Discussion :

[Bill Fassinou]

Signal, une application de messagerie rapide et sécurisée, approuvée par Snowden,
mais est-elle vraiment plus sécurisée que ses concurrents ?

La vie privée est la capacité, pour une personne ou pour un groupe de personnes, de s'isoler afin de protéger ses intérêts. Les limites de la vie privée ainsi que ce qui est considéré comme privé diffèrent selon les groupes, les cultures et les individus, selon les coutumes et les traditions bien qu'il existe toujours un certain tronc commun. Ainsi définie, peut-on affirmer qu’il existe aujourd’hui une vie privée sur Internet ? Une question qui paraît bien rhétorique si l’on doit tenir compte de tous les tourments enregistrés sur Internet et le Web ces dernières années.

Depuis l’avènement des réseaux sociaux, Facebook, Twitter, Snapchat, etc., la place qu’ils occupent aujourd’hui dans la vie de tout le monde est très importante. Les différents services de messagerie privée (Facebook Messenger, Whatsapp, Telegram etc.) dont disposent ces plateformes ont connu un succès remarquable, mais dans le même temps, les questions liées à la vie privée des utilisateurs de ces plateformes et celles liées à la confidentialité se sont multipliées. Des scandales de violation de vie privée frappent continuellement la plupart de ces services, au point où l’on se demande laquelle parmi ces applications doit-on utiliser pour espérer limiter un tout petit peu les dégâts.

Les gérants de ces plateformes n’ont pas cessé d’apporter des mises à jour pour sécuriser encore et encore leurs applications, mais l'on ne semble toujours pas au bout de nos efforts. Dans cette dynamique, et après avoir été tourmenté pendant presque trois années par le Scandale de Cambridge Analytica et poursuivi par des plaintes de tout genre (antitrust, fake news, etc.), Facebook, le plus grand des réseaux sociaux dans le monde a décidé de repenser totalement sa plateforme principale. La société projette à l’avenir d’unifier ses trois meilleures applications dans le but d’offrir plus de sécurité et de garantir la confidentialité et la vie privée.

Cela suffira-t-il pour regagner la confiance de ses utilisateurs ? On ne saurait répondre à cette question très exactement. En attendant, d’autres concurrents cherchent à se frayer un chemin et conquérir quelques parts du marché, alors que Facebook se débat de ses tourments. Pour cette fois, c’est « Signal », une application de messagerie instantanée qui se propose comme étant la solution voulue à tous ces problèmes. Ses promoteurs le définissent comme l’application de messagerie privée qui apporte la confidentialité dans votre poche.

Selon ses concepteurs, Signal est une application open source disponible sur Android et iOS et permettant de communiquer de façon chiffrée. Il existe également une application cliente pour les ordinateurs de bureau disponible pour Windows, Mac OS et les versions de Linux basées sur Debian. Cette version pour ordinateur de bureau utilise le framework Electron. Signal est développé par l'organisation Open Whisper Systems et est diffusé sous la licence GPL v33 comme un logiciel gratuit et libre. Ce logiciel est soutenu et recommandé par The Guardian Project et Edward Snowden, le lanceur d’alerte sur certains agissements de la CIA et du gouvernement américain en 2013 et défenseur de la vie privée.

Notons qu'Open Whisper Systems est une entreprise fondée en 2013 par Moxie Marlinspike (pseudonyme). Elle a développé un algorithme de chiffrement des communications nommé Signal Protocol et maintient plusieurs applications open source dont la messagerie privée Signal, à destination des appareils mobiles et des ordinateurs personnels. L'entreprise se finance par des dons et est soutenue par l'Open Technology Fund, une organisation financée par le gouvernement des États-Unis pour promouvoir les libertés sur l'Internet.

D’après leurs divers témoignages, Snowden et les autres qui ont testé l'application ont assuré que Signal est conçu pour être l’outil de chiffrement le plus évolutif qu’il existe dans le monde. Snowden va même jusqu’à demander « d’utiliser tout ce qui est conçu par l’entreprise Open Whisper Systems ». Signal vous permet de passer des appels vocaux ou vidéo clairs avec des personnes qui vivent à l’autre bout de la ville ou par-delà l’océan en toute sécurité et avec un haut niveau de chiffrement. Les appels vocaux seraient chiffrés par ZRTP et les messages textes que vous envoyez sont chiffrés par le protocole cryptographique libre Signal Protocol.

Le Signal Protocol, anciennement connu sous le nom de TextSecure Protocol, est un protocole cryptographique non fédéré pouvant être utilisé pour chiffrer de bout en bout des appels vocaux et vidéo ainsi que des conversations par messagerie instantanée. Il a été développé par Open Whisper Systems en 2013 et a été introduit pour la première fois dans l'application Signal. Il a depuis été implémenté dans d'autres applications telles que WhatsApp et Facebook Messenger(en mode « conversation secrète ») et Google Allo (en « mode incognito »). Sur ce point, beaucoup cherchent à savoir en quoi est-ce que Signal est différent ou plus sécurisé que les autres services de messagerie qui existent si déjà, ils partagent les mêmes protocoles de chiffrement.

D’après la FAQ dédiée à l’application, Signal utilise également Curve25519, AES-256 et HMAC-SHA256. La sécurité de ces algorithmes a été testée au cours de nombreuses années d'utilisation dans des centaines d'applications différentes. Les messages de signalisation et les appels sont cryptés de bout en bout, ce qui signifie qu'ils ne peuvent être lus ou entendus que par les destinataires prévus. « Signal est l’outil de chiffrement le plus évolutif que nous ayons. Il est gratuit et examiné par des pairs. J’encourage tout le monde à l’utiliser tous les jours », a déclaré Laura Poitras, réalisatrice oscarisée et journaliste.

Open Whisper Systems ajoute que le service de Signal n'a pas accès au contenu des messages ou des appels envoyés ou reçus par les utilisateurs de l’application. De plus, explique l’entreprise, le code source complet pour les clients Signal et le serveur Signal est disponible sur GitHub. Cela permet aux parties intéressées d'examiner le code et d'aider à vérifier que tout se comporte comme prévu. Il permet également aux utilisateurs avancés de compiler leurs propres copies des applications et de les comparer avec les versions qui sont déjà distribuées. Matt Green, cryptographe à l’université Johns-Hopkins à Baltimore aux États-Unis a déclaré qu’après avoir lu le code, il s’est aperçu qu’il bavait littéralement, car « c’était très bien fait ».

D’après le commentaire d’un utilisateur qui a essayé l’application Signal, elle ne fonctionne pas si vous avez plusieurs téléphones ou une tablette. D’après son expérience, il estime que vous ne pouvez avoir Signal que sur votre tablette ou votre téléphone, mais pas les deux. Il a indiqué que d’autres applications permettent cela tout en misant sur la sécurité et pourquoi pas Signal. « C'est un problème avec les applications axées sur la sécurité. Ils sacrifient souvent la facilité d'utilisation sur l'autel de la sécurité optimale », a-t-il déclaré. Selon lui, la sécurité ne doit pas empêcher la facilité d’utilisation de l’application. Il a également souligné que l’UX de l’application n’est pas du tout attractive et qu'elle est un peu compliquée à utiliser.

Source : Signal

Et vous ?

Avez-vous déjà utilisé Signal ? Qu'en pensez-vous ?
Signal vous parait-il plus sécurisé que ses concurrents Whatsapp, Facebook Messenger et autres ? Pourquoi ?
Pourra-t-il concurrencer les autres applications de messagerie en terme de confidentialité des données, selon vous ?

Voir aussi

Facebook procède à une refonte de son application principale pour mieux protéger la vie privée et vous aider à trouver l'amour

Cambridge Analytica aurait fait du profilage de 50 millions d'utilisateurs de Facebook pour influer sur les élections US et le vote du Brexit

Fake news : Facebook veut laisser à ses utilisateurs le soin de déterminer quelles sont les sources de confiance, une mesure qui inquiète les éditeurs

[abriotde]

La sécurité s'oppose par nature à la facilité. Mais surtout Signal est une application Open-Source ce qui est un critère essentiel pour garantir, qu'il n'y a pas de backdoor caché ou de faille de sécurité (volontaire ou non). Dans le domaine Open-Source, assez peu d'application existe, la plupart passent par un serveur central ce qui par nature est contraire à une sécurité maximum puisque ce serveur peux contenir une backdoor (volontaire ou non) et qu’aujourd’hui beaucoup d'entités gouvernemental exige un accès déchiffré.

[Ryu2000]

Mais surtout Signal est une application Open-Source ce qui est un critère essentiel pour garantir, qu'il n'y a pas de backdoor caché

Ouais mais le problème c'est que tu ne compiles pas toi même tes sources (quoi que ça doit être jouable de récupérer le code source, créer un apk et l'installer avec le mode développeur, mais généralement les gens le récupèrent sur le magasin Android).

Le FBI aurait payé des tiers pour insérer des backdoors dans OpenBSD
La CIA s'est servie de VLC et de plusieurs autres logiciels portés par la communauté du libre pour mener ses opérations d'espionnage

Pourra-t-il concurrencer les autres applications de messagerie en terme de confidentialité des données, selon vous ?

Non, parce que les gens s'en foutent de la sécurité...
Ils veulent juste discuter avec leurs amis.

Au final qu'est-ce ça peut faire que l'intégralité de ce que tu as écrit se retrouve dans une base de données de la CIA ?

[Anselme45]

Au final qu'est-ce ça peut faire que l'intégralité de ce que tu as écrit se retrouve dans une base de données de la CIA ?

Ce n'est peut-être pas la base de données de la CIA ou plutôt de la NSA qui pose le plus de problème... mais bien celle de Fessebook!!!

[Ryu2000]

mais bien celle de Fessebook!!!

Ça va juste t'afficher des articles susceptible de t'intéresser.
Par exemple si tu publies des vidéos de pêche sur ton mur, tu vas peut-être voir des publications qui parlent de pèche dans la page d’accueil.
Ce sont des pages facebook qui veulent faire leur promotion et qui paient pour toucher un public susceptible d'être intéressé.

[sixpi]

D’après le commentaire d’un utilisateur qui a essayé l’application Signal, elle ne fonctionne pas […]

:/, ouah, c'est quoi ce paragraphe ? D'après le commentaire d'un utilisateur que l'on ne connait pas, vous faites un paragraphe.

Donc j'ajoute mon commentaire d'un utilisateur, moi :

J'utilise Signal tous les jours comme application de SMS sur mon téléphone, l'application s'utilise comme une application de SMS tout à fait classique de façon transparente plutôt simple à installer et à configurer. Elle envoie des messages crypté si le destinataire possède Signal, sinon elle envoie un SMS, l'information si le message est crypté ou non est très clair (il y a un petit verrou ouvert ou fermé sur chaque message).

Alors oui, peut-être que si on essaie d'utiliser l'application à la fois sur un téléphone et une tablette cela ne fonctionne pas car l'application requiert un numéro de téléphone pour fonctionner… Mais cela reste un cas d'usage particulier (à mon sens). L'application semble plutôt avoir pour objectif de remplacer l'application SMS par défaut du téléphone, qui envoie des SMS depuis sa tablette ? Je peux comprendre la frustration mais de la à intégrer ce commentaire particulier dans votre article…

@Ryu2000 oui, je suis d'accord avec le problème de compilations des sources. On n'a aucune preuve que le code présent sur le dépôt Git est celui qui tourne sur notre téléphone. Donc soit on fait confiance, soit si l'enjeu de sécurité est vraiment important on compile. Par contre, je ne suis pas d'accord sur le "qu'est ce que ça peut faire" : je n'ai pas envie que quiconque écoute mes conversations que ce soit un gouvernement totalitaire, "démocratique", ou une entreprise commercial. Mes conversations avec ma femme, mes enfants, mes amis, mes parents sont PRIVÉ. Il n'y a pas de "mais on s'en fou au final", c'est une question de principe.

[rheracles]

Au final qu'est-ce ça peut faire que l'intégralité de ce que tu as écrit se retrouve dans une base de données de la CIA ?

Orwell, crimepensée, tout ça... ce n'est pas qu'un roman, c'était surtout un avertissement pour le futur, et ce futur c'est maintenant. Et même si tout ce que tu penses et tout ce que tu écris aujourd'hui est bien lisse, bien propret, bien politiquement correct, digne de tous les présentateurs télé du 20h bien formatés... ça sera peut-être jugé criminel demain.

[Ryu2000]

je n'ai pas envie que quiconque écoute mes conversations que ce soit un gouvernement totalitaire, "démocratique", ou une entreprise commercial. Mes conversations avec ma femme, mes enfants, mes amis, mes parents sont PRIVÉ. Il n'y a pas de "mais on s'en fou au final", c'est une question de principe.

Ah d'accord ! Peu de gens ont se principe.
Les gens s'en foutent, ils utilisent la reconnaissance vocale avec leur smartphone et ont Alexa...
Il y a de plus en plus d'objets connectés qui peuvent t'écouter.

Orwell, crimepensée, tout ça...

Ok mais c'est très difficile d'y échapper, pour commencer il faut se passer de smartphone.

===
Je ne pense pas que le grand public se mette à chiffrer ses conversations.

[kirby_blue]

Ça va juste t'afficher des articles susceptible de t'intéresser.
Par exemple si tu publies des vidéos de pêche sur ton mur, tu vas peut-être voir des publications qui parlent de pèche dans la page d’accueil.
Ce sont des pages facebook qui veulent faire leur promotion et qui paient pour toucher un public susceptible d'être intéressé.

Personnellement ça me pose problème. N'ayant pas de compte FB, je prends l'exemple de youtube : si je montre une vidéo à un collègue sur mon téléphone, être interrompu par une pub pour un test de grossesse ou une application pour maigrir révèle clairement des choses sur moi que je ne souhaite pas forcément divulguer. Vous objecterez qu'il suffit de désactiver le ciblage publicitaire mais il restera toujours des informations indiscrètes comme par exemple les vidéos suggérées, basées sur mon historique.



En ce qui concerne Signal, entre amis nous utilisons un groupe Whatsapp pour communiquer. Certains d'entre nous ont tenté d'inciter les autres à passer sur Signal. Ça n'a pas fonctionné pour les raisons suivantes :

- Certains ne veulent pas s'embêter à changer quelque chose qui fonctionne très bien. Pire: certains estiment que vivre "caché" n'a aucun intérêt et refusent donc de privilégier leur sécurité au détriment de certaines fonctionnalités.

- Au niveau des fonctionnalités manquantes, on peut relever : interface attrayante, appels vidéo, recherche et partage de gifs animés, partage de vidéos depuis l'application, affichage de présence en ligne, synchro entre l'app mobile et le client desktop.


S'ils veulent une adoption massive, ils doivent encore s'améliorer...mais face à face avec le bouc, c'est pas gagné

[Ryu2000]

si je montre une vidéo à un collègue sur mon téléphone, être interrompu par une pub pour un test de grossesse ou une application pour maigrir révèle clairement des choses sur moi que je ne souhaite pas forcément divulguer.

Ah ouais effectivement je n'avais pas pensé à ce cas de figure.
Il peut y avoir plein de situations gênantes en effet.
Genre des pubs en rapport avec des IST, un site de rencontre extraconjugale, une procédure de divorce, etc.

- Certains ne veulent pas s'embêter à changer quelque chose qui fonctionne très bien. Pire: certains estiment que vivre "caché" n'a aucun intérêt et refusent donc de privilégier leur sécurité au détriment de certaines fonctionnalités.

Ouais ya aussi la fameuse phrase "je n'ai rien à caché", ils ont peur de passer pour des gens louche si ils cachent leur conversations.

S'ils veulent une adoption massive, ils doivent encore s'améliorer...mais face à face avec le bouc, c'est pas gagné

On va dire que les gens privilégient "la liberté" à la sécurité.

[seifdev]

Bonjour,
Un truc fou m'est arrivée lors de l'utilisation de signal. j'ai utilisée cette l'été 2017 une fois lors que je discutez avec un de mes contactes un message m'est apparue "FBI" dans la discussion
Mon interlocuteur ne pouvez pas voir le message.

[Invité]

On va dire que les gens privilégient "la liberté" à la sécurité.

Et Benjamin nous dirait "Un peuple prêt à sacrifier un peu de liberté pour un peu de sécurité ne mérite ni l'une ni l'autre, et finit par perdre les deux"

J'avais participé à un gros débat pendant un cours d'éthique avec ma promo, c'était plutôt intéressant.

Il y en avait un qui expliquait clairement qu'il s'en foutait royalement de se faire pomper ses données. Son argument était qu'en contrepartie, il avait des supers appli gratuites (la suite Google notamment), et qu'en plus le ciblage publicitaire lui permlettait d'avoir facilement des choses pour lui. Qu'en gros, c'était du gagant-gagnant pour les deux parties.

Pour un autre, ce n'était que le début de la mise en place d'un état policier surveillant tous les concitoyens, et où toute action contre / pas en phase le gouvernement en place serait sujet à punition (koukou la Chine).

Qui a raison, qui a tord, c'est un débat sans fin, mais sans doute un peu les deux

[Médinoc]

Cette application est-elle interdite en Russie? Si elle ne l'est pas, il y a des chances qu'elle ne soit pas vraiment sécurisée.

[Ryu2000]

Qui a raison, qui a tord

Les 2 ont raison, on a accès à des applications gratuites comme Twitter, Facebook, WhatsApp, Snapchat, Tinder, Instagram, YouTube, les outils Google, etc.
Mais la surveillance US et les entreprises récupèrent toutes les infos et petit à petit des idées seront interdite, il y a aura l'équivalent d'un ministère de la vérité et on sera sanctionné pour avoir mal pensé.

C'est pire que 1984, parce que là ce sont les gens qui donnent eux même des infos.
Ils font de l'auto-délation ^^ lol

Les terroristes n'ont pas de smartphone

Cette application est-elle interdite en Russie?

Au moins ce pays a accepté de protéger Snowden, ce qui n'est pas le cas de la France par exemple...

Il existe des gouvernements qui aimeraient interdire le chiffrement.

LE CHIFFREMENT BIENTÔT INTERDIT AU ROYAUME-UNI ?

L'argument s’inscrit dans le débat désormais classique qui oppose les partisans du respect des données personnelles à ceux prônant une plus grande supervision au nom d'une sécurité accrue. Il est suffisamment prévalent pour que le gouvernement britannique, qui s’apprête à voter une loi baptisée "Investigatory Powers Bill" (équivalent de la Loi renseignement française), souhaite qu'y figure une interdiction pure et simple des méthodes de chiffrement qui n’incluraient pas de "porte dérobée" (backdoor) permettant au gouvernement de les déchiffrer à loisir. Sont tout particulièrement visés les géants du net pointe The Telegraph, qu’il s’agisse de Twitter, Facebook, Google ou autres, qui ont redoublé d’efforts depuis deux ans pour sécuriser les données de leurs utilisateurs.

Ils seraient devenus, à en croire Robert Hannigan, le directeur du GCHQ (la NSA britannique), des "centres de commandement terroristes virtuels". Et la France n'est pas en reste. "Nous allons investir dans des moyens numériques face à des terroristes qui utilisent le cryptage," a déclaré Bernard Cazeneuve le 17 novembre.

[abriotde]

Au final qu'est-ce ça peut faire que l'intégralité de ce que tu as écrit se retrouve dans une base de données de la CIA ?

Eh bien par exemple tu pourrais être interdit de séjour aux USA parce qu'un jour t'as dis "On va demander a l'état islamique d'envoyer un avion sur la tour de Trump." et que cela a été pris au premier degré. Pire il pouraient te laisser venir et t'arrêter à ton arrivé pour te mettre en garde à vue. Alors oui peut-être ne sera tu pas condamner à de la prison ferme mais rien qu'être soupçonné crois moi ça empoisonne.
Mais ce serais bien pire si la France te fiche S à cause de ce genre de choses...

[Ryu2000]

Eh bien par exemple tu pourrais être interdit de séjour aux USA parce qu'un jour t'as dis "On va demander a l'état islamique d'envoyer un avion sur la tour de Trump."

Non, non, c'est pas ça l'histoire.
C'est ça l'histoire :
Deux touristes expulsés des Etats-Unis pour des tweets de mauvais goût

L'Irlandais Leigh Van Bryan et son amie Emily Bunting ont atterri à l'aéroport de Los Angeles le 23 janvier pour des vacances hollywoodiennes, expliquent-ils au Daily Mail. Dans les semaines précédentes, Bryan s'était amusé à tweeter qu'il était prêt à «détruire l'Amérique» et à «déterrer Marilyn Monroe», des blagues qui n'ont pas plu aux douanes américaines.

Les deux amis ont eu beau chercher à expliquer que «détruire l'Amérique» était de l'argot qui signifiait «faire la fête comme des fous aux Etats-Unis», et que la référence à Marilyn Monroe était une blague de la série télévisée Family Guy, ils ont été reconduits à la frontière.

Si tu veux un jour aller en vacances aux USA, il ne faut jamais écrire "On va aux USA et on va tout casser !".
Après ça date de 2012, maintenant l'IA est peut-être meilleur en argo ^^

[DevTroglodyte]

Non, non, c'est pas ça l'histoire.
C'est ça l'histoire :

Tu fais pas la différence entre un exemple imaginé et un fait avéré ?

[Ecthelion2]

Tu fais pas la différence entre un exemple imaginé et un fait avéré ?

Entre autres...

Enfin il avait peut-être compris mais "c'était pour la blague" ou alors c'est "parce qu'il raconte mal".

[HozakaN]

>Matt Green, cryptographe à l’université Johns-Hopkins à Baltimore aux États-Unis a déclaré qu’après avoir lu le code, il s’est aperçu qu’il bavait littéralement, car « c’était très bien fait ».

D'un point de vu crypto peut-être, mais d'un point de vue génie logiciel, les singletons dans tous les sens etc etc...

[Ryu2000]

C'est 1000 fois plus fun de sortir un fait réel qu'un scénario imaginaire.
Il y a vraiment des gens qui se sont fait virer des USA pour des tweets en 2012.