Threema, l'abréviation simplifiée de EEEMA pour End-to-End Encrypted Messaging Application est une application pour mobiles créée par des développeurs Suisses, compatible iOS et Android (pour le moment) dont le but est de créer un système de messagerie chiffrée entre les interlocuteurs, un peu à la manière d'un système GPG. Le système cryptographique utilise un chiffrement asymétrique Elliptic Curve Cryptography (ECC) avec une NaCl Cryptography Library (plus d'infos PDF en anglais).

Les messages envoyés et reçus ne peuvent donc être lisibles que grâce à des clés de chiffrement, et un système de vérification des IDentifications existe pour certifier une personne en scannant son QRCode. Threema intègre, à ce propos, ZXing Barcode Scanner (sous android) qui est open-source. Comme pour les clés GPG, le fait de scanner le QRode de l'ID d'une personne permet de la "signer". Ça se fait donc de préférence IRL pour assurer une certification totale et sécurisée.

L'application Threema n'est pas gratuite. Elle coûte 1,60€, mais il faut bien entretenir les serveurs. Elle est capable de chiffrer aussi bien de simples messages textes que des images, tout comme la position GPS des utilisateurs. Voilà donc une excellente alternative au système de SMS/MMS inclus par défaut, permettant de communiquer de façon nettement plus "anonyme" à l'abri des regards indiscrets.

Tout ici est chiffré. Si, elle paraît un peu intrusive, en ce qui concerne les besoins d'accès, comme expliqué sur la FAQ, c'est pour la bonne cause. Mais, toutes les informations sont hashées sur les serveurs situés en Suisse (pour plus d'intimité), et rien n'est véritablement lisible de façon compréhensible. Même les développeurs ne peuvent lire les messages sans les clés d'identifications qui restent attachés uniquement (et logiquement) aux périphériques. Les messages sont en passant, stockés pour une durée de 14 jours sur les serveurs et les comptes inactifs sont désactivés au bout de 6 mois. Il est possible de synchroniser son carnet d'adresse, mais ce n'est pas obligatoire. Cette fonction permet surtout de rechercher des correspondants déjà présents dans son carnet d'adresse, en fonction de leur numéro de téléphone et de leur adresse mail (hashés), afin de les ajouter et de les trouver plus facilement. Une fois sa clé et son ID créées, la synchronisation permet donc d'envoyer sa clé publique sur les serveurs de Threema, comme un serveur d'ajout de clés GPG publique. L'import/export (ou le backup de son ID) en cas de changement de mobile est aussi prévu et fortement recommandé.

Comme toujours, n'oubliez jamais que ce genre d'applications ne fait pas de miracles. Il suffit que sur le périphérique, un malware soit installé pour que les messages privés soient lus et copiés une fois déchiffrés. Il est donc primordial de l'utiliser en connaissance de causes et de n'installer que des applications auxquelles on a confiance sur son mobile.

Gageons que des versions pour FirefoxOS et Ubuntu Phone verront le jour. Sinon, Threema ne semble pas open-source, et comme vous l'avez remarqué, l'application est donc centralisée.

À noter que Threema ne fonctionne que par Internet. Les smartphones utilisant un forfait comme celui de freemobile à 2 euros ne peuvent donc pas utiliser cette application.

Je vous conseille l'excellente lecture de cet article de Cédric "Swisstengu" qui s'est entretenu avec les développeurs, pour en apprendre plus sur le côté technique.

Threema. Application de messagerie mobile sécurisée et chiffrée est une publication originale sur le blog NeoSting.net
Article sous licence Creative Commons CC-By