tag:linuxfr.org,2005:/tags/textsecure/publicLinuxFr.org : les contenus étiquetés avec « textsecure »2016-12-14T14:15:01+01:00/favicon.pngtag:linuxfr.org,2005:News/373492016-12-09T10:12:43+01:002016-12-09T10:49:25+01:00Silence : XMPP, chiffrement et méta‐donnéesLicence CC By‑SA http://creativecommons.org/licenses/by-sa/4.0/deed.fr<div><p>Silence est une application libre (GPL v3) pour Android de SMS et MMS, permettant de chiffrer les communications avec les autres utilisateurs de Silence. Silence vous permet donc d’envoyer du texte et des images en toute sécurité, mais le texte et les images passeront en clair par les réseaux vers les utilisateurs classiques. Cette application est disponible sous forme de code source sur <a href="https://github.com/SilenceIM/Silence">GitHub</a> et binaire sur <a href="https://f-droid.org/repository/browse/?fdfilter=SILENCE&fdid=org.smssecure.smssecure">F-Droid</a> et le Play Store de Google.</p>
<p><img src="//img.linuxfr.org/img/68747470733a2f2f6769746875622e636f6d2f53696c656e6365494d2f53696c656e63652f7261772f6d61737465722f7265732f6472617761626c652d787878686470692f69636f6e2e706e67/icon.png" alt="logo de Silence" title="Source : https://github.com/SilenceIM/Silence/raw/master/res/drawable-xxxhdpi/icon.png"></p>
<p>Silence est le nouveau nom de SMSSecure, divergence (<em>fork</em>) de Signal (anciennement TextSecure) d’<a href="https://whispersystems.org/">Open Whisper Systems</a>. On avait déjà parlé de l’<a href="//linuxfr.org/news/textsecure-les-sms-et-mms-chiffres-c-est-fini">abandon du chiffrement des SMS et MMS de Signal</a>, à cause des limites des API d’iOS, d’une expérience utilisateur compliquée en ce qui concerne l’échange de clefs et aussi des méta‐données des SMS et MMS qui transitent forcément en clair. Silence/SMSSecure <a href="//linuxfr.org/news/smssecure-les-sms-et-mms-chiffres-sur-android-ce-n-est-pas-fini">était né de ce constat</a>, ainsi que de la volonté de se débarrasser des dépendances aux services de Google.</p>
<p>Un <a href="https://github.com/SilenceIM/Silence/pull/390">transport XMPP</a> est actuellement en cours d’ajout dans Silence.</p></div><ul><li>lien nᵒ 1 : <a title="https://silence.im/" hreflang="en" href="https://linuxfr.org/redirect/97365">Site du projet</a></li><li>lien nᵒ 2 : <a title="https://github.com/SilenceIM/Silence" hreflang="en" href="https://linuxfr.org/redirect/98771">Code source de Silence</a></li><li>lien nᵒ 3 : <a title="https://f-droid.org/repository/browse/?fdfilter=silence&fdid=org.smssecure.smssecure" hreflang="en" href="https://linuxfr.org/redirect/98778">Silence sur F-Droid</a></li></ul><div><h2 id="chiffrement-des-sms-et-mms-et-des-métadonnées">Chiffrement des SMS et MMS et des méta‐données</h2>
<p>Le rôle premier de Silence est de chiffrer les SMS et MMS entre deux utilisateurs de l’application. C’est une des <a href="//linuxfr.org/news/smssecure-les-sms-et-mms-chiffres-sur-android-ce-n-est-pas-fini">raisons historiques du <em>fork</em> de l’application</a>, quand TextSecure a abandonné cette fonctionnalité.</p>
<p>Après un échange de clefs, l’utilisateur pourra, de manière simple et transparente, chiffrer ses communications par SMS avec les autres utilisateurs de Silence. Et pour les autres contacts qui n’utilisent pas l’application, Silence se comportera comme n’importe quelle application de SMS, c’est‐à‐dire que les messages ne seront pas chiffrés.</p>
<p>Le gros problème des SMS est qu’ils laissent beaucoup de méta‐données. Les méta‐données, globalement, qui parle à qui, quand et à quelle fréquence, permettent de calculer des graphes sociaux et sont massivement utilisées par les agences de renseignement. Silence ne peut pas masquer les méta‐données, puisque celles‐ci sont intrinsèquement nécessaires pour que le SMS soit correctement envoyé. Les opérateurs téléphoniques (ainsi que les agences ayant accès aux bases de données des opérateurs) peuvent donc savoir vers quels numéros un utilisateur discute, même si le contenu des messages reste inaccessible grâce au chiffrement de bout en bout du message par Silence.</p>
<p>Le projet parent de Silence, TextSecure (aujourd’hui Signal), a choisi de se concentrer sur les messages qui passent par Internet. Les opérateurs téléphoniques n’ont alors pas accès aux méta‐données. En revanche, TextSecure/Signal utilise les services de Google. Même si un effort est fait pour réduire les informations exploitables par la firme, des méta‐données restent accessibles à Google. En outre, TextSecure/Signal n’a pas de système fédéré de serveurs et l’intégralité des contacts des utilisateurs est sauvegardée en ligne.</p>
<p>Les méta‐données des SMS sont un vrai problème et il est nécessaire de proposer une solution. Cependant, il ne s’agit pas de supprimer la prise en charge des SMS et MMS, mais seulement de proposer une meilleure solution. XMPP étant décentralisé et ouvert, Silence se dirige vers ce choix et va bientôt permettre de transmettre les messages via XMPP.</p>
<h2 id="xmpp">XMPP</h2>
<p>XMPP est décentralisé. Mais il faut quand même un certain nombre de paramétrages côté serveur, tant en termes de sécurité que de fonctionnalités (notamment la <a href="http://xmpp.org/extensions/xep-0198.html,">XEP-0198 : <em>Stream Management</em></a> pour ne pas perdre de messages quand la connectivité est mauvaise).</p>
<p>Pour acheminer les messages XMPP, il vaut mieux se reposer sur des serveurs gérés par des organisations en qui on peut avoir relativement confiance. Certes, les messages continueront d’être chiffrés de bout en bout et ne pas avoir confiance en son serveur XMPP n’est pas rédhibitoire. Pour autant, c’est un plus appréciable.</p>
<p>Ainsi, Silence va intégrer une liste de serveurs XMPP « de confiance », c’est‐à‐dire répondant aux critères de sécurité, de configuration et opérés par des organisations à but non lucratif. Bien entendu, il vaut mieux un grand nombre de serveurs afin de réduire l’intérêt et les dégâts potentiels d’une attaque.</p>
<p>Prenons Bob qui envoie un message à Alice. Bob est connecté à son serveur XMPP : le serveur de Bob voit un message en provenance d’une adresse XMPP inconnue (il n’y a pas de lien entre l’adresse XMPP de Bob et le numéro de téléphone de Bob ; le serveur ne connaît même pas l’identité réelle de Bob) à destination d’une autre adresse XMPP inconnue. Le serveur de Bob connaît l’adressee IP qui s’est connectée, mais il ne peut pas l’associer à une personne (encore moins si Bob passe par Tor). Il ne connaît pas non plus l’adresse IP d’Alice. Le serveur XMPP d’Alice voit arriver un message XMPP, mais il ne connaît pas l’adresse IP de Bob. En outre, les FAI de Bob et Alice ne connaissent pas les adresses XMPP, puisque les connexions sont encapsulées dans TLS. Et aucun contact n’est envoyé en ligne, tout reposant sur le carnet d’adresses local de chaque utilisateur.</p>
<h2 id="appel-aux-hébergeurs">Appel aux hébergeurs</h2>
<p>Silence doit donc reposer sur un « réseau » composé d’opérateurs de serveurs XMPP. De tels opérateurs peuvent être des associations, des fédérations d’hébergeurs (au hasard, des membres du collectif <a href="https://chatons.org/">Chatons</a>), des hébergeurs indépendants, etc. Ce « réseau » doit être mis en place avant la publication de la première version de Silence, ajoutant le transport XMPP, puisque l’utilisateur va créer un compte sur un de ces serveurs en fonction de la liste incluse dans l’application. Il sera bien sûr également possible pour l’utilisateur de paramétrer un autre serveur s’il le souhaite.</p>
<p>Si vous êtes intéressés par le projet, envoyez un courrier électronique à « support <em>chez</em> silence <em>point</em> im » ! ;)</p></div><div><a href="https://linuxfr.org/news/silence-xmpp-chiffrement-et-meta-donnees.epub">Télécharger ce contenu au format EPUB</a></div> <p>
<strong>Commentaires :</strong>
<a href="//linuxfr.org/nodes/109153/comments.atom">voir le flux Atom</a>
<a href="https://linuxfr.org/news/silence-xmpp-chiffrement-et-meta-donnees#comments">ouvrir dans le navigateur</a>
</p>
BastienLQNÿcoDavy DefaudariasunifiuzzyDenis DordoigneNils Ratusznikpalm123https://linuxfr.org/nodes/109153/comments.atomtag:linuxfr.org,2005:News/362572015-03-22T12:20:28+01:002015-03-22T23:51:45+01:00SMSSecure : les SMS et MMS chiffrés sur Android, ce n'est pas fini !Licence CC By‑SA http://creativecommons.org/licenses/by-sa/4.0/deed.fr<div><p>Le 6 mars 2015, Open Whisper Systems annonçait que la version 2.7 de TextSecure ne supportera plus le chiffrement des SMS <a href="https://www.eff.org/secure-messaging-scorecard">pourtant recommandé par l'EFF</a>, TextSecure fait marche arrière. De nombreux utilisateurs se sont plaints de cette décision dont le raisonnement n'a pas fait unanimité, et un fork de TextSecure a été créé.</p>
<p>(<s>anciennement SecuredText</s>) SMSSecure était né !</p></div><ul><li>lien nᵒ 1 : <a title="https://github.com/SecuredText/SecuredText" hreflang="en" href="https://linuxfr.org/redirect/93468">Dépôt du projet</a></li><li>lien nᵒ 2 : <a title="http://linuxfr.org/news/textsecure-les-sms-et-mms-chiffres-c-est-fini" hreflang="fr" href="https://linuxfr.org/redirect/93469">Dépêche concernant la fin des SMS/MMS chiffrés dans TextSecure</a></li></ul><div><p>SMSSecure a deux objectifs :</p>
<ul>
<li>maintenir le chiffrement des SMS/MMS ;</li>
<li>supprimer les dépendances aux services Google.</li>
</ul><p>L'effet de bord du deuxième objectif est que les messages push ne sont plus disponibles dans SMSSecure. Dans TextSecure, ceux-ci passent en effet par Google Cloud Messaging, ce qui n'est pas sans incidence sur la vie privée.</p>
<p>À long terme, SMSSecure se veut être ce que TextSecure n'est plus : une application de SMS et rien d'autre. Il est évident que même en chiffrant ses SMS, les opérateurs — et potentiellement les États — ont accès aux méta-données des conversations (cf <a href="//linuxfr.org/news/textsecure-les-sms-et-mms-chiffres-c-est-fini">la dépêche sur TextSecure</a>). En sachant cela, l'utilisateur est au courant des limites et il devrait sérieusement envisager un autre canal de communication s'il veut plus de confidentialité. SMSSecure et TextSecure ne sont pas incompatibles, au contraire : SMSSecure pour les SMS, TextSecure pour les discussion via Internet.</p>
<p>Pour le moment, les deux objectifs ci-dessus sont remplis. Il reste reste encore à nettoyer le code désormais encombré de nombreuses lignes inutiles. Toute aide est la bienvenue !</p>
<p>En outre, SMSSecure va refaire son apparition dans F-Droid (TextSecure avait été supprimé à cause d'un conflit avec le développeur). L'application sera également disponible sur le Play Store.</p></div><div><a href="https://linuxfr.org/news/smssecure-les-sms-et-mms-chiffres-sur-android-ce-n-est-pas-fini.epub">Télécharger ce contenu au format EPUB</a></div> <p>
<strong>Commentaires :</strong>
<a href="//linuxfr.org/nodes/105170/comments.atom">voir le flux Atom</a>
<a href="https://linuxfr.org/news/smssecure-les-sms-et-mms-chiffres-sur-android-ce-n-est-pas-fini#comments">ouvrir dans le navigateur</a>
</p>
BastienLQBenoît SibaudZeroHeurepalm123https://linuxfr.org/nodes/105170/comments.atomtag:linuxfr.org,2005:News/362092015-03-07T18:40:19+01:002015-03-07T23:23:20+01:00Textsecure : les SMS et MMS chiffrés, c'est finiLicence CC By‑SA http://creativecommons.org/licenses/by-sa/4.0/deed.fr<div><p>C'est une mauvaise nouvelle qui vient à nous ce soir concernant <a href="https://whispersystems.org/#encrypted_texts">TextSecure</a>, l'application Android permettant d'échanger des SMS et MMS de façon chiffrée. Il faut savoir que TextSecure permet trois choses : envoyer des SMS/MMS non chiffrés comme le ferait une autre application classique, envoyer des SMS/MMS chiffrés en passant par le réseau mobile et envoyer des messages chiffrés en passant par le réseau Internet. </p>
<p><img src="//img.linuxfr.org/img/68747470733a2f2f66722e6d61746c696e6b2e66722f696d616765732f32303135303330362f546578745365637572655f636f6e766572736174696f6e5f6c6973742e706e67/TextSecure_conversation_list.png" alt="Textsecure" title="Source : https://fr.matlink.fr/images/20150306/TextSecure_conversation_list.png"></p>
<p>Aujourd'hui, les développeurs annoncent qu'ils arrêtent le support de la partie SMS/MMS chiffrés à partir de la prochaine version (2.7.0) .</p></div><ul></ul><div><h3 id="pourquoi">Pourquoi ?</h3>
<p>Les <a href="https://whispersystems.org/blog/goodbye-encrypted-sms/">raisons évoquées</a> sont les suivantes (traduction quasi-directe) : </p>
<ul>
<li>l'envoi des SMS/MMS chiffrés ne peut se faire de façon transparente : les utilisateurs doivent manuellement créer un premier échange de clés. Le problème est que les gens ne savent pas tous ce que représente réellement "une clé", ce qui rend moins efficace ce genre de solution. </li>
<li>l'arrivée de la compatibilité iOS : avec Signal, iOS se voit disposer d'une solution compatible avec TextSecure. Cependant, iOS ne possède pas d'<a href="https://fr.wikipedia.org/wiki/Interface_de_programmation">API</a> qui permet à Signal d'envoyer/recevoir des SMS programmés rendant impossible la lecture des SMS chiffrés. Cela peut donc perturber les utilisateurs.</li>
<li>SMS et MMS sont un désastre concernant la sécurité : aucune métadonnée ne peut passer autrement qu'en clair sur le réseau mobile. Ainsi, tous les réseaux télécoms sont capables d'intercepter les SMS et d'en examiner les métadonnées, révélant beaucoup trop d'informations même si le contenu est indéchiffrable. Les développeurs ne veulent pas avoir mauvaise conscience en sachant que des gouvernements peuvent oppresser des dissidents qui utilisent ce genre de solution.</li>
<li>paranoïa sécuritaire : en voulant se focaliser sur la sécurité des SMS et MMS, les développeurs n'ont plus de temps à accorder au développement de TextSecure afin de la rendre meilleure.</li>
</ul><p><img src="//img.linuxfr.org/img/68747470733a2f2f66722e6d61746c696e6b2e66722f696d616765732f32303135303330362f776869737065722e706e67/whisper.png" alt="Open WhisperSystems" title="Source : https://fr.matlink.fr/images/20150306/whisper.png"></p>
<p>C'est l'ensemble de ces sus-citées raisons qui poussent <a href="https://whispersystems.org">Open WhisperSystems</a> à abandonner le support des SMS/MMS chiffrés (via le réseau mobile). <br>
Il est vrai que la façon dont sont conçus les SMS/MMS ne permet pas de conserver un minimum de vie privée et de sécurité : les métadonnées des SMS/MMS peuvent très souvent suffire à en savoir beaucoup sur le contenu du message qui transite, ce qui reste gênant.</p>
<h3 id="du-coup-que-puis-je-faire-je-trouvais-ça-cool-textsecure">Du coup, que puis-je faire ? Je trouvais ça cool, TextSecure !</h3>
<p>Oui, moi aussi. Mais il est vrai que vouloir sécuriser (et conserver sa vie privée avec) les SMS/MMS est peine perdue. <br>
Cependant, TextSecure permet l'envoi de messages via le transport TextSecure, qui lui protège les métadonnées. Bon, c'est pas aussi pratique que les SMS/MMS car il faut avoir une connexion internet active (Wifi ou bien Data), mais ce n'est pas ce qui manque de nos jours (<a href="https://twitter.com/TAbugharsa/status/573945270699950080">enfin dans certains pays c'est plus compliqué</a>).</p>
<p>En espérant que TextSecure continuera de fournir les SMS/MMS chiffrés sans accorder de support, ou qu'un fork naisse. En tous cas, merci aux devs d'avoir donné de leur temps, en cette ère <a href="https://en.wikipedia.org/wiki/Edward_Snowden">post-Snowden</a> !</p>
<p><a href="https://whispersystems.org/blog/goodbye-encrypted-sms/">source</a></p></div><div><a href="https://linuxfr.org/news/textsecure-les-sms-et-mms-chiffres-c-est-fini.epub">Télécharger ce contenu au format EPUB</a></div> <p>
<strong>Commentaires :</strong>
<a href="//linuxfr.org/nodes/105031/comments.atom">voir le flux Atom</a>
<a href="https://linuxfr.org/news/textsecure-les-sms-et-mms-chiffres-c-est-fini#comments">ouvrir dans le navigateur</a>
</p>
matlinkBenoît Sibaudpalm123https://linuxfr.org/nodes/105031/comments.atomtag:linuxfr.org,2005:News/289202011-12-23T20:07:41+01:002011-12-23T20:07:41+01:00Janky, IndexTank, TextSecure : trois petits nouveaux dans le monde du logiciel libreLicence CC By‑SA http://creativecommons.org/licenses/by-sa/3.0/deed.fr<div><p>Des logiciels font leur apparition dans le monde du logiciel libre : c'est d'autant plus heureux que ce sont de grands consommateurs de libre qui poussent leur propre logiciel dans la sphère libre.</p>
<h3 id="toc_0">GitHub libère Janky sous licence MIT</h3>
<p><a href="https://github.com/blog/1013-janky">Janky</a> est un serveur d'intégration continue : il tourne au-dessus de <a href="http://fr.wikipedia.org/wiki/Jenkins" title="Définition Wikipédia">Jenkins</a> (ex <a href="http://fr.wikipedia.org/wiki/Hudson" title="Définition Wikipédia">Hudson</a>, logiciel d'intégration continue), avec un pilotage par le robot de chat <a href="http://hubot.github.com/">Hubot</a> (écrit en <a href="http://fr.wikipedia.org/wiki/CoffeeScript" title="Définition Wikipédia">CoffeeScript</a> et <a href="http://fr.wikipedia.org/wiki/Node.js" title="Définition Wikipédia">Node.js</a>, sous licence MIT).</p>
<p>GitHub l'a conçu pour tourner sur le cloud <a href="http://fr.wikipedia.org/wiki/Heroku" title="Définition Wikipédia">Heroku</a> et pour les projets <a href="http://fr.wikipedia.org/wiki/GitHub" title="Définition Wikipédia">GitHub</a>.</p>
<h3 id="toc_1">LinkedIn libère IndexTank sous licence Apache 2.0</h3>
<p><a href="http://engineering.linkedin.com/open-source/indextank-now-open-source">IndexTank</a> est un indexeur (<a href="https://github.com/linkedin/indextank-engine">indextank-engine</a>) et une API RESTful (<a href="https://github.com/linkedin/indextank-service">indextank-service</a>), constituant ce que l'ont appelle communément un « moteur de recherche ».</p>
<p>LinkedIn a donc libéré ces logiciels issus de son acquisition de la société <a href="http://indextank.com/">IndexTank</a>.</p>
<h3 id="toc_2">Twitter libère TextSecure sous licence GPLv3</h3>
<p><a href="https://github.com/whispersystems/textsecure">TextSecure</a> est une application pour Android de messagerie chiffrée : elle remplace l'application de messagerie SMS/MMS par défaut, en chiffrant localement les messages dans une base de données locale, ainsi que lors de leur transmission.</p>
<p>TextSecure est mis à disposition sous licence GPLv3 par Twitter après le rachat de <a href="http://whispersys.com/">Whisper Systems</a>, le développeur initial.</p></div><ul></ul><div></div><div><a href="https://linuxfr.org/news/janky-indextank-textsecure-trois-petits-nouveaux-dans-le-monde-du-logiciel-libre.epub">Télécharger ce contenu au format EPUB</a></div> <p>
<strong>Commentaires :</strong>
<a href="//linuxfr.org/nodes/88765/comments.atom">voir le flux Atom</a>
<a href="https://linuxfr.org/news/janky-indextank-textsecure-trois-petits-nouveaux-dans-le-monde-du-logiciel-libre#comments">ouvrir dans le navigateur</a>
</p>
NÿcoBenoît SibaudManuel MenalLucas Bonnethttps://linuxfr.org/nodes/88765/comments.atom