Session App est une application de messagerie privée open-source qui met principalement l’accent sur la confidentialité des utilisateurs et le chiffrement des communications.
La plateforme repose sur des serveurs décentralisés connectés à un réseau de routage mondial et ne demande aucune information personnelle aux utilisateurs lors de la création d’un compte.
C’est Oxen qui l’a développée, avec le soutien de la Loki Foundation, une organisation non gouvernementale australienne spécialisée dans la technologie de la confidentialité.
Oxen est la branche de développement de la Fondation Oxen Privacy Tech (OPTF), qui comprend également les Nœuds de Service Oxen, la Blockchain Oxen, ses outils, et les applications générales liées.
L’arrière-plan de la blockchain est intégré par conception dans Session Messenger puisque la plateforme utilise ce type de technologie dans son protocole de base.
Session Messenger travaille avec un chiffrement renforcé des métadonnées et respecte les principes de minimisation des données pour préserver l’identité de l’utilisateur.
La communication est réalisée via le protocole Signal au sein d’un réseau décentralisé où les serveurs ne peuvent pas retracer l’origine ou la destination d’un message, ni l’IP des utilisateurs qui ont envoyé les messages en premier lieu – ce qui en fait une plateforme très intéressante pour des communications sécurisées.
C’est Oxen qui l’a développée, avec le soutien de la Loki Foundation, une organisation non gouvernementale australienne spécialisée dans la technologie de la confidentialité.
Session Messenger travaille avec un chiffrement renforcé des métadonnées et respecte les principes de minimisation des données pour préserver l’identité de l’utilisateur.
Session Messenger est gratuit et disponible pour les mobiles Android et iOS. Des versions pour ordinateurs de bureau existent également pour Mac, Linux et Windows. Elles peuvent être téléchargées sur la boutique web officielle ou via les boutiques d’applications.
Une fois que les utilisateurs ont accédé à la plateforme de la manière qu’ils préfèrent, il est temps de créer un compte privé. Pendant cette étape, les utilisateurs doivent générer un ID Session. Par défaut, il n’est pas nécessaire d’utiliser un email ou un numéro de téléphone pour créer le profil.
Une fois inscrits, ils sont accueillis avec leur ID Session qu’ils peuvent partager pour que d’autres puissent les trouver dans l’application.
Cette information est publique, et il est aussi possible de rechercher des utilisateurs en fonction du nom ONS. Sur l’appli mobile, on peut également scanner des codes QR pour un accès rapide.
Après la connexion, on propose également aux utilisateurs de créer leur phrase de récupération. Sur la plateforme Session, si on perd l’accès à son compte, on ne peut le récupérer qu’avec ces codes, car il n’y a pas d’option « j’ai oublié mon mot de passe ».
Les utilisateurs peuvent envoyer des messages chiffrés, des audios, des gifs, des fichiers et des photos en démarrant une nouvelle conversation. Il est aussi possible de mettre en place des messages éphémères pour renforcer la sécurité.
Session propose également des indicateurs visuels montrant quand l’autre utilisateur tape un message ou a bien lu un message, avec l’option pour les utilisateurs de désactiver ces fonctions.
Commencez ici : Site web de Session App
Ce qui distingue le plus Session des autres applications de messagerie, ce sont ses fonctionnalités de sécurité et son engagement à protéger ses utilisateurs finaux.
La plateforme Session inclut :
Un support pour le Réseau de Routage en Oignon, un réseau qui utilise des nœuds et un chiffrement à plusieurs couches pour offrir une connexion décentralisée renforçant la sécurité.
Cela est conçu de manière à ce que l’identité de l’utilisateur soit rebondie à différents endroits, rendant techniquement très difficile de retracer les connexions. L’IP de l’utilisateur final est même cachée des serveurs de Session.
Temps de vie du message (TTL), une option dans les paramètres de confidentialité qui permet aux utilisateurs de choisir combien de temps le destinataire aura pour voir le message avant qu’il n’expire et ne soit accessible ni par l’expéditeur ni par le destinataire. Il est possible de définir le temps d’expiration de quelques secondes à une semaine.
Un haut niveau de confidentialité des métadonnées intégré, de sorte que Session ne conserve pas la géolocalisation, les réseaux ou les informations de ses utilisateurs, respectant ainsi ses politiques de confidentialité axées sur la minimisation de la collecte de métadonnées.
Identification par clé publique et absence de données personnelles liées aux comptes, car les ID Session permettent à l’utilisateur de créer un compte sans e-mail ou numéro de téléphone. Les informations sont stockées sur une plateforme décentralisée; l’utilisateur ne peut récupérer son ID qu’avec la phrase de récupération.
Chats de groupe entièrement chiffrés et ouverts, où les chats de groupe chiffrés de bout en bout peuvent rassembler jusqu’à 100 utilisateurs grâce à la plateforme décentralisée. Les utilisateurs peuvent également héberger des groupes ouverts sur leurs propres serveurs, mais dans ce cas, le chiffrement est limité au transit jusqu’au serveur.
Nettoyage sécurisé intégré pour les données locales et sur le serveur, offrant une autre couche de protection pour les utilisateurs souhaitant sécuriser leurs traces au niveau local.
Session ne conserve aucune métadonnée relative aux conversations, n’expose pas l’adresse IP de l’utilisateur à d’autres utilisateurs ou même aux serveurs qui stockent les données – et n’a jamais divulgué ce type d’informations aux gouvernements ou autorités judiciaires jusqu’à présent.
Son code source et son protocole sont ouverts pour garantir transparence et sécurité.
Le Protocole Session est basé sur le Protocole Signal, qui est utilisé pour le chiffrement de bout en bout et le système de Clés de l’Expéditeur pour les groupes fermés.
Concernant ses différences avec le Protocole Signal, trois principales distinctions peuvent être observées dans le Protocole Session : les journaux IP, la confidentialité parfaite à terme, et l’auto-réparation.
Concernant les journaux IP, le routage en Oignon utilisé dans le Protocole Session ne fournit pas à la plateforme de serveurs centraux avec des contrôles IP.
C’est parce que dans le Protocole Signal, sur les serveurs centraux, il est possible d’accéder aux IP pour chaque message envoyé sur la plateforme.
D’un autre côté, les fonctionnalités développées pour le Protocole Session offrent aux utilisateurs une couche supplémentaire de confidentialité et de sécurité face à des tiers.
La Confidentialité Parfaite à Terme (PFS) est une fonctionnalité qui protège les conversations et les messages de l’exposition d’informations clés à long terme.
Cela fonctionne de telle sorte que de nouvelles clés éphémères sont constamment partagées et supprimées dès que de nouvelles clés sont livrées, protégeant les messages les plus récents d’une exposition de la clé à long terme.
Une protection similaire pour les messages fonctionne aux côtés de la clé à courte durée appelée auto-réparation, une fonctionnalité qui garantit qu’aucune clé de message future ne peut être dérivée d’une fuite de clé à cliquet, protégeant les messages futurs de cet événement.
Une fois qu’une clé est exposée, il est seulement possible de lire les messages associés au cliquet actuel.
Ainsi, le PFS et l’auto-réparation protègent le contenu des messages de sorte qu’il est nécessaire d’avoir accès aux clés à long et court terme pour accéder aux anciens et nouveaux messages, ce qui est une fonctionnalité très sécurisée selon les normes actuelles.
De plus, le routage en Oignon protège les IP des utilisateurs, ajoutant une autre couche de sécurité contre le traçage.
Source : Oxen.io
Concernant la confidentialité et les préoccupations juridiques de ses utilisateurs, l’entité derrière Session est la Fondation Oxen Privacy Tech. La Fondation ne peut pas accéder aux données des utilisateurs puisque l’ID Session est public, et l’institution n’a pas accès aux données de l’utilisateur.
Comme le Protocole est basé sur un réseau décentralisé, il n’est également pas possible de remonter à l’adresse IP d’un utilisateur, bien que la récupération des journaux d’accès pour le site web ou l’App Store/Play Store soit toujours possible.
Globalement, Session ne demande pas d’informations personnelles comme un e-mail ou un numéro de téléphone pour l’identification de ses utilisateurs.
Sa politique de confidentialité par défaut est telle que la plateforme ne collecte pas de données de localisation, géolocalisation, réseau ou appareil. Le système de nœuds rend également impossible la divulgation des IP de ses utilisateurs.
Cependant, pour des raisons juridiques dans de nombreuses juridictions, la plateforme doit tenir compte du partage d’informations à des tiers : pour les lois applicables, règlements, processus juridiques, demandes gouvernementales, identifications criminelles et frauduleuses, et pour protéger les droits, la propriété ou la sécurité de Session.
Session peut partager des informations de ses utilisateurs, bien que le manque d’informations et de métadonnées que la plateforme détient sur eux soit minime.
En bref : Session (comme toute autre entreprise) peut être légalement contrainte de partager les données de ses utilisateurs, sauf qu’elle n’a en réalité pas de données utilisateurs à partager.
La technologie blockchain de Session est construite sur la base de la blockchain Oxen, une plateforme de développement pour les outils de confidentialité axée sur la vie privée et la décentralisation.
La blockchain Oxen est maintenue par OPTF et repose sur un réseau de nœuds gérés par la communauté.
Pour utiliser un nœud de service, l’utilisateur doit détenir une certaine quantité de $OXEN, sa crypto-monnaie privée avec des capacités de paiement instantané et anonyme.
Son prix varie entre 15 000 et 3 750 $OXEN pour un nœud partagé, ce qui encourage et récompense des nœuds blockchain fiables afin de créer un système plus robuste et une communauté saine.
Le réseau du système est basé sur des politiques de scalabilité et de décentralisation des Nœuds de Service Oxen, obligeant les membres à bloquer la monnaie mentionnée pour une certaine durée.
En même temps, l’utilisateur reçoit une partie du bloc comme récompense pour sa participation à la communauté blockchain.
Puisque la blockchain de Session est construite sur ce réseau, sa décentralisation et sa fiabilité pour la communauté sont également préservées.
$OXEN est bloqué temporairement lorsqu’un utilisateur est attribué à un nœud pour participer à la communauté blockchain. Cette technologie est un point central de la plateforme pour fournir aux utilisateurs une communauté fiable grâce à des incitations positives pour que les nœuds agissent honnêtement et offrent des normes de sécurité minimales pour le réseau.
La crypto-monnaie offre également un moyen anonyme de transférer de l’argent puisqu’elle est intégrée à l’appli Session et peut être facilement gérée à travers la plateforme, qui propose aussi le « Portefeuille Oxen », une porte d’entrée pour des transactions ou communications privées et décentralisées, permettant aux utilisateurs de voir, recevoir et effectuer des transactions avec $OXEN.
La monnaie passe par un démon, qui se synchronise avec le réseau pour rechercher des transactions.
Session a reçu des avis plutôt positifs de la part des utilisateurs sur l’App Store et le Play Store, avec de nombreux éloges concernant ses fonctionnalités de la part des utilisateurs techniques et soucieux de leur vie privée.
Dans de nombreuses critiques et classements d’applications de messagerie sécurisée et chiffrée, Session apparaît comme l’une des plus appréciées.
La plateforme mettant l’accent sur la confidentialité et la sécurité en premier lieu, et les caractéristiques secondaires ensuite, certains utilisateurs se sont plaints de l’absence de fonctionnalités comme les autocollants, qui sont un peu moins conviviaux que sur Telegram qui propose une approche facile d’accès et de partage pour ces fonctions. Mais globalement, les retours sont bons.
Consultez notre critique de Telegram pour en savoir plus sur ce service.
Début 2021, Signal et Session ont connu une hausse rapide de leur popularité, le premier attirant des millions de nouveaux utilisateurs suite à une couverture médiatique des problèmes de sécurité des plateformes de messagerie.
Le 14 janvier, la plateforme Signal a annoncé sur ses canaux de communication officiels avoir dépassé les 50 millions de téléchargements sur le Play Store.
Comme Session utilise le protocole de Signal avec de nouvelles couches de sécurité personnalisées, cette montée en popularité a également contribué à faire connaître Session au grand public, la plaçant parmi les bonnes alternatives à WhatsApp ou FaceTime dans les actualités et les sites spécialisés.
Globalement, la couverture médiatique a été positive, présentant Signal comme l’une des applications les plus sécurisées pour la communication sur Internet, avec une communauté toujours croissante et active. Cependant, il lui manque certaines fonctionnalités qui pourraient déplaire à certains.
À ce titre, les fonctionnalités de Signal et Telegram semblent mieux adaptées au grand public.
Le Deccan Herald a cité Session comme l’une des principales raisons de quitter WhatsApp pour une option axée sur la confidentialité. Nexpit voit Session comme l’un des messagers les plus prometteurs et un excellent choix à utiliser aux côtés de Telegram.
Le Windows Club le présente comme puissant pour l’anonymat et la sécurité, mais pas assez riche en fonctionnalités pour le consommateur final.
Les inconvénients cités sont l’absence d’authentification à deux facteurs et une marge de personnalisation réduite par rapport à d’autres applications.