Apple Message plus sûr contre les attaques quantiques?, Réactions à la publication du 21/02/2024

[Paul Emploi]

Je vais le faire court: les attaques quantiques ne sont pas pour aujourd'hui ni demain, et le nouveau protocole PQ3 de Apple ne donne que peu de garanties réelles.
Excepté que si des messages sont décryptés, un gros groupe de messages, les suivants ou les précédents devront eux-aussi être décryptés en groupe. Ça n'arrête rien.

Apple semble amener un nouvel algorithme PQ3 pour les communications protégées de bout-en-bout (end-to-end) de Messages, officiellement pour protéger contre les attaques quantiques, tout en se permettant de dériver des clés de chiffrement et de déchiffrement de votre authentification sur ses services, lui donnant accès ainsi qu'à toute agence de niveau gouvernementale à vos messages quand vous saisissez votre mot-de-passe. Dont la NSA, la CIA, etc.

Il y a une pseudo-étude en PDF qui devrait rassurer d'un chercheur qui se pignole "post-quantique" depuis longtemps, sauf qu'à la lire, elle ne me rassure pas: ça ressemble à un sujet d'étude et c'est juste un PDF formaté pour ressembler à un document réel issu d'une université, et mieux encore cette "étude" payée par Apple!
Pas de relecteurs. Pas d'indépendance. Même pas de conclusion solide!

Mon avis est que Apple joue avec la sécurité, l'impression de sécurité, et l'impression de protection de la vie privée, quand dans le même temps elle a donnée toutes les clés à une entreprise contrôlée par le PCC Chinois pour espionner leur population...


Apple se vante même d'amener cette "sécurité" en Chine où le pouvoir a tout loisir de déchiffrer tout message grâce à ses bons soins, c'est dire!

Le seul "bénéfice" pourrait être d'écarter d'anciens Mac, iPhone ou iPad de Messages, ou pour le moins de les afficher en vert lors des échanges via Message, poussant nombre d'utilisateurs à racheter un nouveau matériel, pour rien...

Lien vers le billet original

[Paul Emploi]

Je viens de revérifier pour être sûr et certain, avec un appareil iOS réinitialisé, et il me suffit de m'authentifier (adresse courriel + mot-de-passe) pour que la clé maître stockée chez Apple me soit transmise et utilisable, avec réception immédiate des nouveaux messages.
Sans que mes correspondants n'en soient informés, ni n'ai possibilité de refuser ce nouvel appareil.
Essaye par toi-même et tu verras!

Cela n'est pas possible avec Signal car il y a des garanties via les propriétés mathématiques et cryptographiques en sus de ne pas balancer les clés maîtres partout!

Je le répète, Messages ou iMessage ne chiffre pas de bout-en-bout (end-to-end), puisque la clé maître se balade gentiment, est créée et gérée par Apple, et que sur ses serveurs elle est chiffrée faiblement via les données d'authentification.
À quoi sert donc PQ3 quand on a une clé maître qui se balade et qui est stockée sans chiffrement fort?!?

Deux points: garanties mathématique ou cryptographique (une part du premier), clé maître généré dans l'appareil et qui n'en sort jamais.
Signal a des garanties cryptographiques, et les clés maîtres ne bougent jamais. Messages c'est l'inverse.