Est-ce que Keybase est la plate-forme de chiffrement par clé publique que les experts en cybersécurité attendaient ?
Cette plateforme s’est lentement développée depuis trois ans, période pendant laquelle elle a mis en ligne un site web, une application de bureau (Windows, Mac, Linux), une application mobile (Android, iOS) et des applications de chat. La semaine dernière est sortie une extension pour intégrer Keybase dans le navigateur Chrome.
Même si cela ressemble à un mash-up classique d’une application de messagerie, les bases sur lesquelles s’appuie Keybase sont en fait beaucoup plus audacieuses et, potentiellement importantes, et c’est pourquoi nous écrivons à ce sujet.
Keybase peut être décrit comme un système permettant aux utilisateurs de générer une clé publique de chiffrement (ou de télécharger leurs propres clés existantes) afin de vérifier leur identité en ligne avec un haut niveau de confiance.
Même si cela semble un peu obscur, l’identité est le problème fondamental à la base de nombreux problèmes liés à la cybersécurité : en effet, personne n’a le moyen de savoir si un individu est vraiment celui qu’il prétend être, et doit donc avancer avec précaution en se basant sur des hypothèses parfois risquées.
Le chiffrement par clé publique essai de palier ce problème en utilisant soit une hiérarchie de confiance (à savoir des certificats vérifiés par une autorité), soit un “Web of Trust” (c’est à dire un réseau d’utilisateurs qui s’authentifient mutuellement). Ce dernier concept a rendu célèbre le fameux PGP, le logiciel de chiffrement de Phil Zimmermann.
Le Web of Trust semble intéressant, mais s’avère assez complexe, c’est pourquoi Keybase a voulu en reprendre l’idée, tout en la simplifiant.
Les utilisateurs vérifient leur clé publique dans Keybase via Twitter, Facebook, GitHub, Reddit, ou Hacker News, chacun renforçant un peu plus la vérification, la quantité compte ici. Un pirate qui voudrait se faire passer pour quelqu’un en utilisant une fausse clé se retrouverait face à un mur. En un sens, Keybase est une base de données rassemblant toutes ces preuves qui permettent de vérifier une identité publique.
Keybase veut créer des applications de sécurité sur cette base. Lorsque la nouvelle extension Chrome est chargée, un bouton bleu apparaît sur les profils de chaque service enregistré (tel que Twitter) qui permet aux utilisateurs de Keybase de s’identifier entre eux en toute sécurité grâce au chiffrement de bout en bout.
Il fonctionne également comme une sorte de réseau social qui informe les gens sur la manière de communiquer avec quelqu’un en utilisant des clés publiques, y compris l’échange de fichiers sécurisés. Les utilisateurs peuvent se suivre et utiliser les clés pour communiquer en toute sécurité.
Pour l’instant, Keybase est toujours en cours de développement. Le marketing et la documentation ne sont pas vraiment remarquables pour une entreprise qui a eu un financement de 10.8 millions de dollars en 2015, peut-être par soucis de discrétion à ce stade.
Keybase pourrait simplement essayer de créer un ensemble de fonctionnalités de sécurité qui populariseraient le chiffrement des clés publiques, ou il pourrait essayer de créer une plus grande plateforme qui pourrait être utilisée de plusieurs façons par des tiers. Ce n’est pas encore clair pour l’instant.
Le plus grand défi sera de faire en sorte que les utilisateurs soient engagés dans un monde où certaines des initiatives de Keybase soient déjà reprises, même partiellement, par des applications telles que WhatsApp. La vérification, l’identification et les clés public-privé sont très bien, mais la plupart des utilisateurs ne comprennent pas leur importance, ou ne s’en soucient pas. Il y a deux décennies, PGP a eu du mal à émerger pour des raisons similaires. La cybersécurité ne peut se permettre de voir l’histoire se répéter.
Billet inspiré de Keybase adds end-to-end encryption to messages on the web, sur Sophos nakedsecurity.
Qu’en pensez-vous ? Laissez un commentaire.