Une nouvelle messagerie chiffrée réserve l'accès aux conversations à une clé de sécurité matérielle, sans numéro de téléphone, ni adresse e-mail. Elle s'appelle Darkup, elle est française et elle associe le protocole de chiffrement de Signal à une clé YubiKey.

Le chiffrement de Signal verrouillée par une YubiKey : voici Darkup, une nouvelle messagerie sécurisée française
Le chiffrement de Signal verrouillée par une YubiKey : voici Darkup, une nouvelle messagerie sécurisée française

Darkup se présente comme une messagerie et un service d'appels chiffrés de bout en bout, où aucune conversation ne peut être ouverte sans une clé physique associée au compte. Le service, édité par la société GEST-IA à Paris, ouvre son accès avec une offre de lancement limitée à 200 comptes fondateurs.

Une identité entièrement logée dans une clé physique

Le chiffrement repose sur le protocole Double Ratchet, celui qui fait aussi tourner Signal. Chaque message reçoit sa propre clé de chiffrement, détruite aussitôt après usage. Concrètement, même si une clé venait à être compromise plus tard, les messages déjà échangés restent illisibles. C'est le principe de la confidentialité persistante (Perfect Forward Secrecy).

Pour créer un compte, il suffit d'approcher une clé de sécurité YubiKey 5C NFC d'un smartphone iOS ou Android. L'identité de l'utilisateur est alors générée directement sur l'appareil puis scellée à cette clé, laquelle ne quitte jamais le matériel. Elle ne peut ni être copiée, ni extraite, ni récupérée par hameçonnage. Aucun numéro ni adresse e-mail n'est demandé. Les contacts s'ajoutent en personne par QR code, ou à distance en partageant une clé de contact vérifiée. Le coffret contient une YubiKey 5C NFC accompagnée d'une carte d'activation. Au paiement, un code de commande affiché dans l'application permet de relier la clé au compte sans jamais exposer l'identité de son propriétaire.

Darkup.io

Les serveurs de Darkup ne voient jamais le contenu des messages ni l'identité des personnes qui les envoient. Ils ne font que transmettre du contenu déjà chiffré. Les photos, vidéos et messages vocaux sont à usage unique et supprimés après 24h, avec une détection de capture d'écran qui déclenche automatiquement l'effacement du média. La fonctionnalité Dark Maps permet de partager sa position en temps réel, toujourschiffré de bout en bout. L'entreprise indique qu'il n'existe ni porte dérobée, ni sauvegarde récupérable. En pratique, si vous perdez votre clé, vous perdez donc aussi définitivement votre identité . L'équipe explique qu'"[e]n contrepartie, personne ne pourra jamais usurper votre identité, même en saisissant votre téléphone."

Une messagerie privée sur abonnement

L'accès démarre par un paiement unique de 79,90 euros. Cela inclut la clé (valeur de 69 euros chez Yubico) et la carte d'activation. En plus du matériel, un abonnement est requis. En achetant le coffret, trois mois d'abonnement sont offerts, puis le prix "fondateur" de 9,90 euros par mois s'applique à vie pour les 200 premiers comptes, avant de passer à 14,90 euros par mois pour les suivants. Un pack Duo est proposé à 139,90 euros, lequel permet donc d'équiper deux personnes avec deux clés dans le même coffret.

Parmi les autres solutions françaises, nous avions déjà passé en revue Olvid. Elle aussi fonctionne sans identifiant personnel et a obtenu deux certifications de sécurité de premier niveau de l'ANSSI avant d'ouvrir son code source. Avec YubiKey, Darkup rajoute donc un élément physique de sécurité.

Soulignons tout de même que les clé YubiKey font l'objet de critiques. Interviewé par nos soins, Jan Suhr, fondateur de la société allemande concurrente Nitrokey, affirmait que certaines entreprises comme Yubico forcent les consommateurs à "acheter un nouvel appareil pour résoudre des problèmes de sécurité. C'est peut-être un bon modèle commercial pour eux, mais ce n'est pas notre conception de l'équité". Face à ces propos, un porte-parole de Yubico nous affirme : "Yubico ne met pas à jour le firmware afin de garantir la sécurité la plus élevée possible à ses clients. Les YubiKeys sont conçues comme des systèmes fermés afin d'éviter les vulnérabilités de sécurité liées à l'audit du code source pour y trouver des failles, ou à l'extraction des clés cryptographiques."

Le site de Darkup.io ne mentionne à ce stade aucun audit indépendant ni certification équivalente à celles obtenues par Olvid. L'équipe nous indique toutefois être en phase de déclaration de cryptologie auprès de l'ANSSI. L'application est en cours de validation sur l'App Store avec un lancement imminent. Elle est également en cours de validation sur le Play Store et sera disponible par la suite sur Android.