Chiffrer ses communications est une bonne idée, mais comment faire lorsqu’on utilise avant tout des applications web comme Facebook, Twitter, Tumblr, Gmail, etc. ? Certes, il existe des solutions telles que Mailvelope ou Virtru qui permettent de chiffrer des messages, mais cela se limite généralement aux webmails.
A l’occasion de la conférence ACM CCS 2014, cinq chercheurs de l’université de Berkeley viennent de présenter une extension Chrome baptisée ShadowCrypt, qui permet de chiffrer n’importe quel message sur n’importe quel site : webmail, réseaux sociaux, blogs, services web, etc.
Comment ça marche ? Les chercheurs s’appuient sur une technologie émergente dénommée « Shadow DOM », qui permet de créer et d’encapsuler du contenu HTML dans une page web. Les chercheurs utilisent cette technique pour insérer une couche de chiffrement entre le site et l’utilisateur. Quand ce dernier entre un texte dans un champ, celui-ci est en réalité d’abord chiffré par l’algorithme AES-CCM. L’affichage en clair n’est possible que si l’utilisateur dispose de l’extension ShadowCrypt et, surtout, de la bonne clé.
Une première version de leur logiciel est d’ores et déjà disponible en ligne et fonctionne plutôt bien. Elle a été testée de façon satisfaisante sur 14 applications web, dont Facebook, Twitter, Gmail, WordPress, Reddit, Blogger, Tumblr, Pinterest ou Wunderlist. Il suffit donc qu’un groupe de personnes partagent la même clé pour, par exemple, créer un groupe de discussion chiffré sur Facebook, Twitter ou Reddit.
Certains usages sont, néanmoins, un peu bridés en raison du chiffrement. Ainsi, la taille des messages Twitter se retrouve limitée à 45 caractères au lieu de 140. Par ailleurs, les serveurs du réseau social ne peuvent plus détecter les mots-clés (#qqchose) ou les identifiants (@qqun). Idem pour Facebook. La recherche par mot-clé fonctionne, mais de façon plus limitée : on ne peut plus faire de recherche sur une partie d’un mot. Par exemple : on ne peut pas trouver « John » simplement en indiquant « Jo ».
En revanche, l’extension ne fonctionne pas sur les services web de type bureautique, tels que Google Docs, Google Spreadsheet ou Office 365 Word. Le code de ces applications est trop particulier.
Source:
Le site de ShadowCrypt
🔴 Pour ne manquer aucune actualité de 01net, suivez-nous sur Google Actualités et WhatsApp.
