Affichage des résultats du sondage: Quelle est l'application mobile la plus sécurisée pour protéger sa vie privée ?

Votants
8. Vous ne pouvez pas participer à ce sondage.
  • Signal

    3 37,50%
  • Riot

    3 37,50%
  • WhatsApp

    0 0%
  • SecureDrop

    0 0%
  • Telegram Messenger

    0 0%
  • Autres (à préciser en commentaire)

    2 25,00%
+ Répondre à la discussion Actualité déjà publiée
  1. #1
    Chroniqueur Actualités

    Homme Profil pro
    Administrateur de base de données
    Inscrit en
    mars 2013
    Messages
    2 593
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Localisation : Canada

    Informations professionnelles :
    Activité : Administrateur de base de données

    Informations forums :
    Inscription : mars 2013
    Messages : 2 593
    Points : 54 275
    Points
    54 275

    Par défaut Quelle est l'application mobile la plus sécurisée pour protéger sa vie privée ?

    Quelle est l'application mobile la plus sécurisée pour protéger sa vie privée ?
    Signal remporte le vote d'Edward Snowden, qu'en est-il de vous ?

    En réponse aux révélations de Snowden, le nombre d'applications de messagerie promettant une amélioration de la sécurité pour protéger la vie privée des utilisateurs face à la surveillance s'est rapidement multiplié. Dans la pléthore d’applications proposées au public, quelques unes ont su s’attirer les faveurs de certains : c’est le cas par exemple de Signal, une application de messagerie chiffrée disponible sur Android et iOS qui est recommandée et utilisée par Edward Snowden. Même le quotidien New York Times la recommande pour ceux qui sont un tantinet frileux sur les questions liées à la vie privée.

    Il faut dire que Signal possède certaines caractéristiques qui lui permettent de se différencier de nombreuses applications concurrentes : non seulement son algorithme de chiffrement est souvent analysé, mais en plus il permet aux experts d’inspecter son code source. Ces derniers peuvent alors par exemple, en plus des bogues, chercher s’il y a une quelconque porte dérobée, ce qui le rend plus digne de confiance que plusieurs de ses concurrents.

    Notons également qu’Open Whisper Systems, l’entreprise qui développe Signal, est connue pour ne consigner que des informations minimales sur ses utilisateurs. Par conséquent, lorsque les organismes chargés de l'application de la loi exigent des informations sur les « métadonnées » des messages, l’entreprise ne peut pas leur fournir beaucoup d'informations utiles. Au cours des dernières semaines, elle a eu droit à plusieurs mises à jour, notamment avec la suppression automatique des messages et une vérification simplifiée des conversations sécurisées.

    Mais Signal ne fait pas l’unanimité : dans un billet de blog, l’entreprise a affirmé que son application est victime d’un blocage en Egypte et aux Emirats Arabes Unis. « Dans les pays avec un petit nombre de FAI qui appliquent toutes des règles de filtrage définies par l'État, le contournement de la censure peut être difficile. Après tout, ils peuvent toujours désactiver l'accès réseau entièrement. L'objectif d'une application comme Signal est de faire en sorte que la désactivation de tout le réseau internet soit le seul moyen à la disposition du gouvernement pour bloquer Signal », ont assuré les responsables.


    Aussi, pour contourner ce problème, Open Whisper Systems a fait appel à une technique baptisée « domain fronting » : « de nombreux services populaires et CDN, tels que Google, Amazon Cloudfront, Amazon S3, Azure, CloudFlare, Fastly et Akamai peuvent être utilisé pour accéder à Signal d’une manière qui semblent indiscernables d'autres trafic non censurés. L'idée est que, pour bloquer le trafic ciblé, le censeur devrait également bloquer ces services entiers. Avec suffisamment de services à grande échelle agissant comme des fronts de domaine, désactiver Signal va commencer à ressembler à désactiver l'Internet ».

    Avec la dernière mise à jour sur Android, les utilisateurs qui ont un numéro de téléphone provenant d'Égypte et des Émirats arabes unis ont le « domain fronting » activé automatiquement : « lorsque ces utilisateurs envoient un message Signal, il ressemblera à une demande HTTPS normale vers www.google.com. Pour bloquer les messages de Signal, ces pays devraient également bloquer entièrement google.com ». Cette fonctionnalité anti-censure est également sur iOS sur le canal bêta et sera bientôt disponible en production.

    Les développeurs prévoient également des améliorations futures qui permettront à l'application de détecter la censure automatiquement et de passer au domain fronting même si l'utilisateur dispose d’un numéro de téléphone d'un pays où la censure n'est pas normalement présente. Le but est de couvrir les cas où les utilisateurs se déplacent dans d'autres pays où l'application pourrait être bloquée.

    Une autre application qui a le vent en poupe est Riot : en plus de permettre aux experts d’inspecter son code source comme Signal et de promettre d’être « aussi sécurisé que Signal », Riot est basé sur le protocole Matrix, un protocole ouvert pour les communications en temps réel qui est conçu pour les communications décentralisées. Cela signifie qu’il n’est pas nécessaire d’avoir installée l’application Riot sur son terminal pour discuter avec quelqu’un étant donné qu'il n'existe aucune instance centrale qui contrôle Matrix ou Riot.

    En dehors de cette différence fondamentale, notons que :
    • Signal ne peut s'exécuter que sur un seul périphérique mobile (votre identité est liée à un seul périphérique). Aussi, plusieurs périphériques ont des identités différentes. Riot vous permet d'utiliser une seule identité sur tous vos appareils ;
    • les utilisateurs de Signal sont identifiés par leur numéro de téléphone. Vous ne pouvez pas utiliser Signal sans transmettre votre numéro de téléphone à Open Whisper Systems et vous devez donner votre numéro de téléphone à tous ceux avec lesquels vous souhaitez communiquer sur Signal. Les utilisateurs de Riot sont identifiés par leurs noms d'utilisateur. Vous n'avez pas besoin de donner à quelqu'un votre numéro pour entrer en contact avec lui via Riot ;
    • Riot a une interface de programmation ouverte. Tout le monde peut écrire des logiciels interagissant avec Riot, comme des bots. Signal est un système fermé qui permet seulement au client officiel d'interagir avec lui.

    Les applications disposant de chiffrement de bout en bout sont nombreuses, cependant, la question de savoir quelle est la meilleure application de messagerie pour ceux qui veulent se protéger de la surveillance de masse n’est pas aussi évidente qu’il n’y paraît. La réponse à cette question peut être tributaire de la raison pour laquelle vous pensez que la surveillance est mauvaise.

    Une raison possible est que vous voulez simplement cacher des informations sur vous-même (ce qui est très souvent une situation tout à fait légitime). Dans ce cas, la seule fonctionnalité dont il faut vous soucier c’est de savoir si le chiffrement peut être brisé ou si l'application que vous utilisez vous empêche de révéler accidentellement des informations.

    Une autre raison est que la surveillance pourrait porter atteinte à la liberté collective et publique dans une démocratie en enlevant le contrôle de la sphère publique aux citoyens. Si c'est votre principal souci, d'autres critères deviendront également importants. Bien entendu, vous serez toujours soucieux de la qualité du chiffrement, mais vous vous soucierez également de savoir si l'application de messagerie que vous utilisez réellement permet aux gens ordinaires de reprendre le contrôle sur leurs interactions avec les autres.

    Source : blog Open Whisper Systems, blog Matrix, blog Riot, New York Times

    Et vous ?

    Qu'en pensez-vous ? Quelle est, selon-vous, l'application mobile qui vous semble la plus sécurisée ? Sur quels critères vous basez vous ?

  2. #2
    Membre éclairé
    Homme Profil pro
    Développeur informatique
    Inscrit en
    juillet 2007
    Messages
    448
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Âge : 35
    Localisation : France, Loire Atlantique (Pays de la Loire)

    Informations professionnelles :
    Activité : Développeur informatique
    Secteur : High Tech - Opérateur de télécommunications

    Informations forums :
    Inscription : juillet 2007
    Messages : 448
    Points : 685
    Points
    685

    Par défaut

    Riot à l'avantage sur Signal d'être décentraliser, je le préfère donc. Cependant j'ai l'impression que Signal est plus abouti.

    Le critère absolument nécessaire je trouve c'est que
    - Les messages soient chiffrés de bout en bout.
    - L'application côté client et serveur soit entièrement Open-Source.
    - L'application soit le plus indépendante de tout élément élément central (décentralisé (le top), "domain fronting" (astucieux)...).
    Tout ce que j'écris est libre de droits (Licence CC0) et je vous incite à faire de même.

  3. #3
    Provisoirement toléré Avatar de MikeRowSoft
    Homme Profil pro
    sans profession
    Inscrit en
    avril 2013
    Messages
    1 007
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Âge : 38
    Localisation : France, Puy de Dôme (Auvergne)

    Informations professionnelles :
    Activité : sans profession

    Informations forums :
    Inscription : avril 2013
    Messages : 1 007
    Points : 0
    Points
    0

    Par défaut

    Si l'application du téléphone est à la fois client-serveur pop3 ou imap ou autres avec une adresse dynamique (nom de host) de type DynDNS ou autres) alors peut-être bien que oui. Mais comme https la clé public est visible et les protagonistes synchronisés. Tous comme, si l'équipement n'est pas sur le réseau, le serveur fera une nouvelle tentative plus tard...
    Il manque la possibilité de " j'en ai pas vraiment besoins, mais pour le boulot se serait sympa pour éviter l'espionnage industrielle."

    EDITION :
    La synchronisation venant du milieu des cartes bancaires avec au dos un code de 3 digit qui change tous les 5 minutes ou 15 minutes sans que l'autonomie de la carte soit menacé, Apple Pay devrait sûrement y trouver son compte ou conte... Cela reste à confirmé par au moins une équipe de spécialistes...

  4. #4
    Nouveau Candidat au Club
    Homme Profil pro
    .
    Inscrit en
    mai 2015
    Messages
    422
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Localisation : Belgique

    Informations professionnelles :
    Activité : .

    Informations forums :
    Inscription : mai 2015
    Messages : 422
    Points : 0
    Points
    0

    Par défaut

    - L'application côté client et serveur soit entièrement Open-Source.
    Je vais ecore une fois me faire allumer mais tant pis...

    Que l'application soit OpenSource ne te garanti absolument rien du tout :

    - T'es pas certain que c'est bien ce code qui est utilisé... ce n'est pas toi qui a compilé
    - Si la maintenance est mal faite (Ils ont mis a jours OpenSSL ? )
    - Un service internet est loin de n'etre que du code, il y a l'infrastructure, le reseaux et tous le reste
    - OpenSource ne veut pas dire sans vulerabilité. Des hacker on pu trouver une faille en analysant le code et l'utiliser sans la rendre publique... t'aura pas de patch
    , et ca peut durer longtemp....
    - ....

    Dire que c'est secure ca c'est de l'OpenSource est une grosse faute de débutant....

  5. #5
    Membre averti
    Homme Profil pro
    Lycéen
    Inscrit en
    décembre 2014
    Messages
    106
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Localisation : France, Seine et Marne (Île de France)

    Informations professionnelles :
    Activité : Lycéen

    Informations forums :
    Inscription : décembre 2014
    Messages : 106
    Points : 316
    Points
    316

    Par défaut

    Signal a besoin des services google play installés sur Android pour fonctionner, comprendre Google en root sur le tel avec accès a distance. Niveau vie privée et sécurité on a fait mieux...

  6. #6
    Membre du Club
    Profil pro
    Développeur informatique
    Inscrit en
    décembre 2013
    Messages
    25
    Détails du profil
    Informations personnelles :
    Localisation : France, Var (Provence Alpes Côte d'Azur)

    Informations professionnelles :
    Activité : Développeur informatique
    Secteur : High Tech - Éditeur de logiciels

    Informations forums :
    Inscription : décembre 2013
    Messages : 25
    Points : 65
    Points
    65

    Par défaut

    Citation Envoyé par Article
    une application de messagerie chiffrée disponible sur Android et iOS qui est recommandée et utilisée par Edward Snowden.
    Citation Envoyé par derderder Voir le message
    Signal a besoin des services google play installés sur Android pour fonctionner[...]
    Snowden recommande (indirectement) d'utiliser Android et son play store propriétaire ? Je trouve que c'est étrange.

    A moins que nous ayons affaire au phénomène Einstein tel que je l'appelle, qui consiste à mentionner ou à attribuer à tord une citation ou une idée à une célébrité respectable pour donner du crédit à quelques chose qui n'en a pas (phénomène très courant sur faiss2bouc).


    D'ailleurs parmi les sources seul le New York Times parle de Snowden, si je ne me trompe pas, et il est écrit à ce sujet:

    The free encrypted messaging service has won the acclaim of security researchers and privacy advocates, including Edward J. Snowden.
    => Le service de messagerie libre et crypté a reçu les éloges des experts en sécurité et des défenseurs de la vie privée tel que Edward J. Snowden.

    Cela ne signifie pas qu'il s'en sert personnellement ni qu'il le recommande, pour moi cela veut dire qu'il salue simplement l'effort de l'éditeur de se pencher sur la question de la vie privée.

    Google est présent avant le chiffrement et après le déchiffrement ; appli décentralisée ou pas le gouvernement américain (principalement mais pas seulement celui-ci) et des enseignes commerciales peuvent toujours entrer dans notre intimité tout comme leurs cousins les black hat par le biais d'une des nombreuses appli obscures et connectées du playstore (sur les plateformes underground avec contenu proprio c'est pire).

    D'un autre côté le travail d'investigation coûtera plus chère et orientera encore d'avantages le datamining sur les criminels et non sur l'utilisateur lambda (bien que lors d'une enquête des infos d'utilisateurs lambda pourraient être techniquement révélées et stockées ["dommages collatéraux"]). Mais après une recherche sur cette appli le contenu pourrai probablement être récupéré avant chiffrement par des services résidents sur le portable vu qu'ayant un accès root pour certains, comme le précise Derderder. Donc le coût serai légèrement augmenté.

    Je ne pense pas être trop dans l'erreur, mais alors pourquoi dépenser inutilement de l'énergie dans des appli pour la vie privée sur Android ? Geste marketing caché surfant sur la vague Snowden ou réel souhait de protéger la vie privée (mais naïf dans ce cas) ?

    Sinon article contenant des informations intéressantes.

  7. #7
    Membre du Club
    Homme Profil pro
    Développeur & Scrum Master
    Inscrit en
    août 2010
    Messages
    86
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Localisation : Cameroun

    Informations professionnelles :
    Activité : Développeur & Scrum Master
    Secteur : Industrie

    Informations forums :
    Inscription : août 2010
    Messages : 86
    Points : 59
    Points
    59

    Par défaut

    Riot est basé sur le protocole Matrix, un protocole ouvert pour les communications en temps réel qui est conçu pour les communications décentralisées. Cela signifie qu’il n’est pas nécessaire d’avoir installée l’application Riot sur son terminal pour discuter avec quelqu’un étant donné qu'il n'existe aucune instance centrale qui contrôle Matrix ou Riot.
    • j'ai l'impression qu'application décentralisée implique qu'il n'est pas nécessaire de faire une installation cliente
    • je ne comprends plus si Riot est à installer ou à exécuter via un navigateur ou autre chose

  8. #8
    Membre du Club
    Profil pro
    Développeur informatique
    Inscrit en
    décembre 2013
    Messages
    25
    Détails du profil
    Informations personnelles :
    Localisation : France, Var (Provence Alpes Côte d'Azur)

    Informations professionnelles :
    Activité : Développeur informatique
    Secteur : High Tech - Éditeur de logiciels

    Informations forums :
    Inscription : décembre 2013
    Messages : 25
    Points : 65
    Points
    65

    Par défaut

    @levolutionniste : En faite chacun peut héberger son serveur Riot (localement par exemple).

    Une fois installé on peut se servir du serveur avec plusieurs services de communication IRC, Slack ou Gitter (peut être d'autres je ne sais pas).

    En tout cas c'est ce qui est dit sur le site officiel: https://riot.im/

    A+

Discussions similaires

  1. quelle est la distribution LINUX la plus sécurisée
    Par linux-inside dans le forum Distributions
    Réponses: 10
    Dernier message: 31/08/2011, 14h08
  2. Réponses: 6
    Dernier message: 01/07/2011, 14h28
  3. Réponses: 0
    Dernier message: 28/06/2011, 23h18
  4. Réponses: 14
    Dernier message: 13/08/2010, 10h14
  5. Quelle est la ditribution linux la plus proche de windows?
    Par padodanle51 dans le forum Distributions
    Réponses: 9
    Dernier message: 17/08/2006, 10h43

Partager

Partager
  • Envoyer la discussion sur Viadeo
  • Envoyer la discussion sur Twitter
  • Envoyer la discussion sur Google
  • Envoyer la discussion sur Facebook
  • Envoyer la discussion sur Digg
  • Envoyer la discussion sur Delicious
  • Envoyer la discussion sur MySpace
  • Envoyer la discussion sur Yahoo