En mai, WhatsApp a apporté des changements controversés à ses conditions d’utilisation, forçant les utilisateurs de l’application à faire un choix: accepter ces nouvelles conditions, ou cesser d’utiliser le programme. Pour régler ce problème, un chercheur en science informatique propose de décentraliser les serveurs des services de communication électroniques, histoire d’échapper le plus possible à une éventuelle censure.
Car le problème ne touche pas uniquement les utilisateurs « ordinaires »; les journalistes et les militants craignent aussi que leurs messages ne soient interceptés ou lus à leur insu – particulièrement dans des pays où le droit à la liberté d’expression est plus flou –, et doivent eux aussi effectuer le même choix: accepter les nouvelles conditions, ou quitter WhatsApp.
« En ce moment, les entreprises d’applications de messagerie sont responsables des utilisateurs, alors que cela devrait être l’inverse », affirme Matthew Weidner, un étudiant au doctorat conseillé par des spécialistes du département de science informatique de l’Université Carnegie Mellon.
« Les utilisateurs devraient avoir la liberté de choisir la façon dont leurs messages sont gérés. »
Voilà pourquoi M. Weidner plaide en faveur de la décentralisation des services utilisés par les applications de messagerie, comme le cryptage de bout en bout, ou encore la gestion des groupes. Cela signifie que les utilisateurs ne seraient pas rattachés aux serveurs d’une seule compagnie, ce qui les place à la merci de cette dernière.
Dans le cadre de ses travaux, M. Weidner a défini un nouveau protocole de sécurité qui pourrait donner naissance à cette idée de décentralisation.
« L’idée de nos travaux consiste à donner le même niveau de sécurité aux utilisateurs, mais à permettre la création d’un réseau beaucoup plus fluide, ce qui donnerait plus de pouvoir aux consommateurs », mentionne le chercheur, qui est aussi le principal auteur des travaux. « Si votre série de messages transite par un serveur et que l’entreprise monte ses prix ou ferme ses portes, vous pourriez passer sans problème à un autre serveur. »
Au coeur du travail de M. Weidner, on trouve ce qui est appelé « continuous group key agreement » (entente de clé de groupe continue, CGKA), un protocole de sécurité existant qui permet à un groupe de personnes de rejoindre et quitter une série de messages de groupe après sa création, sans avoir besoin d’un gestionnaire de groupe de messagerie.
La CGKA permet aussi de ne pas s’inquiéter de la durée de la présence en ligne des membres du groupe.
Habituellement, les messages de groupe transitent par un seul serveur qui applique ce protocole, mais M. Weidner et ses collègues ont cherché à déterminer jusqu’à quel point il était possible d’échanger de façon sécurisée à partir de réseaux plus flexibles et décentralisés. Ils ont ainsi défini la CGKA décentralisée, ou DCGKA.
« Ce qui fait en sorte que notre étude est différente, c’est que nous travaillons dans un contexte décentralisé, où nous n’assumons pas nécessairement qu’il existe un serveur central à travers lequel faire passer les messages, et qui aide à gérer le groupe d’échange », mentionne M. Weidner.
« En fait, les utilisateurs peuvent s’envoyer des messages de la façon dont ils veulent. »
Des problèmes, là aussi
Plusieurs défis sont associés à un modèle décentralisé, précise cependant le principal auteur des travaux. Les messages peuvent être retardés ou livrés dans un ordre aléatoire, et sans autorité centrale, il n’existe aucune source unique d’authenticité. Pour résoudre ce problème, les messages sont conçus de façon précise pour avoir le même effet, peu importe l’ordre dans lequel ils sont reçus. De cette façon, même si quelque chose de rare, mais d’inhabituel, se produit, comme deux utilisateurs se retirant mutuellement d’un groupe de discussion simultanément, l’ensemble du groupe aura éventuellement accès au même résultat.
Quel impact cela aura-t-il sur les vies des journalistes ou des militants tentant de communiquer de façon sécurisée dans des pays où la liberté d’expression est menacée? Selon M. Weidner, la DCGKA offre une solution.
« Si les journalistes utilisent un serveur central utilisé par une entreprise pour communiquer, mais qu’il est bloqué ou fermé, ils pourraient passer à un serveur « autohébergé » qui se trouve physiquement dans leur domicile », mentionne M. Weidner.
« Si cela est également bloqué, ou si l’ensemble du réseau ne foncti0onne plus, ils pourraient se tourner vers un réseau maillé avec des appareils avoisinants, connectés par Bluetooth. Et même si certains messages sont retardés ou mélangés durant la transition, la DCGKA continuera de fonctionner et d’offrir des mesures de sécurité. »
