À la lumière des révélations d’Edward Snowden l’année dernière, l’intérêt pour des moyens vraiment sécurisés de communiquer en ligne a augmenté. OneOne est une nouvelle application pour Android et iOS qui offre une messagerie texte « privée et intraçable ».
Le photographe et entrepreneur Kevin Abosch est l’homme derrière OneOne. Elle fait suite à son application de photographie monochrome Lenka, et (plus pertinent) à sa plateforme de messagerie semi-publique anonyme KwikDesk.
Voici comment cela fonctionne. Une fois que vous avez installé l’application, il n’y a pas de connexion ou de création de compte à faire – vous avez immédiatement sept « canaux » disponibles. Chacun d’entre eux peut être utilisé pour une conversation avec un autre utilisateur. Vous touchez un canal, lui donnez un nom, puis envoyez une invitation par e-mail ou en collant un lien direct à l’endroit d’où vous souhaitez inviter quelqu’un. Ils utilisent ensuite le lien pour ouvrir votre canal dans leur application et c’est parti.
Les messages sont automatiquement supprimés après 24 heures, mais chaque partie d’une conversation peut supprimer un canal de son appareil à tout moment. Faire cela supprime tous leurs messages de l’appareil de l’autre personne.
J’ai découvert cela à la dure après avoir posé à Abosch quelques questions sur l’application dans un canal OneOne, pensant que j’avais 24 heures pour faire quelque chose avec ses réponses. Cependant, il a supprimé le canal un peu plus tard et ses réponses ont été supprimées de l’appareil. « Quand nous disons supprimé, c’est vraiment parti. Pas comme beaucoup d’autres applis ». Abosch dit.
OneOne est limité au texte pour le moment, mais des images et des transferts de documents sont prévus pour l’avenir.
Les messages sont-ils vraiment intraçables ?
OneOne n’est pas sans concurrence, Telegram étant probablement le rival le plus en vue. Cependant, l’absence de logins d’utilisateur de OneOne est un avantage pour ceux qui veulent un niveau supplémentaire d’intraçabilité.
Il est audacieux de la part d’Abosch de déclarer que les messages sont « intraçables », mais il est clair que OneOne a été conçu dès le départ dans cet esprit. Il fonctionne de manière similaire au cryptage PGP, bien que potentiellement plus sécurisé.
« OneOne crypte et décrypte les messages directement sur votre appareil en utilisant des clés secrètes qui ne quittent jamais votre appareil. Il est impossible pour quiconque, y compris les serveurs de OneOne, de décrypter le contenu du message (car ils n’ont pas accès aux clés secrètes sur votre appareil) », explique Absoch. L’absence de tout type de compte utilisateur ajoute à la sécurité, et il est affirmé que OneOne n’envoie, ne capture ni ne stocke aucune information identifiable sur les appareils.
Alors, c’est similaire au fonctionnement du protocole de messagerie PGP ? « Il y a des similitudes avec PGP, mais la plateforme Kwikdesk ne permet que deux participants par canal sécurisé, ce qui fournit une mesure de sécurité supplémentaire », explique Abosch. « De plus, OneOne ne repose en aucune façon sur l’authentification de l’utilisateur, ce qui renforce encore la confidentialité. Avec PGP, la clé publique serait associée à l’adresse électronique ou au numéro de téléphone d’un utilisateur. Chaque canal de OneOne génère son propre ensemble de clés publiques et privées. »
Privacy First Products
Bien sûr, toute cette sécurité du côté de OneOne ne la rend pas nécessairement complètement « inviolable », mais c’est la « traçabilité » qu’Abosch estime avoir résolue avec son application.
« Par principe, je ne dirais jamais que quelque chose n’est pas piratable, mais le but de l’appli est de ne pas pouvoir remonter d’un message à un appareil. Au bout du compte, dans un tribunal, c’est ce qui compte, la traçabilité. »
OneOne est un exemple de ce qu’Abosch appelle un PFP (Privacy First Product). Vous pouvez en savoir plus sur ce concept dans un billet Medium qu’il a écrit sur le sujet, mais essentiellement, cela se résume à concevoir des produits sans aucune forme d’identification, de suivi ou d’analyse des utilisateurs.
Compte tenu du fait que tant d’applications gratuites basent leur modèle économique sur les données des utilisateurs, comment Abosch propose-t-il de monétiser OneOne ? « OneOne est construit sur la plateforme Kwikdesk. L’API partenaire de Kwikdesk est disponible pour les développeurs afin qu’ils puissent construire leurs propres produits sur le même back-end que celui qui alimente OneOne. Après avoir atteint un certain seuil, les développeurs de logiciels paient pour ce service.
« Nous sommes également en négociation pour des versions OEM et en marque blanche de OneOne avec des fournisseurs de services mobiles à travers le monde », ajoute Abosch.
Abosch s’attend à ce que les PDG de haut rang et les avocats trouvent OneOne particulièrement utile, mais toute personne qui veut une conversation privée y trouvera de la valeur. « L’anonymat et l’éphémérité sont mignons, et nous avons cela aussi, mais la raison pour laquelle les avocats aiment discuter de questions sensibles avec leurs clients sur OneOne est l’intransmissibilité. »
Enfin, tout service qui promet la sécurité repose en grande partie sur la parole du développeur qu’il est aussi sûr que prétendu. Abosch soutient ma suggestion de l’année dernière selon laquelle un audit de sécurité à faible coût destiné aux startups est quelque chose qui est nécessaire si les utilisateurs peuvent jamais vraiment faire confiance aux applications qu’ils utilisent.
« Kwikdesk veut être la plate-forme de confiance qui alimente la vie privée », dit-il. « OneOne est un exemple du type de produit que nous pouvons alimenter. »
➤ OneOne