High Tech

Une nouvelle application aide les Iraniens à cacher les messages à la vue de tous

Un graffiti anti-gouvernemental qui se lit en farsi
Agrandir / Un graffiti anti-gouvernemental qui dit en farsi « Mort au dictateur » est pulvérisé sur un mur au nord de Téhéran le 30 septembre 2009.

Getty Images

Au milieu d’un gouvernement toujours plus nombreux Contrôle, surveillance et censure d’Internet en Iran, une nouvelle application Android vise à donner aux Iraniens un moyen de s’exprimer librement.

Nahoft, qui signifie « caché » en farsi, est un outil de cryptage qui transforme jusqu’à 1 000 caractères de texte farsi en un fouillis de mots aléatoires. Vous pouvez envoyer ce mélange à un ami via n’importe quelle plate-forme de communication (Telegram, WhatsApp, Google Chat, etc.), puis il l’exécute via Nahoft sur son appareil pour déchiffrer ce que vous avez dit.

Publié la semaine dernière sur Google Play par United for Iran, un groupe de défense des droits humains et des libertés civiles basé à San Francisco, Nahoft est conçu pour aborder de multiples aspects de la répression d’Internet en Iran. En plus de générer des messages codés, l’application peut également crypter les communications et les intégrer imperceptiblement dans des fichiers image, une technique connue sous le nom de stéganographie. Les destinataires utilisent ensuite Nahoft pour inspecter le fichier image de leur côté et extraire le message caché.

wired logo

Les Iraniens peuvent utiliser des applications cryptées de bout en bout comme WhatsApp pour des communications sécurisées, mais Nahoft, qui est Open source, a une fonctionnalité cruciale dans sa poche arrière lorsque ceux-ci ne sont pas accessibles. Le régime iranien a imposé à plusieurs reprises pannes Internet quasi-totales dans certaines régions ou dans tout le pays, y compris pour une semaine complète en novembre 2019. Même sans connectivité, cependant, si vous avez déjà téléchargé Nahoft, vous pouvez toujours l’utiliser localement sur votre appareil. Entrez le message que vous souhaitez crypter et l’application crache le message farsi codé. À partir de là, vous pouvez écrire cette chaîne de mots apparemment aléatoires dans une lettre, ou la lire à un autre utilisateur de Nahoft par téléphone, et ils peuvent la saisir manuellement dans leur application pour voir ce que vous essayiez vraiment de dire.

« Quand Internet tombe en panne en Iran, les gens ne peuvent pas communiquer avec leurs familles à l’intérieur et à l’extérieur du pays, et pour les militants, tout s’arrête brutalement », a déclaré Firuzeh Mahmoudi, directeur exécutif de United for Iran, qui a vécu la crise iranienne de 1979. révolution et a quitté le pays quand elle avait 12 ans. « Et de plus en plus, le gouvernement s’oriente vers un filtrage en couches, interdisant différentes plateformes numériques et essayant de trouver des alternatives pour les services internationaux comme les médias sociaux. Cela n’a pas l’air génial; c’est la direction que nous ne voulons certainement pas voir. C’est donc là que l’application entre en jeu.

L’Iran est un pays très connecté. Plus de 57 millions de ses 83 millions de citoyens utilise Internet. Mais ces dernières années, le gouvernement du pays s’est concentré sur le développement d’un réseau massif contrôlé par l’État, ou intranet, connu sous le nom de « réseau national d’information » ou SHOMA. Cela donne de plus en plus au gouvernement la possibilité de filtrer et de censurer les données, et de bloquer des services spécifiques, des réseaux sociaux aux outils de contournement tels que les proxys et les VPN.

C’est pourquoi Nahoft a été intentionnellement conçu comme une application qui fonctionne localement sur votre appareil plutôt que comme une plate-forme de communication. Dans le cas d’un arrêt complet d’Internet, les utilisateurs devront avoir déjà téléchargé l’application pour l’utiliser. Mais en général, il sera difficile pour le gouvernement iranien de bloquer Nahoft tant que Google Play y sera toujours accessible, selon le conseiller stratégique de United for Iran Reza Ghazinouri. Étant donné que le trafic de Google Play est crypté, la surveillance iranienne ne peut pas voir quelles applications les utilisateurs téléchargent. Jusqu’à présent, Nahoft a été téléchargé 4 300 fois. Il est possible, dit Ghazinouri, que le gouvernement finisse par développer sa propre boutique d’applications et bloque les offres internationales, mais pour l’instant, cette capacité semble loin. En Chine, par exemple, Google Play est interdit au profit d’offres de géants chinois de la technologie comme Huawei et d’une version organisée de l’App Store iOS.

Ghazinouri et le journaliste Mohammad Heydari ont eu l’idée de Nahoft en 2012 et l’ont soumise dans le cadre de United for Iran’s second « Irancubateur” accélérateur technologique, qui a démarré l’année dernière. Operator Foundation, un groupe de développement à but non lucratif du Texas axé sur la liberté d’Internet, a conçu l’application Nahoft. Et la société allemande de tests d’intrusion Cure53 a mené deux audits de sécurité de l’application et de son système de cryptage, qui s’appuie sur des protocoles éprouvés. Unis pour l’Iran a publié les conclusions de ces audits ainsi que des rapports détaillés sur la façon dont il a résolu les problèmes trouvés par Cure53. Dans l’examen original de l’application de décembre 2020, par exemple, Cure53 a découvert des problèmes majeurs, notamment des faiblesses critiques dans la technique stéganographique utilisée pour intégrer des messages dans des fichiers photo. Toutes ces vulnérabilités ont été corrigées avant le deuxième audit, qui a révélé des problèmes plus modérés tels que des vulnérabilités de déni de service Android et un contournement pour le code d’accès à suppression automatique dans l’application. Ces problèmes ont également été résolus avant le lancement et le référentiel Github de l’application contient des notes sur les améliorations.

Les enjeux sont extrêmement élevés pour une application sur laquelle les Iraniens pourraient s’appuyer pour contourner la surveillance et les restrictions du gouvernement. Tout défaut dans la mise en œuvre de la cryptographie pourrait mettre en danger les communications secrètes des personnes et potentiellement leur sécurité. Ghazinouri dit que le groupe a pris toutes les précautions possibles. Par exemple, les mots aléatoires produits par l’application sont spécialement conçus pour paraître discrets et inoffensifs. L’utilisation de vrais mots rend moins probable qu’un analyseur de contenu signale les messages codés. Et les chercheurs de United for Iran ont travaillé avec Operator Foundation pour confirmer que les outils d’analyse courants ne détectent pas l’algorithme de cryptage utilisé pour générer les mots codés. Cela rend moins probable que les censeurs soient en mesure de détecter les messages codés et de créer un filtre pour les bloquer.

Vous pouvez définir un mot de passe nécessaire pour ouvrir Nahoft et définir un « code de destruction » supplémentaire qui effacera toutes les données de l’application lors de la saisie.

« Il y a toujours eu un fossé entre les communautés dans le besoin et les personnes qui prétendent travailler pour elles et développer des outils pour elles », explique Ghazinouri. « Nous essayons de réduire cet écart. Et l’application est open source, donc les experts peuvent auditer le code par eux-mêmes. Le cryptage est un domaine où vous ne pouvez pas simplement demander aux gens de vous faire confiance, et nous ne nous attendons pas à ce que quiconque nous fasse confiance aveuglément.

Dans un discours universitaire de 2020, « Crypto for the People », le cryptographe de l’Université Brown Seny Kamara fait un point similaire. Les forces et les incitations qui guident généralement les enquêtes cryptographiques et la création d’outils de cryptage, a-t-il soutenu, négligent et rejettent les besoins spécifiques de la communauté des personnes marginalisées.

Kamara n’a pas audité le code ou la conception cryptographique de Nahoft, mais il a déclaré à WIRED que les objectifs du projet correspondaient à ses idées sur les outils de cryptage créés par le peuple, pour le peuple.

« En termes de ce que l’application essaie d’accomplir, je pense que c’est un bon exemple d’un problème important de sécurité et de confidentialité que l’industrie technologique et les universités n’ont aucune incitation à résoudre », dit-il.

Avec la détérioration rapide de la liberté d’Internet en Iran, Nahoft pourrait devenir une bouée de sauvetage vitale pour maintenir une communication ouverte dans le pays et au-delà.

Cette histoire est apparue à l’origine sur wired.com.


Source link

Articles similaires

Bouton retour en haut de la page