurs d’Open WhisperSystems sont les auteurs de l’application TextSecure, disponible gratuitement pour Android elle permet le chiffrement point à point lors de l’échange de messages. Son objectif est simple : protéger votre vie privée.

Plus d’un million d’utilisateurs se sont laissés tenter par cette application et l’ont téléchargée depuis le Play Store de Google.

TextSecure analysé par des chercheurs en sécurité

Une équipe constituée de six chercheurs en sécurité a réalisé un audit de l’application, dans le but de vérifier la sécurité du protocole utilisé. Ces chercheurs sont Tilman Frosch, Christian Mainka, Christoph Bader, Florian Bergsma, Jorg Schwenk et Thorsten Holz

D’après eux, TextSecure utilise un protocole de chiffrement complexe qui est notamment intégré à CyanogenMod (une version alternative d’Android), malgré cela, le protocole contient une vulnérabilité “Unknow Key-Share Attack (UKS)“.

Pour expliquer la vulnérabilité, un exemple est fourni :

“Bart veut piéger son ami Milhouse. Bart sait que Milhouse l’invitera à sa fête d’anniversaire en utilisant TextSecure. Il commence l’attaque en remplaçant sa propre clé publique avec la clé publique de Nelson et laisse Milhouse vérifier l’empreinte de sa nouvelle clé publique. Ceci peut être justifié, par exemple, en prétendant avoir un nouveau dispositif et ayant simplement effectué un réenregistrement… Si Milhouse invite Bart à sa fête d’anniversaire, ensuite Bart peut seulement transmettre ce message à Nelson qui va croire que ce message est envoyé par Milhouse. Ainsi, Milhouse croit qu’il a invité Bart à sa fête d’anniversaire, mais en fait, il a invité Nelson.”

L’équipe de sécurité a averti les développeurs de TextSecure sur une solution possible pour corriger cette vulnérabilité dans l’application.

Source