L’application de messagerie Threema

Threema

Définition de l’application de messagerie Threema

Threema est une excellente application et aurait été l’une des meilleures applications de messagerie chiffrées si son code était open source et si elle avait une application de bureau.

L’application est bien conçue, intuitive, facile à configurer, à installer et à utiliser, elle est également disponible en version gratuite.

Même dans les situations où le serveur est compromis (ce qui est très rare), vos messages sont toujours entièrement chiffrés, ils ne sont pas stockés sur leurs serveurs et ils ne peuvent pas être lus.

L’application est idéale pour les particuliers et les entreprises qui accordent une grande importance à la sécurité et à la confidentialité des données.

Caractéristiques de l’application de messagerie Threema

• Nom : THREEMA
• Prix : 3,99 euros
• Site officiel : https://threema.ch/en
• Plates-formes : Android, iOS, Windows Phone, Web
• Pays d’origine : Suisse
• Messages éphémères : Non
• ID contient des informations personnelles : Non
• Foolproof (tous les messages sont chiffrés) : Oui
• Puddle Test : Données non conservées
• Hammer Test : Données non conservées
• Vérification des contacts : Oui

Ce que Threema fait, mais pas Signal

• Vous avez une identification anonyme, qui n’est pas liée (mais qui peut être connectée) à un numéro de téléphone. Vous pouvez donc synchroniser votre carnet d’adresses, mais en même temps vous pouvez donner à un étranger la possibilité de vous contacter sans donner votre numéro
• Les autorisations dans Threema pour Android sont modulaires, de sorte que vous pouvez l’installer sans accorder d’autorisation pour le microphone et la caméra. Si vous faites confiance à Threema, vous pouvez installer le QR-scanner et le plugin de messagerie vocale
• Vous pouvez utiliser Threema sur des appareils sans carte SIM, même sans avoir de numéro de téléphone
• En groupes, vous pouvez créer des sondages
• L’application peut être verrouillée avec un code PIN, un mot de passe ou avec votre système de verrouillage android (empreintes digitales)
• Vous pouvez scanner et générer des codes QR vers/depuis un message
• Options de confidentialité verrouillables : indicateur de lecture, indicateur d’écriture
• Envoyer des fichiers de tout type jusqu’à 20MB
• Paramètres détaillés de notification par chat, exportation des chats dans un zip chiffré

Threema : les fonctions de cette messagerie sécurisée

Threema est une abréviation : « EEEMA« , qui signifie « End-to-End Encrypted Messaging Application« .

Les trois « E » étaient un peu lourds, alors c’est devenu « Threema ».

Threema utilise la bibliothèque de cryptographie open source de confiance NaCl pour le cryptage.

Les clés de cryptage sont générées et stockées en toute sécurité sur les appareils de l’utilisateur afin d’empêcher tout accès ou copie par des moyens détournés.

Nous avons soulevé quelques problèmes concernant Signal, et pour être juste, nous avons également quelques plaintes concernant Threema.

Un open source contesté

En dehors du cryptage proprement dit, le reste de Threema n’est pas open source. C’est généralement un gros problème de confiance, mais il faut préciser que le code source de Threema a fait l’objet d’un audit indépendant.

Un autre problème se pose lorsque vous avez créé un groupe mais que vous souhaitez changer d’appareil par la suite. Comme le cryptage se fait uniquement sur votre appareil, vous ne pourrez pas continuer avec ce groupe sur un autre appareil. Même si vous passez à un autre téléphone (cette option existe), cela ne vous aidera pas.

Le problème de la notification push sur les applications de messagerie

Threema partage également la conviction de Signal selon laquelle les services Google sont la solution idéale pour les notifications push. Cependant, contrairement à Signal, Threema propose un moyen de contourner ce problème.

Dans les paramètres / dépannage, vous pouvez sélectionner Sondage et Intervalle de sondage (5/15 sur 30 minutes).

Threema interrogera alors les messages du serveur comme pour un sondage IMAP sans push. Vous continuerez de recevoir des notifications presque instantanées.

Prix de Threema

Threema coûte 4 euros. Vous n’êtes pas obligé de vous fier à Google Play ou à la boutique Amazon car vous pouvez acheter l’APK directement à la boutique Threema avec Bitcoin.

Lorsque vous lancez Threema pour la première fois, vous déplacez votre doigt sur l’écran pour générer votre identifiant Threema à 8 chiffres. C’est un type d’identifiant vraiment « décentralisé » car il est généré loin de tout serveur.

Pour vous inscrire à Threema, vous n’avez besoin ni de numéro de téléphone ni d’adresse électronique, une caractéristique unique qui permet aux utilisateurs de rester 100% anonymes.

Si vous le souhaitez, il est possible d’entrer votre adresse électronique et votre numéro de téléphone dans votre profil, ce qui permettra à vos amis de vous retrouver. Cependant, nous vous recommandons de ne vous servir que de l’identifiant Threema.

Pour garantir une sécurité maximale, la connexion entre l’application et les serveurs et celle entre les parties qui communiquent entre elles sont chiffrées séparément. La première est particulièrement importante car toute personne qui capture des paquets réseau (sur le wifi public par exemple) ne peut pas savoir qui envoie des messages à qui.

Un contrôle total

Les utilisateurs ont un contrôle total sur l’échange des clés, le cryptage et le décryptage restant uniquement sur leur appareil.

Les opérateurs de serveur ou toute autre partie sont donc incapables de décrypter les messages.

Force du cryptage

Le cryptage asymétrique à base d’ECC utilisé par Threema a une puissance de 255 bits.

Selon une estimation du NIST, cela correspond au moins à la puissance fournie par le RSA 2048 bits.

Un code d’authentification de message (MAC) de 128 bits est également ajouté à chaque message pour détecter les manipulations et falsifications.

Secret de transmission

Threema assure le secret de transmission sur la connexion réseau (et non sur la couche de bout en bout).

Le client et le serveur négocient des clés aléatoires temporaires, qui sont uniquement stockées dans la mémoire vive et remplacées à chaque redémarrage de l’application.

Un attaquant qui a capturé le trafic réseau ne pourra pas le décrypter même s’il découvre après coup la clé secrète à long terme du client ou du serveur ».

Pas d’enregistrement de vos messages

Chaque message est supprimé du serveur de Threema dès qu’il est arrivé sur votre appareil. Là encore, le cryptage s’effectue sur votre appareil. Cela fait de Threema l’un des meilleurs, sinon le meilleur, des services de messagerie.

Vous pouvez également protéger votre application actuelle avec un code PIN ou, sur l’iOS, avec le Touch ID. En outre, vous choisissez un mot de passe de cryptage qui est utilisé pour chiffrer les messages sur votre appareil.

Tout cela permet d’éviter efficacement la collecte et l’utilisation abusive de vos informations personnelles, y compris les métadonnées.

La fonction « sondage »

Une fonction intéressante est la fonction Sondage. Elle vous permet de créer des sondages uniques et permet à votre groupe de voter sur certaines choses.

Il existe une option pour les messages vocaux, mais il faut garder à l’esprit que Threema ne propose pas de fonction d’appel.

Désactiver les indicateurs de lecture

Pour plus de confidentialité, Threema vous permet de désactiver les indicateurs « message lu » et « saisie ». En d’autres termes, si vous ne voulez pas que votre interlocuteur voie que vous avez lu son message ou que vous êtes en train de taper une réponse, ces indicateurs ne s’afficheront pas.

Le blocage de membres

Vous pouvez également mettre en sourdine les notifications individuelles (par membre) ou désactiver les notifications de groupe.

Vous pouvez bloquer entièrement un membre et ne plus jamais recevoir de notifications ou de textes de sa part.

Vous pouvez ajouter des membres et supprimer des membres d’un groupe à tout moment en tant qu’administrateur du groupe.

Sachez quel interlocuteur vous avez rencontré en vrai

Entrez l’ID Threema de n’importe qui, puis vous pouvez commencer à lui envoyer des SMS.

À côté de vos deux noms, il y aura un point rouge qui signifie qu’aucun de vous n’est vérifié. Si vous vous rencontrez plus tard dans la vie réelle, vous pouvez scanner les codes QR de l’autre et les points rouges deviennent verts pour indiquer la vérification.

Threema a également la possibilité de bloquer certains des contacts qui vous envoient des SMS. En d’autres termes, si quelqu’un connaît votre identifiant Threema mais que vous n’avez jamais échangé le code QR ou une empreinte de clé, il ne pourra pas vous envoyer de SMS.

Si vous saisissez son identifiant manuellement et qu’il saisit le vôtre manuellement, il pourra vous envoyer un SMS car vous avez tous deux échangé votre identifiant (non vérifié par un point rouge). Cela permet également d’éviter une attaque de type  » man-in-the-middle « .

Vous pouvez sélectionner une option permettant à toute personne connaissant votre identifiant Threema de vous envoyer un SMS. Cette option est très pratique si vous souhaitez publier votre identifiant sur un site web.

Vidéo : Création de son ID Threema

La suppression des messages

Pour donner encore plus de confiance aux utilisateurs, les serveurs de Threema sont situés en Suisse. Mais même si les serveurs sont compromis, il est rassurant de savoir que vos communications cryptées ne pourraient toujours pas être lues.

Vos messages ne sont sur le serveur que jusqu’à ce qu’ils soient livrés à votre appareil. Après cela, ils sont supprimés.

Si Threema devait être totalement open source, ce serait l’application de messagerie ultime. Cependant, nous devons nous fier au rapport de l’auditeur. Il y a en fait 2 équipes indépendantes qui ont examiné les affirmations de Threema et le code source.

Conclusion

La version actualisée de Threema

Threema est un outil bel et bien formidable.

Ils ont récemment sorti une nouvelle version avec une fonction amusante « d’accord ou pas d’accord » pour vos messages entrants.

Les groupes de discussion sont portés à 50 membres et si vous participez à plusieurs discussions en même temps, vous pouvez désactiver les notifications pour une ou plusieurs de ces discussions.

Des sons de notification individuels pour chaque groupe de discussion sont également disponibles.

2020 : Threema rejoint les rangs des applications de chat E2EE qui prennent en charge les appels vidéo cryptés

Parmi les autres applications de chat E2E qui prennent en charge les appels vidéo cryptés, citons Signal, WhatsApp, Wickr et Wire.

L’application de messagerie instantanée sécurisée Threema a déployé en 2020 une prise en charge des appels vidéo cryptés de bout en bout (E2EE) pour ses applications mobiles.

La mise à jour place l’application dans l’élite des applications de messagerie instantanée qui prennent en charge les appels vidéo cryptés sécurisés.

Parmi les applications de messagerie instantanée sécurisées E2EE qui ne prennent pas encore en charge cette fonctionnalité, citons Keybase (récemment acquise par Zoom) et Telegram (qui a promis de la mettre en place d’ici la fin de 2020).

Selon Threema, la nouvelle fonction d’appel vidéo E2EE est basée sur le protocole de streaming WebRTC, la même technologie qui est également incluse dans tous les principaux navigateurs actuels et qui est également à la base de nombreuses applications de streaming vidéo.

La différence est que la mise en œuvre de Threema chiffre les appels vidéo entre les appareils des utilisateurs, en utilisant des clés de cryptage stockées localement.

Threema affirme que tous les appels vidéo E2EE sont établis directement entre les utilisateurs, de sorte que le trafic circule entre les deux utilisateurs directement, sans passer par les serveurs de Threema.

La seule situation dans laquelle les serveurs de Threema sont impliqués est lorsque les utilisateurs de Threema commencent un appel avec un utilisateur non vérifié, un cas particulier où la connexion est établie par le biais du serveur de Threema afin d’éviter que l’adresse IP d’un utilisateur vérifié ne soit exposée à des contacts douteux.

Le chiffrement des métadonnées

Threema a également déclaré que sa nouvelle fonction d’appel vidéo E2EE ne chiffre pas seulement le flux vidéo lui-même, mais aussi ses métadonnées ; une décision de conception qui empêche les observateurs du réseau de déduire tout type de détails sur l’appel vidéo.

Comme les entreprises comme Threema sont toujours considérées avec méfiance lorsqu’elles annoncent de nouvelles fonctionnalités de cryptage, l’équipe de développement de Threema a également publié les détails techniques des protocoles de cryptographie de la fonctionnalité d’appel vidéo.