Est-ce que l’extension navigateur de la messagerie sécurisée Keybase est fiable ?
Wladimir Palant, un expert respecté (et reconnu via AdBlock Plus), est tellement convaincu qu’il ne l’est pas, qu’il a recommandé aux utilisateurs de “désinstaller l’extension navigateur de Keybase ASAP“, après avoir découvert un problème au niveau du chiffrement de bout en bout.
Comme indiqué précédemment, Keybase est une application de messagerie de bureau (Windows, Mac et Linux), qui peut également être utilisée sur les mobiles (Android et iOS) et, depuis l’année dernière, via des extensions de navigateur pour Chrome et Firefox.
L’extension est un moyen utile de se connecter à d’autres utilisateurs de Keybase en annonçant son utilisation via des profils sur Facebook, Twitter, GitHub et Reddit.
Si les statistiques quotidiennes de Firefox disent vrai, cette méthode n’est pas extrêmement populaire, avec moins de 2 000 utilisateurs quotidiens, et l’évaluation de la sécurité menée par Palant ne contribuera probablement pas à sa popularité.
En coulisses, chaque message envoyé via le chat du navigateur est transmis à l’application locale du bureau, au niveau de laquelle est effectué le chiffrement. Cependant, selon Palant, les messages ne sont pas chiffrés lorsqu’ils sont envoyés à l’application, nous éloignant ainsi du “chiffrement de bout en bout” promis sur le site web de Keybase.
Selon Palant :
Le message Keybase que vous saisissez sur Facebook n’est en aucun cas privé. Le code JavaScript de Facebook peut le lire au fur et à mesure de sa saisie, dommage donc pour le chiffrement de bout en bout !
En toute franchise, la page de téléchargement de l’extension sur le site web de Keybase mentionne clairement les conséquences d’un potentiel compromis au niveau d’un site ou d’un navigateur, mais peut-être pas d’une manière suffisamment claire pour l’utilisateur moyen.
Selon Palant, le problème pourrait être évité en isolant l’interface utilisateur de l’extension dans un <iframe>. Quand il a partagé cette solution avec Keybase, on lui aurait répondu qu’il y avait des raisons techniques pour lesquelles les iframes ne fonctionnaient pas.
Dois-je continuer à utiliser Keybase ?
En ce qui concerne l’application de bureau et mobile, oui. Rien ne prouve qu’il ne fonctionne pas comme prévu. Quant aux extensions, il s’agit d’un compromis entre commodité et sécurité. Avoir un bouton Keybase à côté de votre profil est un bon moyen d’annoncer le fait que vous l’utilisez. Toutefois, si la confidentialité absolue est une nécessité, alors utilisez l’extension pour établir le contact avant de passer à l’application de bureau ou mobile.
Plus important encore, gardez à l’esprit que Keybase n’est pas conçu comme les autres applications de messagerie chiffrée, qui sont déjà très nombreuses, mais bien comme une base de données de preuves visant à vérifier l’identité d’un contact. Pour ceux qui apprécient cette initiative, il s’agit là d’une fonctionnalité qui distingue Keybase des autres !
Billet inspiré de Keybase browser extension weakness discovered, sur Sophos nakedsecurity.