Le test bêta de la fonction de paiement dans la messagerie cryptée Signal a été ouvert à tous les utilisateurs il y a quelques semaines déjà. Ni Signal ni les responsables de la crypto-monnaie MobileCoin n’en avaient parlé jusqu’à présent et ce n’est que maintenant que le fondateur de MobileCoin, Joshua Goldbard, a annoncé la nouvelle à la presse. Wired confirmé.

Ceux qui le souhaitent peuvent désormais effectuer des paiements protégés par un « cryptage de bout en bout » dans Signal (activable sous « Paramètres »), a-t-il expliqué, et cette option est de plus en plus utilisée. Alors que le fondateur de Signal, Moxie Marlinspike, avait vanté il y a un an le caractère privé de ce système, les experts craignent qu’il n’ouvre la voie à des attaques gouvernementales contre le cryptage de bout en bout.

Une surface d’attaque pour les opposants au cryptage ?

Signal a présenté sa fonction de paiement en avril dernier et a commencé un test bêta en Grande-Bretagne. Il s’agissait de permettre des paiements avec la cryptomonnaie MobileCoin (MOB), pour laquelle la protection de la sphère privée est au premier plan. Signal ne doit servir que d’intermédiaire et ne doit pas avoir accès aux données de transaction. MobileCoin est une crypto-monnaie qui, comme Bitcoin, repose sur la technologie blockchain, mise fortement sur l’open source et est en même temps étroitement liée à la technologie SGX propriétaire d’Intel. Marlinspike a été présent dès le début en tant que conseiller technique et visage public du MobileCoin. On ignore dans quelle mesure il a été associé financièrement au succès de la crypto-monnaie en contrepartie.

Pour présenter la fonction, Marlinspike avait déclaré vouloir vivre dans un monde où il pourrait non seulement communiquer en toute confidentialité avec son thérapeute – via Signal – mais aussi le payer – via Signal – en toute confidentialité. Mais alors qu’au début, on doutait surtout que la crypto-monnaie utilisée soit adaptée à cette fonction, des mises en garde ont été lancées contre des dangers d’un tout autre ordre.

Alex Stamos, expert renommé en sécurité informatique, craint que Signal ne sous-estime la surface d’attaque juridique que la messagerie ouvre avec cette mesure. Sur Twitter, il fait remarquer que les attaques contre le cryptage de bout en bout sont déjà de plus en plus résolues, notamment dans l’Union européenne. Aux États-Unis, la communication cryptée était jusqu’à présent sûre grâce à la forte réglementation protégeant la liberté d’expression. Cette protection ne s’applique toutefois pas aux processus de paiement, qui sont régis par des lois qu’il suffit de faire appliquer.

Stamos explique sur Twitter que ce sont surtout les autorités de poursuite pénale fédérales et locales aux États-Unis qui tentent déjà d’agir contre le cryptage. Mais la plupart du temps, elles n’ont pas de levier. Contre Signal, ils pourraient maintenant miser sur les lois contre le blanchiment d’argent et obtenir un affaiblissement du cryptage si l’application n’introduit pas de directives, par exemple pour la traçabilité des opérations de paiement.

C’est également l’avis de Matt Green, expert en cryptographie, car il existe tellement de directives dans le domaine des paiements et de l’infrastructure de paiement que les autorités de poursuite pénale n’ont pas besoin d’attendre la politique ou la législation pour demander l’accès, explique-t-il. Wired. S’ils y parviennent, cela pourrait poser un problème à Signal et à la confidentialité qui y est accordée. Il n’est pas encore possible d’acheter des MobileCoin aux États-Unis, mais dès que la situation changera, le bien-fondé de ces avertissements deviendra évident.