Journal Delta Chat 1.42 : le chiffrement de bout en bout plus simple et plus sécurisé

Posté par  (site web personnel) . Licence CC By‑SA.
16
7
fév.
2024

Bonjour Nal,

Je t'écris pour te signaler la sortie de Delta Chat, une application de messagerie instantanée libre qui se base sur les protocoles et l'infrastructure mail existante.

Jusqu'ici le chiffrement de bout en bout n'était possible que via autocrypt qui est très pratique (l'utilisateur n'a rien à faire), mais vulnérable aux attaques de l'homme au milieu (MITM) : c'était un échange de clefs opportunistes au premier message envoyé.

Pour éviter le MITM, Delta Chat gère maintenant SecureJoin qui consiste à permettre aux utilisateurs de s'inviter avec à un qrcode à scanner par exemple lors d'une rencontre physique autour d'une bière ou d'un joint (d'où le nom?) ou en visioconférence (à condition que celle-ci soit aussi sécurisée) par exemple.

Et toi, Nal? Comment communiques-tu de façon sécurisé ?

  • # joint

    Posté par  . Évalué à 10. Dernière modification le 07 février 2024 à 17:40.

    par exemple lors d'une rencontre physique autour d'une bière d'un joint (d'où le nom?)

    Meuh non, le nom vient bien évidemment de l'anglais, juke-joint, souvent abrégé en « joint » (notamment dans les paroles des blues ou des vieux rockabillies).

    Ici, on voit des utilisateurs de delta-chat échangeant leurs clés dans un joint :

    juke-joint

    • [^] # Re: joint

      Posté par  (site web personnel) . Évalué à 2.

      Je suis preneur de ce genre de théories appliquées aux joint-ventures, ou au format JPEG (joint photographic experts group).

  • # Element / Riot / Element

    Posté par  (site web personnel, Mastodon) . Évalué à -1.

    Pour moi le graal, c'est Element (ou Riot ou Element c'est la même, elle a plusieurs noms). D'ailleurs, je suis LinuxFR dessus ;)
    C'est une messagerie Open-Source, décentralisé, crypté de bout en bout, faisant messagerie texte, vidéo, partage d'écran, fonctionnant sur le web (Sans rien installé) en client lourd (Windows ou Linux) et sur téléphone portable. Son seul défaut c'est d'être un peu complexe (Pas beaucoup non plus) et surtout peu populaire (Elle progresse)

    Sinon, pour le Quidam, j'utilise Signal mais disponible que sur le téléphone (Bouhhhhh ) par les créateur de WatsApp qui n'aiment pas ce qu'a fait Facebook de leur bébé.

    Sous licence Creative common. Lisez, copiez, modifiez faites en ce que vous voulez.

    • [^] # Re: Element / Riot / Element

      Posté par  . Évalué à 10.

      Je pense que tu es un peu mélangé.

      C'est une messagerie Open-Source, décentralisé, crypté de bout en bout, faisant messagerie texte, vidéo, partage d'écran, fonctionnant sur le web (Sans rien installé) en client lourd (Windows ou Linux) et sur téléphone portable.

      Element c'est un client multiplateforme, qui s'appelait autrefois Riot et qui a changé de nom, et qui inclut une version web.
      On peut très bien concevoir un client web DeltaChat.

      Son seul défaut c'est d'être un peu complexe (Pas beaucoup non plus) et surtout peu populaire (Elle progresse)

      Element repose sur le protocole Matrix, dont le principal serveur est Synapse, qui est un monstre de lourdeur. Pour cette raison, même si c'est un protocole décentralisé, la quasi-totalité des utilisateurs de Matrix/Element sont sur le serveur principal qui appartient à la fondation Matrix: matrix.org.

      Les "petits" serveurs sont incapables de se joindre aux gros salons, parce que le principe de Matrix, c'est de répliquer les salons chez tous les participants. Donc si un seul utilisateur d'un petit serveur associatif ou familial rejoint un salon avec 10k participants actifs, le petit serveur doit maintenant synchroniser l'activité des 10k participants, et il se retrouve rapidement à genoux.

      On verra si les serveurs alternatifs et mieux optimisés (Dendrite, Conduit) permettent de corriger ça.

      Mais pour cette raison, ma préférence va encore aux applis XMPP, dont on trouve également des clients web, Linux, Windows, Android etc. mais dont le principal inconvénient et que ce sont tous des projets séparés et qui implémentent bien moins de choses que Element.

      Sinon, pour le Quidam, j'utilise Signal mais disponible que sur le téléphone (Bouhhhhh ) par les créateur de WatsApp qui n'aiment pas ce qu'a fait Facebook de leur bébé.

      Toujours pas. Signal est la "fusion" du code de RedPhone et TextSecure, deux applis Libres initialement développées par Whisper Systems, qui venait se se faire racheter par Twitter (qui les a pas mal enterrés d'ailleurs).

      Sinon, pour le Quidam, j'utilise Signal mais disponible que sur le téléphone (Bouhhhhh ) par les créateur de WatsApp qui n'aiment pas ce qu'a fait Facebook de leur bébé.

      Un des fondateurs de WhatsApp a soutenu la création de la fondation Signal, mais c'était bien après la naissance de l'appli.

      • [^] # Re: Element / Riot / Element

        Posté par  (site web personnel) . Évalué à 3.

        On peut très bien concevoir un client web DeltaChat.

        Malheureusement l'équipe principale ne le priorise pas. Mais ça peut être un super projet perso !

        Le post ci-dessus est une grosse connerie, ne le lisez pas sérieusement.

      • [^] # Re: Element / Riot / Element

        Posté par  (site web personnel, Mastodon) . Évalué à 10. Dernière modification le 08 février 2024 à 11:52.

        mais dont le principal inconvénient et que ce sont tous des projets séparés et qui implémentent bien moins de choses que Element.

        Pour info Libervia (dont je suis le dev principal) fait messagerie instantanée avec chiffrement de bout en bout à l'état de l'art (OMEMO legacy, OMEMO:2, OX, et MLS devrait arriver dans l'année), blogging, forum, partage de fichiers, albums photos, appels Audio/Video avec partage de bureau (1:1 uniquement pour le moment, mais le multi-utilisateurs est prévu), liste diverses (TODO, courses, etc.), gestion de tickets et de merge-requests, etc.

        Il est compatible avec ActivityPub via la passerelle que j'ai développé.

        Il y a un frontend web (sans le chiffrement de bout en bout pour le moment toutefois), bureau, CLI, TUI, et un prototype Android (interfaces natives à chaque fois, pas du Electron).

        On peut utiliser des passerelles comme Slidge pour accéder à Signal, Telegram, Discord, Mattermost, Facebook, Skype, WhatsApp ou Matrix (en faisant du "puppeteering" c'est en dire en contrôlant une instance plutôt qu'une re-implémentation), avec une bonne intégration, ou Biboumi pour IRC.

        Oh et je vais bientôt travailler sur une passerelle vers l'email avec notamment l'implémentation d'Autocrypt, ce qui devrait permettre de communiquer facilement avec DeltaChat aussi.

        Donc je ne pense franchement pas qu'on puisse dire "implémenter bien moins de choses", je doute même que Matrix ait autant de fonctionnalités.

        Maintenant le problème est que ça manque encore de polissage pour une installation et une utilisation simple, en ce qui concerne Libervia essentiellement parce que je suis quasiment le seul développeur, mais c'est une chose sur laquelle je travaille également. En gros on y est presque.

      • [^] # Re: Element / Riot / Element

        Posté par  (site web personnel) . Évalué à 2.

        Toujours pas. Signal est la "fusion" du code de RedPhone et TextSecure, deux applis Libres initialement développées par Whisper Systems, qui venait se se faire racheter par Twitter (qui les a pas mal enterrés d'ailleurs).

        Certes, c’est partiellement, mais pas complètement faux. Acton est entré dans l’histoire un peu plus tard, et a créé la Signal foundation, mais en effet parce qu’il pensait que Whatsapp prenait une mauvaise direction.

        https://fr.wikipedia.org/wiki/Signal_(application)#2018%E2%80%93pr%C3%A9sent_:_Signal_Messenger

    • [^] # Re: Element / Riot / Element

      Posté par  (site web personnel) . Évalué à 6.

      j'utilise Signal mais disponible que sur le téléphone (Bouhhhhh )

      Le flatpak de Signal pour l’installer sur ordi sous Linux:

      ce commentaire est sous licence cc by 4 et précédentes

    • [^] # Re: Element / Riot / Element

      Posté par  (Mastodon) . Évalué à 3.

      Personnellement je suis plus intéressé par jami.

      Deltachat c'est mignon mais d'après mes tests trop dépendant des providers emails pour pouvoir être proposé à tous mes contacts. Et j'en ai aussi abandonné l'idée pour utiliser le tiers le moins cher de migadu.

  • # XMPP (Jabber) avec OMEMO

    Posté par  (Mastodon) . Évalué à 1. Dernière modification le 08 février 2024 à 15:39.

    Avec le client que vous voulez et l’hébergeur que vous choisissez.
    Ou alors Jami avec quelques personnes.

  • # L'idée me plait bien mais...

    Posté par  . Évalué à 2.

    J'ai testé rapidement delta chat et y'a 2 "détails" que je trouve pénible et qui a fait que, même si j'aime bien l'idée, je n'ai pas poussé l'utilisation auprès de connaissances (qui n'utilisent pas forcement déjà des applications de chat):

    1. Si un utilisateur n'a pas delta chat et donc utilise le mail pour répondre, les messages sont assez moches et pas très facile à lire avec dans la bulle de chaque message un lien cliquable qui est affiché "Show full message..". Je voudrais bien qu'il y ai qu'un indicateur visuel et que l'action soit possible que quand le message est sélectionné sinon c'est plutôt pénible à lire..
    2. Au final, ça peut encombrer la boite mail et l faut (potentiellement) apprendre à ceux qui maîtrisent pas trop l'outil informatique comment créer une règle automatique pour classer automatiquement les message (et ne pas les laisser dans la boite de réception).

    J'avoue le 1er est plus pénible que le 2nd…

    • [^] # Re: L'idée me plait bien mais...

      Posté par  (site web personnel) . Évalué à 3.

      Malgré le travail extraordinaire des devs de Delta Chat, je pense que pour que ça marche vraiment bien, il faudrait que ce soit implémenté par les clients mails et pas par une application à part.

      // gros clin d’œil à Roundcube et Thunderbird

      Le post ci-dessus est une grosse connerie, ne le lisez pas sérieusement.

  • # et le chiffrement est recommandé par...

    Posté par  . Évalué à 2.

    …la CNIL (la Commission nationale de l'informatique et des libertés):
    - https://www.cnil.fr/sites/cnil/files/2023-04/cnil_guide_securite_des_donnees_personnelles-2023.pdf
    ainsi que le PFPDT (le Préposé fédéral à la protection des données et à la transparence):
    - https://www.edoeb.admin.ch/dam/edoeb/fr/Dokumente/datenschutz/leitfaden_tom.pdf.download.pdf/TOM_FR.pdf

Suivre le flux des commentaires

Note : les commentaires appartiennent à celles et ceux qui les ont postés. Nous n’en sommes pas responsables.