Oversec est une application Android qui permet d’ajouter une couche de chiffrement à n’importe quelle application mobile : SMS, WhatsApp, Gmail, Instagram, Facebook, Viber, Skype, etc. Plus fort, l‘appli propose de masquer le véritable contenu par du texte aléatoire ou fantaisiste.
Vous le savez bien, lorsqu’il s’agit de chiffrer des communications, il faut que les correspondants utilisent le même logiciel au protocole pour que cela fonctionne. Cela peut décourager le plus motivé des utilisateurs puisqu’il lui faudra «convertir» ses amis et contacts à telle ou telle solution de chiffrement. Uniquement disponible sur Android, Oversec simplifie tout puisqu’il va ajouter une option de chiffrement à n’importe quelle application présente sur votre téléphone.
A vous les SMS, Facebook, Hangouts, Skype, ou Gmail entièrement chiffrés ! Alors certes, ici aussi vos correspondants devront posséder Oversec, mais ils pourront l‘utiliser avec toutes les applications en leur possession.
Une appli pour chiffrer toutes les applications
Si vous utilisez une appli pour converser avec vos amis, une autre pour vos activités sportives et une autre pour le travail, pas besoin de mettre tout le monde à l’unisson puisque Oversec n’est pas restrictif et s’applique potentiellement à chacune de vos applications. Il est même possible d’afficher de faux textes qui s’afficheront en clair sur le réseau pour détourner l‘attention des espions/pirates ! Comme il s’agit d’une appli un peu spéciale, tout n’est pas parfait ! Premièrement il vous faudra un appareil sous Android 4.3 (au moins) mais le root n’est pas nécessaire. Attention aussi à la batterie car les cycles de chiffrement / déchiffrement sont particulièrement lourds pour le système, surtout avec PGP (voir plus loin). Enfin, il existe des petits soucis avec certaines applis qui nécessitent des réglages particuliers.
Oversec est gratuit mais vous pouvez passer à la version payante si vous souhaitez changer l’apparence de l‘appli, si vous souhaitez chiffrer des photos ou si vous voulez paramétrer vous-même le contenu du texte leurre (voir plus loin). Les prix sont libres puisqu’il n’y a pas de vérification quant à votre déclaration. L’appli coûte donc entre 1,20 € et 119 € en fonction de votre activité : journaliste, chômeur, étudiant, entreprise…
Les chiffrements symétrique et asymétriques
Le chiffrement symétrique
Lorsqu’on parle de chiffrement symétrique, la clé est la même pour les deux interlocuteurs. On encode et on décode le message avec la même clé, cette clé est une suite binaire plus ou moins longue. Le problème avec ce type de chiffrement est la transmission de la clé. Si le canal n’est pas lui-même sécurisé, la clé peut se retrouver dans la nature et compromettre le secret. Et plus on a d’interlocuteurs, plus on a un risque de fuite.
Le chiffrement asymétrique
Pour pallier les problèmes de clé symétrique, est arrivé le concept de clés asymétriques avec deux clés distinctes, une clé privée, jamais dévoilée et une clé publique qu’il est possible d’envoyer par e-mail, SMS… L’interlocuteur n’aura qu’à chiffrer son message avec votre clé publique. De votre côté, vous le déchiffrerez avec votre clé privée que vous êtes le seul à posséder.
Les multiples facettes d’Oversec
Le lancement
Dès le lancement d’Oversec, l’appli vous prendra par la main pour l’activation. Elle va aussi vous dresser une liste de services compatibles déjà installés sur votre téléphone. Si vous comptez utiliser le chiffrement asymétrique PGP, il faudra appuyer sur le lien pour télécharger OpenKeychain. Attention, PGP ne fonctionnera pas avec les SMS.
Votre clé de chiffrement
Dans l’onglet Clés, appuyez sur le + bleu et choisissez clé aléatoire pour une meilleure sécurité. Nommez votre clé puis appuyez sur l’icône bleue pour choisir votre mot de passe. Une fois votre clé générée, vous pourrez sélectionner l’option Envoyé crypté. Trouvez un autre mot de passe pour l’envoi et sélectionnez l‘application SMS par exemple.
L’envoi de la clé
Une nouvelle fenêtre va faire son apparition. Vous devrez ici choisir si vous désirez utiliser PGP (avec un échange de clés publiques), une clé symétrique ou un simple mot de passe. Pour les e-mails la première option sera parfaite mais la seconde méthode conviendra pour une utilisation «tout terrain». Si les applications plantent ou refusent de déchiffrer vos messages malgré l’échange de clé, il faudra se contenter de la troisième option.
Le type de chiffrement
Cette dernière permet de définir un mot de passe à communiquer à votre interlocuteur. Après avoir sélectionné cette option, remplissez le nom de votre contact dans le champ (ou son adresse mail ou identifiant en fonction de l’appli que vous utilisez pour communiquer) et appuyez sur le cadenas pour envoyer votre clé. Votre interlocuteur devra alors taper votre mot de passe pour déchiffrer vos messages à venir (input required). Pour les autres méthodes, il faudra que les interlocuteurs échangent leur clés.
Communiquez chiffré !
Bien sûr le type d’authentification par mot de passe n’est pas aussi solide qu’un système de clé asymétrique (PGP) ou symétrique mais si le mot de passe est suffisamment solide et que le mode d’échange est sécurisé, il n’y a pas grand risque. Notez que pour un éventuel pirate, les échanges peuvent être fictifs. Vous verrez un calque avec vos messages puis en dessous des échanges complètement inventés par l’appli (voir ci-après).
Les autres paramètres
L’organisation des paramètres est un peu bordélique en plus de comprendre des problèmes de traduction. Lorsque vous ouvrez Oversec, vous aurez accès aux Paramètres (gestion du mode Panic, purge du cache, etc.) et à l’onglet Leurre où vous pourrez choisir quels sont les messages fictifs: du latin de remplissage pour maquettiste, l‘histoire d’Hansel et Gretel en anglais ou juste le mot Chicken répété en boucle. De quoi brouiller les pistes…
En cas de problème !
Lorsque vous êtes dans l’appli SMS ou Gmail, par exemple, un appui sur l‘icône en forme d’engrenage va vous permettre de gérer certaines options, le visuel de l’interface et l’accès au Lab. C’est ici qu’il faudra aller si vous constatez des plantages ou si l’appli refuse de déchiffrer vos messages. Pour l’appli SMS, cochez Décrypter toutes les vues et pour Gmail et Instragram, cochez Répartir l’encodage. Redémarrez votre téléphone avant de faire d’autres tentatives.