La plate-forme de messagerie sociale populaire Discord a annoncé qu’il déploie un nouveau protocole personnalisé crypté de bout en bout (E2EE) pour sécuriser les appels audio et vidéo.
Le protocole a été baptisé DAVEabréviation de cryptage de bout en bout audio et vidéo de Discord (« E2EE A/V »).
Dans le cadre du changement introduit la semaine dernière, la voix et la vidéo dans les DM, les DM de groupe, les canaux vocaux et les flux Go Live devraient être migrées pour utiliser DAVE.
Cela dit, il convient de noter que les messages sur Discord resteront non chiffrés et sont soumis à son approche de modération de contenu.
« Lorsque nous envisageons d’ajouter de nouvelles fonctionnalités de confidentialité telles que E2EE A/V, nous ne le faisons pas sans tenir compte de la sécurité », a déclaré Discord. dit« C’est pourquoi la sécurité est intégrée à nos produits et à nos politiques, et pourquoi les messages sur Discord ne sont pas chiffrés. »
« Les messages seront toujours soumis à notre approche de modération du contenu, ce qui nous permettra de continuer à offrir des protections de sécurité supplémentaires. »
DAVE est auditable publiquement et a été examiné par Trail of Bits, avec le protocole exploitant Transformations codées WebRTC et Message Layer Security (MLS) pour le chiffrement et l’échange de clés de groupe (GKE), respectivement.
Cela permet aux trames multimédias, en dehors des métadonnées du codec, d’être cryptées après avoir été codées et décryptées avant d’être décodées côté récepteur.
« Chaque trame est chiffrée ou déchiffrée avec une clé symétrique propre à chaque expéditeur », a déclaré Discord. « Cette clé est connue de tous les participants à la session audio et vidéo, mais elle est surtout inconnue de toute personne extérieure à l’appel, y compris Discord. »
L’utilisation de MLS, d’autre part, permet aux utilisateurs de rejoindre ou de quitter une session vocale ou vidéo sur Discord de telle manière que ni les nouveaux participants ne peuvent décrypter les médias envoyés avant leur arrivée, ni les membres sortants ne peuvent décrypter les médias envoyés à l’avenir.
« Le cryptage de transport existant de Discord pour l’audio et la vidéo entre le client et notre unité de transfert sélectif (SFU) est conservé, garantissant que seuls l’audio et la vidéo des participants à l’appel authentifiés sont transférés », a-t-il noté.
« Alors que le SFU traite toujours tous les paquets pour l’appel, les données audio ou vidéo à l’intérieur de chaque paquet sont cryptées de bout en bout et indécryptables par le SFU. »
Cette évolution intervient quelques jours après que la GSM Association (GSMA), l’organisme directeur qui supervise le développement du protocole Rich Communications Services (RCS), a déclaré qu’elle travaillait à la mise en œuvre de E2EE pour sécuriser les messages envoyés entre les écosystèmes Android et iOS.