Questions et réponses : comment la session prévoit de dépasser Signal et Telegram

Juste un avertissement : si vous achetez quelque chose via nos liens, nous pouvons recevoir une petite part de la vente. C'est l'une des façons dont nous gardons les lumières allumées ici. Cliquez ici pour en savoir plus.

Plus tôt cette semaine, nous avons découvert Session, l'application de messagerie qui ne se soucie pas de qui vous êtes, littéralement. Pas de numéros de téléphone, pas de serveurs centraux et un routage en oignon intégré, Big Tech ne vous reconnaîtrait pas s'il essayait.

Oh, ai-je mentionné qu'ils ont déjà accumulé plus d'un million d'utilisateurs sans dépenser un seul centime en publicité ? Apparemment, les gens apprécient leur vie privée et veulent un produit qui tient cette promesse. Qui l’aurait pensé, n’est-ce pas ?

Maintenant, nous allons plus loin dans la conversation. Dans notre séance de questions-réponses exclusive, nous nous entretenons avec le co-fondateur de Session, Kee Jefferys, pour découvrir l'inspiration derrière l'application, la technologie qui la pilote et les défis auxquels ils ont été confrontés.

Des détails du chiffrement à la navigation dans les réglementations mondiales, cette interview couvre tout.

La messagerie axée sur la confidentialité est-elle l’avenir ? Lisez l'intégralité des questions et réponses pour voir comment la session mène et les mises à jour prévues pour les utilisateurs soucieux de la confidentialité.

Commencez à lire maintenant

La session a commencé comme une preuve de concept construite sur un réseau décentralisé appelé Loki Service Node Network. À l’époque, il était connu sous le nom de « Loki Messenger » (rebaptisé plus tard Session).

L'idée était simple : nous voulions montrer aux développeurs ce qui était possible sur le réseau décentralisé. Une application de messagerie semblait être l'exemple parfait, car si nous pouvions montrer aux gens comment stocker et transmettre des messages, cela pourrait être généralisé à d'autres applications et inspirer la créativité des développeurs pour construire leurs propres projets.

Ce à quoi nous ne nous attendions pas, c'est la rapidité avec laquelle la communauté s'accrocherait à Loki Messenger.

Presque dès le lancement, les gens ont demandé des améliorations et de nouvelles fonctionnalités. Ils ont vu ce que nous avons vu : Loki Messenger avait quelque chose de spécial, quelque chose que les autres applications de messagerie n'offraient pas.

Il y avait trois éléments clés qui le distinguaient :

• Pas de numéro de téléphone : vous n'avez pas besoin d'un numéro de téléphone pour vous inscrire. Ce simple changement a rendu la messagerie plus privée et anonyme.
• Pas de serveurs centralisés : en fonctionnant sur un réseau décentralisé, aucun serveur ne collectait vos données ni ne créait un pot de miel pour les pirates.
• Routage Onion intégré : le routage Onion masquait les adresses IP des utilisateurs et renforçait encore davantage la confidentialité.

Tout cela a été regroupé dans une application multiplateforme facile à utiliser, rendant la confidentialité accessible à tous.

Depuis ses débuts, Session est resté concentré sur ces principes et a récemment dépassé le million d'utilisateurs actifs mensuels.

Ce qui a commencé comme une preuve de concept est devenu une plate-forme de messagerie axée sur la confidentialité qui fait véritablement la différence et c'est quelque chose dans lequel je suis fier d'avoir participé.

La session utilise plusieurs couches de cryptage lors de l'envoi et de la réception de messages. Lorsqu'un utilisateur crée un compte de session, il génère une paire de clés publique-privée Ed25519 aléatoire.

La clé publique devient l'identifiant de compte de l'utilisateur, qui peut être partagé hors bande via un code QR ou une chaîne de 66 caractères de chiffres et de lettres. Une fois que vous disposez de l'identifiant de compte de quelqu'un, vous pouvez signer et crypter les messages de cet utilisateur spécifique.

Pour envoyer un message valide dans une discussion en tête-à-tête, l'expéditeur commence par créer le message. Le message est signé à l'aide de la clé privée Ed25519 de l'expéditeur, suivant l'algorithme de signature Ed25519.

Cette étape garantit l'authenticité du message. La clé publique Ed25519 de l'expéditeur et la signature numérique sont ensuite ajoutées au message.

Ensuite, l’expéditeur génère une paire de clés éphémères X25519. Cette paire de clés temporaires, ainsi que la clé publique X25519 du destinataire, sont utilisées pour créer une clé de chiffrement symétrique partagée.

Grâce à cette clé, le message est crypté avec l'algorithme XSalsa20-Poly1305, garantissant à la fois confidentialité et intégrité.

Le message chiffré et les métadonnées associées, telles que la clé publique X25519 du destinataire et la clé publique éphémère X25519 de l'expéditeur, sont emballées dans une enveloppe. Cette enveloppe est ensuite à nouveau cryptée pour une livraison sécurisée à l'aide du protocole de routage oignon de Session, Onion Requests.

Le processus de routage en oignon implique le chiffrement de l'enveloppe trois fois, une fois pour chaque saut du chemin réseau. Chaque couche de chiffrement est basée sur des clés symétriques dérivées des clés Ed25519 de chaque saut et chiffrées avec AES ou XChaCha20-Poly1305.

L'enveloppe triplement cryptée est envoyée au premier saut, et chaque saut suivant supprime une couche de cryptage, révélant la destination suivante jusqu'à ce que l'enveloppe atteigne l'essaim du destinataire. Une fois que l'enveloppe arrive à l'essaim du destinataire, celui-ci la récupère et la déchiffre pour récupérer le message.

Le protocole de chiffrement de Session fournit un chiffrement de bout en bout et un niveau élevé de confidentialité des métadonnées pour chaque message envoyé.

Malgré la technologie sophistiquée en coulisse, les utilisateurs n'ont pas à s'inquiéter de la complexité. Ils peuvent simplement envoyer et recevoir des messages comme ils le feraient avec n'importe quelle autre application, tout en bénéficiant du haut niveau de confidentialité et de sécurité de Session.

La session est entièrement open source. Cela inclut toutes les applications clientes, y compris Session iOS, Android et Desktop, ainsi que tous les logiciels alimentant le réseau décentralisé de nœuds qui stockent et acheminent les messages.

Le code source est disponible publiquement sur GitHub à l'adresse https://github.com/session-foundation

Pour implémenter une porte dérobée dans l'application, les développeurs malveillants devraient appliquer les modifications de code à ces référentiels et créer une nouvelle version. De tels changements ne passeraient pas inaperçus auprès de la communauté Session ou de ses contributeurs.

Si cela devait se produire, les référentiels pourraient facilement être éloignés du développeur malveillant et l'application pourrait être redéployée sans le code nuisible.

Session a également fait l'objet d'audits tiers indépendants pour garantir sa sécurité et son intégrité. L'un de ces audits a été réalisé par Quarkslab, et ses conclusions ont été rendues publiques. Vous pouvez consulter leur rapport ici :

Cette ouverture et cette transparence font qu'il est difficile pour une porte dérobée ou une vulnérabilité d'en faire une version.

Le modèle à long terme de développement durable de Session implique la monétisation via une version premium de Session, appelée Session Pro.

Session Pro sera un service d'abonnement conçu pour les utilisateurs expérimentés, offrant des fonctionnalités supplémentaires de la même manière que Telegram Premium améliore l'expérience des utilisateurs de Telegram.

Tous les abonnements aux abonnements Session Pro retournent dans l'écosystème Session. Ces paiements contribueront à maintenir et à développer le réseau Session Node, garantissant son évolutivité et sa fiabilité à mesure que la base d'utilisateurs de Session continue de croître.

Il est important de noter que Session maintiendra toujours une version gratuite qui garantit le même niveau élevé de confidentialité à tous les utilisateurs. Cet engagement en faveur d'une messagerie axée sur la confidentialité reste au cœur de la mission de Session.

Jusqu'à présent, toute la croissance de Session a été entièrement organique, largement motivée par les recommandations d'experts influents en matière de protection de la vie privée. Je pense que cette croissance va s'accélérer à mesure que Session continue de se positionner comme une alternative plus sécurisée à WhatsApp, Telegram et Signal. Les équipes

qui travaillent sur Session ont des liens profonds dans l'espace des ONG et parmi les leaders d'opinion en matière de protection de la vie privée, qui continueront à défendre Session à mesure que l'application se développe et améliore ses fonctionnalités sous-jacentes.

Il y a encore du travail à faire sur le plan technique pour améliorer la fidélisation des utilisateurs.

Au cours des 6 à 12 prochains mois, l'accent sera mis sur des domaines clés tels que l'amélioration des fonctionnalités du groupe, l'augmentation de la vitesse et de la fiabilité, et une intégration aussi fluide que possible. Cela implique de garantir que les utilisateurs peuvent facilement se connecter avec leurs amis et leur famille et inviter de nouvelles personnes à rejoindre l'application.

En relevant ces défis techniques tout en maintenant un fort plaidoyer dans le domaine de la confidentialité, Session est bien placé pour poursuivre sa trajectoire ascendante en tant que plateforme de messagerie de premier plan axée sur la confidentialité.

Le paysage réglementaire autour de la messagerie privée est encore émergent et différents pays adoptent des approches différentes pour réglementer le chiffrement de bout en bout et la confidentialité des données.

Session a récemment annoncé que la direction du projet serait transférée en dehors de l'Australie, du responsable initial du projet (l'OPTF) à la Session Technology Foundation, une fondation basée en Suisse dédiée à la promotion de l'innovation numérique et des droits numériques.

Cette décision répondait en grande partie à la législation récente et aux pressions des régulateurs australiens, qui ont rendu de plus en plus difficile pour Session d'opérer en dehors de l'Australie tout en préservant les garanties de confidentialité et de sécurité qu'elle offre à ses utilisateurs.

Contrairement à l'Australie, la Suisse dispose de solides protections constitutionnelles préservant la vie privée et soutient depuis longtemps des applications favorables à la vie privée telles que ProtonMail, Threema et Nym.

De par leur conception, les entreprises et les individus impliqués dans le développement de Session n'ont pas d'accès privilégié aux données des utilisateurs.

Les messages chiffrés de bout en bout sont stockés et acheminés via un réseau de plus de 2 100 nœuds gérés par la communauté. Cette approche est fondamentalement différente des autres plateformes de messagerie.

Historiquement, cette conception signifiait que lorsque des demandes de données étaient reçues, aucune information n'était disponible à partager avec la partie requérante. L'OPTF, l'ancien responsable du projet Session, a publié régulièrement des rapports de transparence pour étayer ce fait, qui peuvent être consultés ici.

À mesure que la Session Technology Foundation assumera la direction, elle poursuivra cette tradition, avec des rapports de transparence publiés ici : https://session.foundation/transparency-reports

Aucune des entreprises ou individus impliqués dans le développement de Session n'a reçu de demande d'implémentation de portes dérobées dans l'application.

Le transfert de la responsabilité à la Session Technology Foundation, basée en Suisse, est une étape proactive visant à garantir que Session puisse continuer à protéger la confidentialité et la sécurité de ses utilisateurs.

La feuille de route actuelle de la session se concentre sur la refonte des fonctionnalités clés pour améliorer la fiabilité et la convivialité de l'application. Voici les principaux domaines d’intervention :

Groupes : Depuis leur sortie en 2022, les groupes ont été confrontés à plusieurs défis.

Les utilisateurs ont signalé perdre parfois l'accès aux groupes lors de la rotation des clés de chiffrement sous-jacentes, ce qui se produit lorsque des membres sont supprimés d'un groupe.

De plus, les messages peuvent être perdus lorsque les utilisateurs rejoignent un groupe ou restent hors ligne pendant plus de 14 jours. Pour répondre à ces problématiques, l'architecture des groupes est entièrement repensée pour les rendre plus persistants sur le réseau de nœuds et améliorer la fiabilité lors des rotations de clés de chiffrement.

Dans le cadre de cette refonte, plusieurs améliorations de convivialité sont également mises en œuvre, notamment la prise en charge de plusieurs administrateurs dans les groupes, un nouveau système d'invitation de groupe et une prise en charge améliorée des notifications push.

Ces changements visent à rendre les groupes à la fois plus fiables et plus conviviaux.

Intégration : les utilisateurs non techniques ont parfois eu des difficultés avec le processus d'intégration de Session.

Historiquement, Session a introduit des concepts complexes de gestion de clés privées, tels que des phrases de départ mnémoniques, dès le début de l'expérience d'intégration. Cette complexité a souvent conduit à de la frustration et à des abandons lors de l'inscription.

Une mise à jour récente a simplifié le processus d'intégration en reportant ces concepts avancés après la création du compte. Ce changement a amélioré la rétention lors de l'intégration.

Cependant, il y a encore place à l'amélioration.

Les projets futurs impliqueront probablement l’intégration de clés d’accès pour réduire davantage les barrières à l’entrée et simplifier le processus d’invitation de nouveaux utilisateurs en tirant parti des liens profonds.

Onion Routing : peu de temps après la sortie de Session, les requêtes Onion ont été introduites en tant qu'implémentation simplifiée d'un protocole de routage Onion.

Bien qu'efficaces pour les besoins de base, les requêtes Onion sont des protocoles HTTP sans streaming et sont intrinsèquement plus lentes et moins performantes que les protocoles plus avancés.

L'envoi des messages prend généralement entre 1 et 3 secondes, tandis que le téléchargement de fichiers peut prendre beaucoup plus de temps. De plus, les demandes Onion imposent une limite de 10 Mo sur les fichiers, limitant la fonctionnalité de Session pour les transferts de fichiers plus volumineux.

Pour surmonter ces limitations, l'équipe Session a développé Lokinet, un protocole de routage oignon plus avancé. Lokinet prend en charge les connexions basées sur les flux et est construit sur UDP, permettant des performances plus rapides et plus flexibles.

Lokinet subit actuellement une refactorisation complète et approche de sa maturité. Les tests internes montrent que Lokinet est 3 à 10 fois plus rapide que Onion Requests, ce qui signifie que les temps de livraison des messages et de transfert de fichiers pourraient être considérablement améliorés une fois mis en œuvre. De plus, Lokinet n'impose pas les mêmes limitations de taille de fichier, ouvrant la voie à des téléchargements de fichiers beaucoup plus volumineux sur Session.

Un grand merci au co-fondateur de Session, Kee Jefferys, et au reste de l'équipe pour avoir pris le temps de lever le rideau sur ce qui motive leur application et pourquoi la confidentialité est plus importante que jamais.

Si vous êtes prêt à faire monter votre jeu de messagerie d'un cran (ou dix), vous pouvez télécharger Session gratuitement sur l'App Store ou Google Play, et il est également disponible pour PC, Mac et Linux. Allez y jeter un œil et voyez à quoi ressemble la véritable confidentialité.

Que pensez-vous des mises à jour et développements potentiels mentionnés par le co-fondateur de Session ? Partagez vos idées dans les commentaires ci-dessous .