Communiquer de manière sécurisée et anonyme sur smartphone avec Session
Introduction
Les smartphones sont généralement de véritables espions dans notre poche, ils envoie en effet en permanence des tonnes de données de tracking à des régies publicitaires, des outils statistiques, etc.
Il est possible de contourner cela en installant un système d'exploitation comme GrapheneOS ou /e/OS, si son téléphone est compatible, ou si on veut changer de téléphone pour un qui soit compatible (il y a plusieurs modèles d'occasion qui sont possibles).
Mais cela ne règle pas le problème de l'anonymat et la confidentialité des communications.
Traces
En effet, tout téléphone possède un identifiant unique (IMEI), et pour utiliser le réseau mobile intègre une carte SIM, qui possède aussi un identifiant unique (IMSI). La carte SIM est liée à un numéro de téléphone, et ce numéro de téléphone est relié à votre identité réelle, car il est obligatoire de la fournir lors de l'ouverture d'une ligne.
Ainsi tout appel ou SMS laisse une trace qui est enregistrée dans les journaux de l'opérateur : numéro appelant, numéro appelé, date et heure. On peut ainsi reconstituer les relations entre les personnes à posteriori.
Il est à noter que même sans appel, un téléphone allumé et connecté au réseau (donc qui n'est pas en "mode avion") laisse des traces, ce sont les fameux "bornages". Le téléphone borne (se connecte à une antenne téléphonique) régulièrement, et ce bornage est enregistré par l'opérateur, ce qui permet une localisation grossière.
Interceptions
En plus de traces laissées, qui peuvent être exploitées à posteriori, il existe bien sûr des dispositifs qui permettent des écoutes en direct, ciblées sur un numéro, ou la collecte en gros d'informations et de communications dans certains lieux, via les IMSI-catcher.
Espions
Il est difficile à dire aujourd'hui si un téléphone (que ça soit un smartphone ou un téléphone basique, ou même un téléphone fixe) n'est pas compromis. En effet il est possible d'utiliser les failles de sécurité d'un téléphone pour installer un logiciel qui activerait le micro à l'insu de l'utilisateur, ou autres risques. Exemple : Les iPhone de journalistes d’Al-Jazira ciblés par des logiciels d’espionnage.
Parfois, le téléphone est modifié de manière matérielle, par exemple pendant que son possesseur est en détention : Microphone implanté dans l'iPhone d'une activiste Russe pendant sa détention
Il est également possible de cacher un micro, une caméra, ou un traceur GPS dans de nombreux appareils : sous une voiture, dans une prise électrique, un interrupteur, un boîtier électrique, une pierre ou faux tronc d'arbre, etc. Les possibilités sont infinies.
Les exemples ciblant les militants et journalistes sont très nombreux :
- La CIA aurait écouté WikiLeaks pendant au moins 4 ans en utilisant un téléphone fixe contenant un micro implanté
- À Dijon, une caméra cachée par les services de l'État dans un faux boîtier de pylône électrique, devant des lieux militants (autres détails
- Un traceur GPS utilisé par la police pour espionner un militant
- Des caméras cachées et illégales pour surveiller des écologistes
- Vue d'ensemble des dispositifs de surveillance trouvés dans des lieux militants
Sécurité des messageries instantanées
La plupart des applications de messagerie comme WhatsApp et compagnie chiffrent le contenu des messages, mais l'application est liée au numéro de téléphone, donc comme pour les SMS, on peut savoir assez facilement qui écrit à qui, et quand.
C'est la même chose pour le logiciel Signal : ses messages sont chiffrés, mais si une personne donne son code d'accès à son téléphone, alors non seulement les messages sur son téléphone sont compromis, mais également la liste de ses contacts, et comme chaque contact est associé à un numéro de téléphone, il est facile de remonter la piste. De plus Signal utilise un serveur centralisé, ce qui permet au propriétaire de ce serveur de fournir quelques informations aux autorités en cas de requête : date et heure d'inscription, et date et heure de dernière connexion.
Il est donc conseillé d'utiliser un logiciel qui n'utilise pas le numéro de téléphone ou l'adresse e-mail comme identifiant, permettant une utilisant plus anonyme, et qui ne soit pas centralisé.
Pour information, Telegram, SnapChat, Facebook Messenger ou Instagram ne sont pas des solutions sécurisées pour communiquer.
Il en existe plusieurs :
- Briar qui utilise Tor pour protéger l'IP des participants, mais qui nécessite que l'application soit ouverte pour recevoir les messages
- Tox
- Threema dont le code n'est pas libre, et est payant
- Berty
- SimpleX
- Session, décentralisé, qui utilise un réseau de serveurs interconnectés, développé par une fondation Australienne pour la vie privée.
Rappel important
L'application peut bien être parfaite au niveau de la sécurité, cela ne servira à rien si le téléphone n'est pas configuré avec un code de verrouillage, ou que ce code de verrouillage est donné à qui vous le demanderait.
Ainsi, si on sait que son téléphone peut contenir des informations sensibles, le mieux est peut-être de le détruire si on est dans une position qui pourrait mener à devoir céder le code de déverrouillage. Pour éviter cela, penser à nettoyer régulièrement (voir de manière automatique, voir plus bas) les conversations et données du téléphone.
Débuter avec Session
Session est une application de messagerie instantanée qui permet de communiquer anonymement via un réseau de serveurs similaire à Tor. Contrairement à Signal, il n'utilise pas de numéro de téléphone, et ne demande pas non plus d'adresse e-mail ni aucune autre information personnelle. À la place un identifiant alpha-numérique est créé quand on utilise l'application pour la première fois.
Cet identifiant doit être communiqué à vos contacts pour pouvoir commencer une conversation avec eux. Cela peut être fait en scannant un QR Code, ou en envoyant cet identifiant via un message sécurisé, par exemple en utilisant PrivateBin et son option "Effacer après lecture", pour ne pas laisser de trace.
De par son fonctionnement décentralisé, il y a un délai de quelques secondes entre l'envoi et la réception d'un message.
Pour limiter les risques si votre téléphone est saisi, il est conseillé d'activer systématiquement la fonctionnalité "Auto-destruction des messages". Et de ne pas prendre votre smartphone habituel lors d'actions militantes, prenez plutôt un autre téléphone, dont le contenu est vide hormis quelques numéros de téléphones de proches en cas de besoin.
Installer Session
- Session pour Android (Ou sur F-Droid si votre téléphone n'a pas le Play Store)
- Session pour iPhone/iPad
- Session pour ordinateurs Linux, Mac ou Windows
Première utilisation de Session
Lors de la première ouverture de l'application, celle-ci affiche un écran de bienvenue. Cliquez sur le bouton Créer un Session ID (1) si vous n'avez encore jamais utilisé l'application.
L'écran suivant vous montre votre identifiant unique. Ce n'est pas la peine de le noter maintenant, on peut le récupérer plus tard si besoin. Cliquez sur le bouton Continuer (2).
Ensuite il vous est demandé de choisir un nom d'utilisateur (3). Ce nom sera visible par vos contacts une fois qu'ils auront accepté votre demande de contact. Il est conseillé d'utiliser ici un pseudo qui ne permettra pas de faire lien avec votre identité réelle. Cliquez sur Continuer (4).
Enfin, Session vous demande de choisir entre les notifications en mode rapide ou en mode lent (5). Le mode rapide peut exposer quelques informations vous concernant (notamment votre adresse IP) à Google ou Apple, qui sont utilisés pour rendre les notifications plus rapides. Si vous choisissez le mode lent, il est possible que vous devrez ouvrir l'application pour voir si vous avez reçu de nouveaux message, mais c'est l'option qui protège le plus votre vie privée. Cliquez sur Continuer pour terminer (6).
C'est déjà terminé, vous pouvez maintenant commencer à ajouter des contacts ou démarrer des discussions de groupe !
Ajouter un contact à Session
Sur l'écran principal de Session, cliquez sur le bouton vert avec un signe plus pour démarrer une discussion (1).
Choisissez l'option Nouveau message (2).
Sur l'écran qui se présente, vous trouvez un champ vous permettant d'entrer le Session ID de quelqu'un d'autre (3), ainsi que votre propre identifiant, que vous pouvez Copier (4), par exemple dans un partage PrivateBin éphémère. Apparaît également un QR-code qu'une personne peut scanner pour vous ajouter à ses contacts.
Si vous êtes à côté de la personne à ajouter, le mieux est que celle-ci fasse la même procédure que vous, et que vous scanniez son QR code, en cliquant sur l'onglet Scanner un QR code. Vous devrez alors autoriser l'accès de Session à l'appareil photo du téléphone (5) et (6).
Votre contact doit désormais vous accepter pour que vous puissiez entamer la discussion.
Configurer l'auto-destruction des messages dans une conversation (messages éphémères)
Il est conseillé d'activer l'auto-destruction des messages dans les conversations. Pour cela dans la conversation avec un contact, cliquez sur les trois petits points en haut à droite (1).
Puis sélectionnez l'option Messages éphémères (2).
Choisissez ensuite la durée de validité des messages (3) et validez (4).
On peut maintenant voir qu'un décompte s'affiche à côté des messages.
Puis que ceux-ci disparaissent complètement, comme s'ils n'avaient jamais existé.
Les messages existants ne sont pas concernés par ce réglage. Pour effacer ces messages il faut effectuer un appui long, sélectionner Supprimer, puis Supprimer pour moi et Nom_contact.
Récupérer la phrase de récupération
Si vous souhaitez pouvoir retrouver l'accès à votre session ID en cas de perte de votre téléphone, ou de désinstallation de Session, vous pouvez créer une phrase de récupération. Pour cela cliquez sur l'icône du profil, en haut à gauche (1).
Faites défiler les options jusqu'à Phrase de récupération (2), cliquez dessus.
Session affiche alors 12 mots anglais choisis au hasard. Vous pouvez noter ces 12 mots, par exemple dans les marges d'un livre de votre bibliothèque, ou sur un papier caché dans votre frigo, ou dans un coussin… Ayez de l'imagination :-) L'important étant de conserver les 12 mots dans l'ordre.
Il est à noter qu'en cas de perte de votre téléphone, tous vos messages et contacts seront perdus, car ils ne sont enregistrés que dans le téléphone, il n'est donc pas possible de les récupérer.
Autres ressources
- Téléphonie Mobile : Surveillances, répressions, réduction des risques
- Le très complet Guide d'autodéfense numérique (régulièrement mis à jour)
- Fadettes, UFED et données de connexion
- Amnesty International : Comment sécuriser son smartphone avant de participer à une action
- EFF : Le Problème avec les Téléphones Portables
- Session FAQ (en anglais)
- Privacy Guides : Session (en anglais)
Note : cette page est placée sous licence Creative Commons BY-SA, n'hésitez pas à la partager en mentionnant la source :-)
Mis à jour le mardi 18 avril 2023