Journal Signal envoie des signaux inquiétants

Posté par  (site Web personnel) . Licence CC By‑SA.
30
10
avr.
2021

Bonjour nal,

On a beaucoup entendu parler de Signal au début de cette année, en particulier depuis une mise à jour des conditions d'utilisation de WhatsApp (une application concurrente très utilisée). Un journal en parlait en janvier, et de mémoire aussi quelques autres mais que je n'ai pas pris la peine d'aller rechercher.

Il se trouve qu'au début de cette semaine, une annonce sur le blog de Signal est venue nous apprendre qu'ils sont en train d'intégrer à cette application de messagerie un système de paiement, basé sur une crypto-monnaie du nom de MobileCoin.

Les réactions sont variées. Certains pensent que c'est simplement une décision logique pour rester dans la course, car la plupart des applications de messagerie compétitrices de Signal intègrent un système de paiement. D'autres ne sont pas complètement hostiles à cette nouveauté, mais questionnent la pertinence d'intégrer le système de paiement à l'application de messagerie : cela force en effet celles et ceux qui n'ont pas l'usage de ce système (ou ne veulent pas s'en servir) à avoir son code et potentiellement ses bugs et failles dans la même application, rendant la messagerie potentiellement moins sécurisée, alors que pour l'éditeur de Signal il serait possible de maintenir deux applications distinctes. Enfin, d'autres encore sont très inquiets et pensent que cela signe la fin de l'indépendance de Signal, avec divers soupçons comme :

  • un système de paiement est sujet à plus de législations qu'une messagerie, donc si les deux sont dans la même application, cela pourrait rendre la partie messagerie chiffrée plus vulnérable à des tentatives de contraindre des utilisateurs à révéler leurs messages ;
  • la crypto-monnaie en question pourrait être un moyen de créer de la valeur artificiellement par spéculation, au profit de ses créateurs et sur le dos des utilisateurs (certains pensent que ce projet d'intégration avec Signal présente un conflit d'intérêts pour le CEO de Signal Messenger LLC, car il est aussi impliqué dans le développement de MobileCoin).

Morceaux choisis parmi les réactions inquiètes que j'ai pu lire (en anglais) :

Et toi nal, qu'en penses-tu ?

  • # Alternatives

    Posté par  . Évalué à 10 (+13/-3).

    J'utilise Silence.

  • # Des liens

    Posté par  . Évalué à 6 (+4/-0).

    Un article sur le sujet en français : https://www.numerama.com/politique/702605-pourquoi-la-derniere-idee-de-signal-pourrait-se-retourner-contre-lui.html

    Un article critique sur le fait que bien que déclaré open-source, le code du serveur n'a pas été publié en 1 an (jusqu'à une publication récente) : https://www.androidpolice.com/2021/04/06/it-looks-like-signal-isnt-as-open-source-as-you-thought-it-was-anymore/

  • # XMPP

    Posté par  (site Web personnel) . Évalué à 10 (+12/-2).

    J'en pense que je vais continuer à utiliser XMPP, un système décentralisé avec plein d'acteurs, comme ça si un développeur de lcient ou de serveur ou un hébergeur de serveur fait n'importe quoi, je peux juste changer de crèmerie tout en continuant à discuter avec mes contacts.

    Je ne pense pas que les solutions de type "libre mais centralisé" soient très intéressantes par rapport aux solutions non libres.

    • [^] # Re: XMPP

      Posté par  . Évalué à 10 (+22/-2).

      tout en continuant à discuter avec mes contacts.

      Le problème étant d'avoir des contacts sur XMPP.

      « Rappelez-vous toujours que si la Gestapo avait les moyens de vous faire parler, les politiciens ont, eux, les moyens de vous faire taire. » Coluche

      • [^] # Re: XMPP

        Posté par  (site Web personnel) . Évalué à 10 (+9/-0).

        Exactement, et s'ils n'ont pas envie de venir c'est probablement parce qu'il n'y a pas d'assez bons clients.

        Depuis l'affaire de WhatsApp qui change ses conditions d'utilisations (affaire à suivre, l'échéance est pour mai), j'ai eu l'occasion de tester XMPP et de le faire adopter à un groupe de potes proches qui ne faisaient pas confiance à Signal. On utilise Conversations, on le paye via le Play Store (une appli libre qu'on peut financer comme ça, c'est déjà cool), et c'est good enough pour nous ; on a tous pris le même serveur en plus (creep.im). Mais voilà :

        • l'UX des conversations de groupe est bousillée (les invitations ne fonctionnent pas, il faut contourner en faisant ajouter le MUC aux contacts via une adresse aléatoire imbitable),
        • les clients PC se synchronisent mal avec Conversations (pas moyen de lire des vidéos envoyées via Conversations sur Dino, par exemple),
        • manquent de fonctionnalités (pas d'appels audio/vidéo !),
        • voire sont simplement moches (Gajim est d'un autre âge, et le redesign progresse à un train de sénateur).

        Ça, plus les features manquantes à Conversations que tous les autres clients de messagerie ont (les autocollants, les aperçus de liens, les réactions, l'auto-complétion des mentions), plus le micmac avec les serveurs qui ne gèrent pas toutes les XEP, font que XMPP reste très dur à vendre en 2021.

        • [^] # Re: XMPP

          Posté par  . Évalué à 3 (+2/-1).

          les clients PC se synchronisent mal avec Conversations (pas moyen de lire des vidéos envoyées via Conversations sur Dino, par exemple),

          Le changelog de la version 2.9.9 parle d'une amélioration de compatibilité avec Dino, mais il ne faut pas oublier que Dino est un client jeune qui a besoin de maturation.

          manquent de fonctionnalités (pas d'appels audio/vidéo !)

          mauvaise configuration de serveur: il faut voir avec les admins de creep.im pour mettre en place un serveur STUN/TURN qui gèrera ces appels.

          Ce commentaire passe-t-il les trois tamis de Socrate ? -- https://linuxfr.org/suivi/autoriser-la-correction-limitee-de-commentaires-apres-les-5min

          • [^] # Re: XMPP

            Posté par  (site Web personnel) . Évalué à 5 (+3/-0).

            mauvaise configuration de serveur: il faut voir avec les admins de creep.im pour mettre en place un serveur STUN/TURN qui gèrera ces appels.

            Pardon, ma mise en page était mauvaise : je voulais parler ici des clients desktop, non du serveur. Et pour autant que je sache, aucun ne gère l'audio/vidéo correctement : je dois passer par Jitsi Meet (donc un onglet de navigateur) pour pouvoir faire de la webcam avec mes parents sur mon PC.

            • [^] # Re: XMPP

              Posté par  . Évalué à 3 (+2/-1).

              Ça fait quelques mois que je fais de l'audio et de la video avec Conversations.
              Pour les clients de bureau, je n'utilise pas: gajim progresse, mais c'est pas encore ça je crois.

              Ce commentaire passe-t-il les trois tamis de Socrate ? -- https://linuxfr.org/suivi/autoriser-la-correction-limitee-de-commentaires-apres-les-5min

              • [^] # Re: XMPP

                Posté par  (site Web personnel) . Évalué à 4 (+2/-0).

                Pareil !
                J'ai un serveur eJabberd et mes potes utilisent majoritairement Conversations pour les Android et Siskin.im pour les iPhones et ça fonctionne.
                Parallèlement, j'utilise aussi Movim sur le même serveur et j'ai pu faire de l'audio/vidéo avec un pote sous Conversations.

                Je ne vais pas aller jusqu'à dire que c'est parfait mais pour l'utilisation que l'on en a, ça fonctionne et en termes de maintenance, c'est pas la mort.

              • [^] # Re: XMPP

                Posté par  . Évalué à 7 (+5/-0).

                J'ai vraiment du mal à comprendre… Ces questions de voix et vidéo on en parlait à il y a 17 ans (avec la XEP-0111). Se mettre d'accord c'est long, mais même les comités de standardisation type IETF ou ISO sont beaucoup plus rapides.

                • [^] # Re: XMPP

                  Posté par  (site Web personnel) . Évalué à 5 (+4/-0). Dernière modification le 13/04/21 à 21:10.

                  Alors c’est plus une question de moyens, intérêts et de temps disponible que de temps pur. Jingle ça marche depuis un bail (Google s’est d’ailleurs basé dessus pour concevoir webrtc, il reste quelques traces dans libwebrtc), toute la cohorte de XEP audio-vidéo est plutôt stable, les trucs à résoudre n’étant pas dans le "domaine" XMPP et donc sont fatalement plus compliqués (codecs, dépendances externes, libs pour faire de la vidéo sur le desktop, etc).

                  On peut constater que Conversations a pu ajouter le support de la vidéo dans un temps raisonnable avec un financement, Movim l’a fait rapidement également avec la voie un peu plus tracée, Dino est en train de finaliser l’ajout (via un financement, c’est déjà testable dans une branche mais encore très alpha). Gajim l’implémentation qui marchottait il y a 10 ans et laissée à l’abandon a été remise peu à peu au goût du jour et l’audio commence à remarcher.

              • [^] # Re: XMPP

                Posté par  (site Web personnel) . Évalué à 2 (+0/-0).

                Pour les clients de bureau, je n'utilise pas: gajim progresse, mais c'est pas encore ça je crois.

                C'est même carrément abandonné :

                This feature is currently not available as it is broken and not maintained.

                • [^] # Re: XMPP

                  Posté par  . Évalué à 1 (+0/-0).

                  Le travail a semble-t-il repris à partir de gajim 1.3.0, mais "c’est encore hautement expérimental".

    • [^] # Re: XMPP

      Posté par  . Évalué à 10 (+11/-1).

      Je ne pense pas que les solutions de type "libre mais centralisé" soient très intéressantes par rapport aux solutions non libres.

      En fait c'est bien là les signaux alarmants de Signal je trouve :
      - libre, mais ils refusent la fédération
      - libre, mais refusent les réseaux alternatifs basés sur leurs sources
      - officiellement les clients tiers ne sont pas autorisés, mais certains peuvent être tolérés (comme whatsapp quoi, donc on ne sait pas lesquels, pourquoi, jusqu'à quand)
      - une infra et une fondation basées aux USA, sans volonté d'en partir
      - une conséquence de tout ceci : impossibilité de vérifier que le code source serveur publié est bien celui qui tourne sur les serveurs de Signal.

      Franchement, à côté, je comprends pas le bashing de la communauté de Signal envers Telegram. Pour moi les deux reviennent au même, avec l'hypocrisie en moins de la part de Telegram.
      Dans tout les cas, ca ne vaut pas un réseau fédéré comme ce qu'essaye de faire XMPP. Dommage que peu de monde veuille l'utiliser.

      Emacs le fait depuis 30 ans.

      • [^] # Re: XMPP

        Posté par  . Évalué à 5 (+3/-0).

        La vraie difficulté n'est pas de faire utiliser une messagerie xmpp à ses contacts, c'est de leur faire abandonner whatsapp. Et c'est, malheureusement, facile à comprendre.

        Bon, en attendant, je fonde toujours mes espoirs sur Jami (hormis sans doute pour les salons publics > 10 personnes).

        • [^] # Re: XMPP

          Posté par  . Évalué à 10 (+10/-1). Dernière modification le 11/04/21 à 17:08.

          La vraie difficulté n'est pas de faire utiliser une messagerie xmpp à ses contacts, c'est de leur faire abandonner whatsapp. Et c'est, malheureusement, facile à comprendre.

          Y a plus de 100 millions de personnes qui viennent de lâcher WhatsApp ces derniers mois, pour se tourner vers Signal ou Telegram. Pas sûr qu'il y en ait autant qui soient allés vers XMPP.

          Pour que les gens se décident à venir sur un réseau, faut qu'ils aient aussi les trucs cools qu'il y a ailleurs : ergonomie "moderne" de l'appli, simple pour se créer un compte (juste un tel à mettre on recoit un sms et c'est bon), découverte de contacts auto, sans efforts (moi jtrouve ca pénible mais bon), des smileys, des stickers, des gif, faire des groupes juste en ajoutant des contacts dedans (avec le moins d'efforts possibles), envoyer des photos/vidéos/autres facilement. Est-ce qu'il y a un client XMPP multiplateforme qui propose ca ?

          Moi j'en étais resté à l'époque où fallait déjà se décider sur le serveur par lequel passer pour créer son compte.

          Emacs le fait depuis 30 ans.

          • [^] # Re: XMPP

            Posté par  . Évalué à 5 (+3/-0).

            Y a plus de 100 millions de personnes qui viennent de lâcher WhatsApp ces derniers mois, pour se tourner vers Signal ou Telegram. Pas sûr qu'il y en ait autant qui soient allés vers XMPP.

            Au delà des trucs cools qu'il y n'aurait pas sur les applis xmpp (à vérifier), il y a surtout le fait que les médias n'ont parlé quasiment que de Signal et Telegram.

            Par ailleurs, quand bien même le chiffre de 100 millions serait pérenne (combien ont téléchargé Signal ou Telegram "pour voir" puis sont revenus à Whatsapp ?), ça ne représente que 5% des utilisateurs actifs de Whatsapp. D'où j'en tire l'impression que c'est plus une question de ne pas vouloir quitter Whatsapp que de ne pas vouloir utiliser une messagerie xmpp.

            • [^] # Re: XMPP

              Posté par  . Évalué à 6 (+5/-1).

              Au delà des trucs cools qu'il y n'aurait pas sur les applis xmpp (à vérifier)

              Parmi ce que j'ai cité, quelle appli XMPP les propose ? C'est une vraie question, sans client adapté à la mode c'est compliqué de faire venir des utilisateurs, du coup je ne sais jamais trop quel client suggérer.

              Par ailleurs, quand bien même le chiffre de 100 millions serait pérenne (combien ont téléchargé Signal ou Telegram "pour voir" puis sont revenus à Whatsapp ?), ça ne représente que 5% des utilisateurs actifs de Whatsapp.

              Bah il y a aussi une absence de volonté de s'intéresser à XMPP. Lors des vagues de "départs" de Whatsapp, combien de nouveaux utilisateurs sont allés voir du côté de XMPP ? J'ai pas spécialement entendu parler de prise de popularité massive de XMPP ces derniers temps, contrairement à Signal et dans une moindre mesure pour Telegram.

              D'où j'en tire l'impression que c'est plus une question de ne pas vouloir quitter Whatsapp que de ne pas vouloir utiliser une messagerie xmpp.

              Il y a aussi un autre élément à considérer qui ne se voit pas spécialement dans les flux de ces derniers mois : pas mal d'utilisateurs de WhatsApp sont présents sur plusieurs réseaux différents, parce que "tout le monde utilise un truc différent". Alors c'est du doigt totalement mouillé et pas du tout représentatif, mais discutant un peu avec mes contacts de ca, y en a aucun qui a parlé de XMPP. Et si on en parle un peu, bah déjà presque personne n'en a entendu parler (pas de marketing grand public de la part de XMPP), et quand ils connaissent de loin, soit c'est compliqué, faut choisir un serveur, soit c'est nul, les clients sont antiques.

              Alors oui il y a des utilisateurs qui veulent que WhatsApp (ou Skype) et rien d'autres (j'ai remarqué que c'était plutôt parmi des utilisateurs plus vieux), mais il y en a aussi qui sont prêts à se faire un compte un peu partout, sauf sur XMPP (plutôt parmi les jeunes).

              Emacs le fait depuis 30 ans.

              • [^] # Re: XMPP

                Posté par  . Évalué à 2 (+1/-0).

                Sur téléphone, il y a quicksy qui est basé sur conversation et permet de créer automatiquement un compte sur son numéro de téléphone et de trouver les personnes qui utilisent eux aussi quicksy automatiquement avec tes contacts.

        • [^] # Re: XMPP

          Posté par  (site Web personnel) . Évalué à 2 (+4/-5).

          Une fois de plus je refais un peu de pub pour la meilleure messagerie instantanée et en léger différé: les mails.

          Avec un Delta.chat pour être à la mode.

          Parce l’interopérabilité, c'est la friture n°1 !

          Incubez l'excellence sur https://linuxfr.org/board/

          • [^] # Re: XMPP

            Posté par  (site Web personnel) . Évalué à 1 (+0/-0).

            tout pareil. Ca juste fonctionne si on accepte de ne pas être en temps réel (ce que ne font pas non plus les concurrents cela étant dit)

            • [^] # Re: XMPP

              Posté par  (site Web personnel) . Évalué à 1 (+0/-1).

              Ca juste fonctionne si

              …Ton serveur mail ne demande pas de certificats (alias "chez moi ça marche pas") ce qui doit tout de même se raréfier.

      • [^] # Re: XMPP

        Posté par  . Évalué à 4 (+3/-1).

        Je te rejoins par rapport à tout ceci. Le client Signal est libre, mais pas toutes l'infrastructure derrière, puisque cela repose sur un service centralisé. Il me semble que le client Telegram (officiel) est libre, en tout cas ils contribuent, j'ai l'impression, autant au libre que Signal : https://github.com/topics/telegram-client

        Je dirais que les 2 semblent équivalent, et qu'on ne peut pas forcément savoir si ce qu'il y a derrière est du côté des utilisateurs ou si leur intérêt est plus trouble. Le fait que Signal ait été développé par des anciens de WhatsApp, que leur ancienne société Whisper System ait été rachetée par Twitter etc etc, ce n'est pas super rassurant non plus.

        XMPP me semble plus sûr. Dans un précédent journal, Delta Chat avait été évoqué (chat par le protocole de l'email, de façon transparente), j'aime bien l'idée.

        Pour revenir à Signal, un truc qui m'a un peu (beaucoup) gonflé et dont je viens seulement me rendre compte après plusieurs mois d'utilisation, c'est que le logiciel une fois installé se propose de faire office de client SMS, mais il y a "un loup".

        Pourtant l'interface est claire et pratique, bien mieux que celui libré avec mon téléphone, et comme je ne voulais pas utiliser le gestionnaire SMS de Google (pas libre, pas confiance…), j'ai pris celui de Signal, qui fonctionne parfaitement, depuis environ 1 an.

        Puis j'ai essayé KDE Connect sur mon PC, qui permet notamment d'envoyer des SMS. Je le démarre, et ne retrouve plus mes SMS les plus récents, seulement ceux d'il y a 1 an !

        Après quelques recherches, il s'avère que Signal chiffre ses messages entre 2 utilisateurs enregistrés, mais a priori il chiffre également les SMS classiques sur le téléphone, qui n'entrent plus dans la base classique des SMS sur Android (ce qui permet de passer d'un client à l'autre sans problème). Du coup mes SMS sont "enfermés" par Signal, et il n'y a pas moyen de les exporter facilement.

        https://www.reddit.com/r/signal/wiki/faq

        "Q: How can I get a plaintext copy of my messaging history?

        A: Your Signal messaging history is stored locally on your phone and any devices that you may have linked to your account. As long as you don't delete the app, you can always access this data, even if your number is no longer registered with the Signal service. Exporting a plaintext copy of your messaging history is currently not supported. "

        On peut exporter une sauvegarde chiffrée et utiliser des outils pour exporter les messages, mais bref, j'aurais aimé une solution plus pratique, et aussi que cela soit clairement indiqué dans le logiciel lorsqu'on lui demande de gérer les SMS. En fait cela ne gère pas la base de données SMS d'android, mais cela en créé une nouvelle à côté…

        • [^] # Re: XMPP

          Posté par  (site Web personnel) . Évalué à 6 (+4/-0).

          Je te rejoins par rapport à tout ceci. Le client Signal est libre, mais pas toutes l'infrastructure derrière, puisque cela repose sur un service centralisé. Il me semble que le client Telegram (officiel) est libre, en tout cas ils contribuent, j'ai l'impression, autant au libre que Signal

          Pour Signal, le code du serveur est également libre (sous license AGPL). Pour Telegram, ce n'est pas le cas.

          Ça fait quand même une différence (importante ou pas, à chacun d'en décider).

          • [^] # Re: XMPP

            Posté par  . Évalué à 3 (+5/-3).

            Il n'y a aucun moyen de s'assurer que c'est bien le code publié qui est utilisé sur les serveurs.

          • [^] # Re: XMPP

            Posté par  . Évalué à 3 (+4/-3).

            Ça fait quand même une différence (importante ou pas, à chacun d'en décider).

            Ca fait aucune différence tant que tu ne peux pas vérifier que le code serveur est celui qui a été publié.

            Pour Telegram, il y a un client officiel open-source, dispo sur F-Droid (contrairement à Signal), qui a quelques différences par rapport au client officiel non-libre. Ca a à voir avec certains API de Google qui sont tout simplement inutilisées dans le client open-source.
            Par contre les API sont ouvertes et documentées pour permettre à n'importe qui de refaire un client, contrairement à Signal qui n'accepte pas les clients tiers (sympa sur une plateforme non supportée officiellement !).

            Emacs le fait depuis 30 ans.

          • [^] # Re: XMPP

            Posté par  . Évalué à 4 (+2/-0).

            oui, certes, mais le seul intérêt, c'est de pouvoir installer un serveur signal "concurrent", de modifier le client pour pouvoir utiliser ce nouveau server.
            Du coup si c'est pour utiliser en entreprise, autant utiliser xmpp, si c'est pour faire un réseau concurrent, c'est quasi voué à l'échec (et là aussi autant rester sur du xmpp)…

      • [^] # Re: XMPP

        Posté par  (site Web personnel) . Évalué à 0 (+0/-1).

        • officiellement les clients tiers ne sont pas autorisés, mais certains peuvent être tolérés (comme whatsapp quoi, donc on ne sait pas lesquels, pourquoi, jusqu'à quand)

        Les clients tiers ne sont pas autorisés sur leur réseau, et justement WhatsApp ne se connecte pas au même réseau (si c’était le cas, il n’y aurait pas besoin de convaincre tes contacts de changer d’application : tu pourrais envoyer un message depuis Signal et eux le recevraient dans WhatsApp). WhatsApp utilise ses propres serveurs, non fédérés à ceux de Signal. La seule chose qu’ils ont en commun c’est qu’ils parlent le même protocole (ce qui leur permettrait techniquement de fédérer leurs réseaux, si la volonté de le faire existait).

        • [^] # Re: XMPP

          Posté par  . Évalué à 6 (+3/-0).

          Je pense que tu as mal compris sont message. Il dit qu'on ne peut pas utiliser de clients tiers pour se connecter aux serveurs de Signal de la même façon qu'on ne peut pas utiliser de clients tiers pour se connecter aux serveurs de Whatsapp.

          « Rappelez-vous toujours que si la Gestapo avait les moyens de vous faire parler, les politiciens ont, eux, les moyens de vous faire taire. » Coluche

          • [^] # Re: XMPP

            Posté par  . Évalué à 8 (+6/-0).

            C'est exactement ca. Officiellement Signal n'accepte pas les clients non-officiels. En pratique, y a une tolérance pour certains clients qui ont été développés sur les plateformes n'ayant pas de client officiel, comme c'est le cas de Whisperfish pour SailfishOS. Mais cette tolérance reste à leur bon vouloir … un peu comme dans un écosystème proprio en fait.

            Emacs le fait depuis 30 ans.

            • [^] # Re: XMPP

              Posté par  (site Web personnel) . Évalué à 1 (+0/-0).

              Ah désolé, en relisant je m’aperçois que j’ai effectivement compris ce passage de travers. C’est sûr que la tolérance implicite pour des clients non officiels n’est pas une garantie suffisante pour ceux qui dépendent de ces clients.

      • [^] # Re: XMPP

        Posté par  (site Web personnel) . Évalué à 1 (+2/-3).

        • libre, mais refusent les réseaux alternatifs basés sur leurs sources

        Jusqu’à preuve du contraire, ils ne refusent absolument pas que tu fasse tourner ta propre infrastructure avec ton propre client, ton propre serveur, etc. Du moment que tu présente pas ça comme étant Signal.

        • une conséquence de tout ceci : impossibilité de vérifier que le code source serveur publié est bien celui qui tourne sur les serveurs de Signal.

        Franchement, on s’en fout, tout est chiffré dans l’application mobile le serveur est grosso modo seulement là pour router le trafic (c’est d’ailleurs tout le principe de Signal).

        Franchement, à côté, je comprends pas le bashing de la communauté de Signal envers Telegram. Pour moi les deux reviennent au même, avec l'hypocrisie en moins de la part de Telegram.

        Telegram n’est pas chiffré de bout en bout par défaut (et pas du tout pour les groupes), ils stockent tes messages en clair sur leur serveurs, etc. etc.

        • [^] # Re: XMPP

          Posté par  . Évalué à 2 (+1/-1).

          Jusqu’à preuve du contraire, ils ne refusent absolument pas que tu fasse tourner ta propre infrastructure avec ton propre client, ton propre serveur, etc. Du moment que tu présente pas ça comme étant Signal.

          J'ai entendu parlé d'une petite équipe qui l'a fait, ils ont appelé ça "Whatsapp"

          Franchement, on s’en fout, tout est chiffré dans l’application mobile le serveur est grosso modo seulement là pour router le trafic (c’est d’ailleurs tout le principe de Signal).

          Tout comme Whatsapp. Bon ben c'est cool pas besoin de chercher un remplaçant.

          • [^] # Re: XMPP

            Posté par  (site Web personnel) . Évalué à 2 (+0/-0).

            Tout comme Whatsapp. Bon ben c'est cool pas besoin de chercher un remplaçant.

            La différence c’est que le client Whatsapp n’est pas libre et tu ne peux absolument pas vérifier s’ils n’envoient pas tes clefs privées sur leur serveurs ni s’ils collectent tes métadonnées.

            • [^] # Re: XMPP

              Posté par  (site Web personnel) . Évalué à 0 (+1/-3).

              La différence c’est que le client Whatsapp n’est pas libre.

              Sur un smartphone ou à part les développeurs personne ne compile soi-même ses applications et où tout le monde s’approvisionne sur un store unique, ça fait une différence que le client soit libre ?

              Quelle garantie as-tu que le code du client Signal installé sur ton téléphone est celui qui est publié ?

              La seule différence que je vois, c’est qu’un client libre pourrait être mis à disposition via d’autres canaux que le Play Store (typiquement f-droid). Sauf que Signal n’est expressément pas disponible via f-droid, donc…

              • [^] # Re: XMPP

                Posté par  (site Web personnel) . Évalué à 5 (+3/-0).

                Quelle garantie as-tu que le code du client Signal installé sur ton téléphone est celui qui est publié ?

                Les builds de Signal sont reproductibles.

                • [^] # Re: XMPP

                  Posté par  (site Web personnel) . Évalué à 2 (+0/-0).

                  Merci. :)

                  J’aurais préféré quelque chose de plus simple (mais c’est une critique à l’encontre des smartphones en général, pas spécialement de Signal) et aussi quelque chose qui ne soit pas « juste un hack d’un week-end », mais c’est déjà beaucoup plus que ce que je pensais, je ne vais pas (trop) faire le difficile.

                  • [^] # Re: XMPP

                    Posté par  (site Web personnel) . Évalué à 2 (+0/-0).

                    et aussi quelque chose qui ne soit pas « juste un hack d’un week-end »

                    Le poste date du 31 mars 2016, je suppose que ça a évolué depuis (je ne suis pas le développement de signal assidûment).

                    mais c’est une critique à l’encontre des smartphones en général

                    Ouais, mais Moxie considère que l’environnement des smartphones est meilleur (notamment grâce aux mises à jour automatique en background).

                    Je pense qu’il se trompe (comme pour la décentralisation), mais en attendant, j’ai ni la capacité, ni les moyens de lui prouver qu’il a tort et Signal reste la meilleure alternative dans la liste des applications sécurisées.

              • [^] # Re: XMPP

                Posté par  . Évalué à 4 (+2/-0). Dernière modification le 13/04/21 à 19:58.

                Sur un smartphone ou à part les développeurs personne ne compile soi-même ses applications et où tout le monde s’approvisionne sur un store unique, ça fait une différence que le client soit libre ?

                C'est exactement pareil sur PC (linux, bsd, windows ou macos).

                Quelle garantie as-tu que le code du client Signal installé sur ton téléphone est celui qui est publié ?

                C'est exactement pareil que sur n'importe quel dépôt logiciels. C'est la confiance que tu donne en ton dépôt ou la vérification que tu aura faites (si les builds sont reproductibles).

                La différence c'est que ça paraît plus complexe à pas mal de monde pour 3 raisons amha :

                • les téléphones sont des appliances : pour des raisons techniques et commerciales on ne peux pas les ouvrir comme on le ferrait avec un PC
                • ça demande une cross compilation, la chaine de développement s'en trouve complexifié
                • ça a une mauvaise image (à tort ou à raison) c'est fermé, c'est compliqué, c'est pas possible,…

                La combinaisons de ses 3 fait que c'est moins hacké et que les gens ont moins envi de l'hacker (et c'est un cercle vicieux moins il y a des hackers moins ça donne envi).

        • [^] # Re: XMPP

          Posté par  . Évalué à 3 (+1/-0).

          Franchement, on s’en fout, tout est chiffré dans l’application mobile le serveur est grosso modo seulement là pour router le trafic (c’est d’ailleurs tout le principe de Signal).

          On peut prendre par exemple le cas de la découverte de contacts : si j'ai bien compris leur article sur le sujet, pour éviter d'avoir à traiter en clair les contacts dans leurs infras, ils exploitent la partie des CPU dédiée aux traitements des DRM qui est isolé du reste ; autrement il est tout à fait possible de collecter la liste de contacts de chaque utilisateur de leur côté. Qu'est-ce qui prouve que c'est réellement ce qui est déployé sur leurs serveurs ? Il n'y a pas que les données des messages qui sont importantes en fait.

          Telegram n’est pas chiffré de bout en bout par défaut (et pas du tout pour les groupes), ils stockent tes messages en clair sur leur serveurs, etc. etc.

          Tu parles pour l'écrit uniquement ; si je ne m'abuse tout les appels audios et vidéos de Telegram sont d'office en E2EE.
          Pour l'écrit, je vais simplement laisser cette page répondre à ta remarque. Après tu as toujours le choix de lancer des chats secrets si tu le souhaites.
          Tu peux me répondre, à raison, que le contenu de la page sus-mentionné, finalement, c'est ce que dit Telegram et on ne peut pas le vérifier. C'est exactement comme pour Signal et le code serveur qu'ils ont publié : finalement la confiance en la sécurité et la privacy de ces réseaux n'est relative qu'en la confiance que tu peux accorder dans leurs déclarations.

          Emacs le fait depuis 30 ans.

          • [^] # Re: XMPP

            Posté par  (site Web personnel) . Évalué à 4 (+3/-1).

            autrement il est tout à fait possible de collecter la liste de contacts de chaque utilisateur de leur côté.

            Ton téléphone n’envoies pas ton carnet d’adresse en clair. Il envoie des hash tronqués au serveurs, qui lui renvoies une liste de hash correspondant et il compare.

            C’est à peu prêt le même fonctionnement que Have I Been Pwned, leur serveurs ne stock pas les mots de passe en clair et ne reçoivent jamais les mots de passe que tu rentre dans le formulaire.

            ils exploitent la partie des CPU dédiée aux traitements des DRM qui est isolé du reste

            SGX est seulement une manière de « sécuriser » (si tant est que tu fais confiance à SGX) le processus de découverte en validant que c’est bien le code souhaité qui tourne il ne protège pas les donnés que traite ce processus.

            Qu'est-ce qui prouve que c'est réellement ce qui est déployé sur leurs serveurs ?

            Rien, mais le fait que le client soit FLOSS permet de voir ce qui est effectivement envoyé au serveur.

            Il n'y a pas que les données des messages qui sont importantes en fait.

            Oui, est c’est pour ça que Signal développe des trucs comme Sealed Senders ou les groupes privés.

            Tu peux me répondre

            Je répondrais rien du tout, Telegram a été démonté plusieurs fois, j’en ai marre de le voir revenir comme une alternative crédible à chaque fois.

            • [^] # Re: XMPP

              Posté par  . Évalué à 3 (+3/-2).

              Je répondrais rien du tout, Telegram a été démonté plusieurs fois, j’en ai marre de le voir revenir comme une alternative crédible à chaque fois.

              Je ne le mets pas en avant comme une alternative crédible, je place juste Signal au même niveau que Telegram.

              Emacs le fait depuis 30 ans.

      • [^] # Re: XMPP

        Posté par  (site Web personnel) . Évalué à 2 (+3/-2).

        • une conséquence de tout ceci : impossibilité de vérifier que le code source serveur publié est bien celui qui tourne sur les serveurs de Signal.

        C'est tout autant impossible avec XMPP, et avec à peu près n'importe quel logiciel avec lequel tu interagis au travers du réseau.

        C'est une question de choix : au niveau confidentialité et sécurité XMPP est largement moins bon que Signal et Whatsapp. Question décentralisation, c'est l'inverse.

        Qu'est-ce que qui est le plus important, la sécurité et la confidentialité, ou la décentralisation ?

        • [^] # Re: XMPP

          Posté par  (site Web personnel) . Évalué à 2 (+0/-0).

          au niveau confidentialité et sécurité XMPP est largement moins bon que Signal et Whatsapp

          C'est pas un fait naturel inévitable (je suis même pas sûr que ça soit un fait). En théorie il est possible pour « n'importe qui » d'améliorer XMPP et ses clients. Par contre Signal et Whatsapp sont controlés par des organisations fermées sur lesquelles les utilisateurs n'ont pas de controle.

          pertinent adj. Approprié : qui se rapporte exactement à ce dont il est question.

        • [^] # Re: XMPP

          Posté par  . Évalué à 5 (+3/-0).

          C'est tout autant impossible avec XMPP, et avec à peu près n'importe quel logiciel avec lequel tu interagis au travers du réseau.

          Sauf quand c'est toi qui le déploie. Et la fédération apporte justement la possibilité de déployer ton propre serveur.

          Emacs le fait depuis 30 ans.

        • [^] # Re: XMPP

          Posté par  (site Web personnel) . Évalué à 5 (+2/-0).

          Qu'est-ce que qui est le plus important, la sécurité et la confidentialité, ou la décentralisation ?

          La décentralisation.

          Incubez l'excellence sur https://linuxfr.org/board/

          • [^] # Re: XMPP

            Posté par  (site Web personnel) . Évalué à -2 (+0/-4).

            Pour toi peut-être. Pour un journaliste ou un dissident Russe, possiblement beaucoup moins.

            • [^] # Re: XMPP

              Posté par  (site Web personnel) . Évalué à 7 (+5/-1).

              La décentralisation rends la surveillance de masse difficile, même avec des protocoles en carton.

              Un super système ultra sécurisé mais centralisé est une cible difficile mais intéressante.

              Pour cacher un arbre, le mieux c'est de le planter dans la forêt.

              Incubez l'excellence sur https://linuxfr.org/board/

              • [^] # Re: XMPP

                Posté par  . Évalué à 9 (+7/-0).

                Pour cacher un arbre, le mieux c'est de le planter dans la forêt.

                Je croyais que c'était : Pour cacher une forêt, le mieux c'est de planter un arbre devant.

                :-< je n'ai encore rien compris…

                Surtout, ne pas tout prendre au sérieux !

            • [^] # Re: XMPP

              Posté par  (site Web personnel) . Évalué à 4 (+2/-0).

              Tu dois avoir raison, il vaut mieux une seule appli, avec un nombre réduit de serveurs. Comme ça c’est impossible à censurer et insensible à la pression de petits acteurs comme des tous petits pays (puisque tu prends l’exemple russe). C’est tout ce que demandent les journalistes.

              • [^] # Re: XMPP

                Posté par  (site Web personnel) . Évalué à 2 (+1/-1).

                C’est tout ce que demandent les journalistes.

                Visiblement, ils utilisent plus volontiers Signal que XMPP.

        • [^] # Re: XMPP

          Posté par  (site Web personnel) . Évalué à 6 (+4/-0).

          C'est tout autant impossible avec XMPP

          Que veux tu dire par là ? Tu peux faire tourner ton propre serveur XMPP, et a priori quand tu le fais, tu sais bien ce que tu installes dessus.

          • [^] # Re: XMPP

            Posté par  (site Web personnel) . Évalué à 1 (+1/-1).

            Seulement l’admin du serveur peut le vérifier (encore faut-il être suffisamment compétent pour ne pas se faire véroler son serveur), pas les utilisateurs.

            Même dans un monde «idéal» où chacun ne fait confiance à personne et héberge son propre serveur, tu dois passer par un autre serveur pour communiquer avec quelqu’un qui utilise un serveur différent. Et tu n’as aucun moyen de vérifier le code utilisé par ce serveur.

            C’est pour ça que le seul moyen de garantir la confidentialité est d’utiliser un protocole qui la garantisse, plutôt que de devoir faire confiance au serveur, comme le font Signal et Whatsapp.

            Dans le monde XMPP il y a l’extension OMEMO qui fait ça, mais qui n’est supportée que par un nombre réduit de clients. Résultat, la plupart des utilisateurs ne vont pas l’utiliser.

            Par exemple un module pour loguer les messages d’un serveur Prosody: https://modules.prosody.im/mod_message_logging.html

            • [^] # Re: XMPP

              Posté par  (site Web personnel) . Évalué à 6 (+4/-0).

              Dans le monde XMPP il y a l’extension OMEMO qui fait ça, mais qui n’est supportée que par un nombre réduit de clients. Résultat, la plupart des utilisateurs ne vont pas l’utiliser.

              Ce que j'aime bien dans cette remarque, c'est que tout le monde accepte de n'utiliser qu'un seul client dans le cas de Signal mais que quand on passe du côté XMPP, imposer Siskin.im et Conversations, qui supportent tous les deux OMEMO, semble impossible.

              Trop de choix tue le choix ?

              • [^] # Re: XMPP

                Posté par  (site Web personnel) . Évalué à 3 (+2/-0).

                Parce que justement dans le cas de XMPP c’est impossible d’imposer un client, parce déjà il n’y a pas un seul client multi-plateforme.
                Donc tu dois dire à tes utilisateurs:
                * Sous Windows Gajim (pour lequel il faut explicitement ajouter un plugin pour activer OMEMO, résultat personne ne le fait)
                * Sous Android Conversations
                * Sous iOS ChatSecure, Siskin.im?
                * Avec un navigateur web, ???

                De plus au fil du temps ça change, tel ou tel client n’est plus maintenu sur telle ou telle plate-forme. Donc on se retrouve avec des utilisateurs qui utilisent de plus en plus de clients différents.

                Par exemple j’avais installé Jappix qui fonctionne très bien, mes utilisateurs l’utilisent et apprécient. Mais le projet n’est plus maintenu donc ne supporte pas OMEMO, MAM et toutes les nouvelles extensions XMPP.
                Je fais quoi, je garde un truc qui marche, ou je fais migrer tout le monde vers un truc qui si ça se trouve aura le même problème dans 2 ans ?

                Je comprends le choix de Signal d’imposer un seul client. C’est impossible de garantir un niveau de sécurité équivalent avec une multitudes de clients.

                • [^] # Re: XMPP

                  Posté par  (site Web personnel) . Évalué à 2 (+0/-0).

                  Je fais quoi, je garde un truc qui marche, ou je fais migrer tout le monde vers un truc qui si ça se trouve aura le même problème dans 2 ans ?

                  Tu fais un virage à 360° et tu bascules sur Snikket : un seul serveur, un seul client par plateforme.

            • [^] # Re: XMPP

              Posté par  . Évalué à 3 (+1/-0).

              C’est pour ça que le seul moyen de garantir la confidentialité est d’utiliser un protocole qui la garantisse, plutôt que de devoir faire confiance au serveur, comme le font Signal et Whatsapp.

              Ah bon ? Whatsapp ne récupère aucune donnée ou meta-donnée ?

              Sinon avoir et un protocole qui garantisse la confidentialité de toutes les données, et un serveur dans lequel tu peux avoir un certain degré de confiance (voir pas du tout de serveurs comme pour Tox), c'est pas mal aussi, non ?

              Emacs le fait depuis 30 ans.

        • [^] # Re: XMPP

          Posté par  (site Web personnel) . Évalué à 4 (+3/-0).

          C'est tout autant impossible avec XMPP, et avec à peu près n'importe quel logiciel avec lequel tu interagis au travers du réseau.

          Sauf que tu peux faire tourner ton propre serveur XMPP.

          C'est une question de choix : au niveau confidentialité et sécurité XMPP est largement moins bon que Signal et Whatsapp.

          Faux.

          • [^] # Re: XMPP

            Posté par  (site Web personnel) . Évalué à 3 (+2/-0).

            C’est sympa tous les arguments théoriques, et oui OMEMO est une belle avancée, mais ça ferait du bien d’être un peu réaliste et d’accepter les limitations de XMPP pour mieux faire avancer le schmilblick.

            J’utilise au quotidien XMPP avec des proches, et la situation est la suivante:

            • Je n’ai pas de client web qui supporte OMEMO, donc quand je veux utiliser un client web (au boulot par exemple qui bloque XMPP) mes communications sont en clair.
            • Utiliser OMEMO dans un groupe de discussion est compliqué, donc au final aucune discussion de groupe n’utilise OMEMO dans notre cas.

            J’utilise et je pousse pour utiliser XMPP avec mes proches. Je constate que même dans ce cas la confidentialité est moins bonne qu’avec Signal ou Whatsapp, aka je pourrais espionner pas mal de discussions passant sur ce serveur.

            Au final ça marche parce que mes utilisateurs me font confiance. C’est pour ça que je pose la question décentralisation/confidentialité.

            XMPP ça marche pour nous grâce à la décentralisation et la confiance qu’ont mes utilisateurs que je ne vais pas abuser les données que je pourrais récolter. Mais dès qu’on élargit le cercle cette confiance n’existe plus.

            • [^] # Re: XMPP

              Posté par  (site Web personnel) . Évalué à 3 (+2/-0).

              Je n’ai pas de client web qui supporte OMEMO, donc quand je veux utiliser un client web (au boulot par exemple qui bloque XMPP) mes communications sont en clair.

              En client web supportant OMEMO, il y a par exemple Converse, JSXC, et prochainement Movim.

            • [^] # Re: XMPP

              Posté par  (site Web personnel) . Évalué à 4 (+2/-0).

              qu’avec Signal ou Whatsapp, aka je pourrais espionner pas mal de discussions passant sur ce serveur.

              Quelle garantie as-tu que WhatsApp ne le fait pas ? Parce qu'ils le disent ? Tu as pu le vérifier ?

              Mais dès qu’on élargit le cercle cette confiance n’existe plus.

              Et du coup, il vaut mieux utiliser WhatsApp qui garantit cette confiance… La boucle est bouclée.

              Il y a une partie intéressante dans le documentaire Nothing to hide sur la confiance qui va assez bien dans le sens de ce que tu dis.

              • [^] # Re: XMPP

                Posté par  (site Web personnel) . Évalué à 3 (+2/-0).

                Parce qu'on est quasiment certain que WhatsApp n'en a rien à faire du contenu de mes conversations avec mes amis… Par contre une personne que je connais qui gérerai un serveur sur lequel j'échangerai sur des personnes que l'on connaît tous les deux… T'as intérêt à faire confiance à l'admin de la machine !

                idem avec l'hébergement de mail pour des connaissances !

                • [^] # Re: XMPP

                  Posté par  (site Web personnel) . Évalué à 2 (+0/-0). Dernière modification le 16/04/21 à 15:01.

                  T'as intérêt à faire confiance à l'admin de la machine !

                  Je suis assez d'accord avec toi mais au moins, tu le connais et tu sais où il habite.

                  Tu n'as jamais eu à faire de maintenance sur un PC que quelqu'un t'a confié ? Moi oui et à chaque fois, on me laisse la machine et l'accès intégral. C'est pas pour autant que je vais récupérer les photos, les mails etc…
                  Pour ceux qui sont sous Linux, on m'a même laissé un compte d'administration.
                  Alors oui, ce n'est pas un accès en continu mais c'est déjà pas mal.

                  Enfin, bon, dans les utilisateurs de mon serveur XMPP, ils font quasiment tous de l'OMEMO donc la majeure partie du temps, le problème ne se pose pas.

                  • [^] # Re: XMPP

                    Posté par  (site Web personnel) . Évalué à 1 (+0/-0).

                    Tu n'as jamais eu à faire de maintenance sur un PC que quelqu'un t'a confié ?

                    Si et bien souvent !
                    Et oui c'est une question de confiance.

                    Par contre les personnes dont tu gères les mails ou les données n'ont aucune assurance que tu (ou moi) ne le fera jamais ! Et même pire ils ne se rendent même pas compte que tu en as la possibilité en fait. C'est le cas de ma compagne par exemple.

                    J'ai une éthique (enfin j'espère !), je ne l'ai jamais fait, je ne le ferai sans doute jamais, mais j'en ai la possibilité technique, sauf, comme tu le mentionnes, à chiffrer toute correspondance, ce qui est utopique dans le cas des mails.

                    Jérôme

                • [^] # Re: XMPP

                  Posté par  (site Web personnel) . Évalué à 3 (+1/-0).

                  Au passage, la messagerie instantanée rentre dans le cadre du secret de la correspondance.
                  J'ai pas trop envie qu'un proche m'attaque pour la violation du-dit secret 😊

    • [^] # Snikket

      Posté par  (site Web personnel) . Évalué à 10 (+9/-0).

      À noter le project Snikket lancé par l'équipe de Prosody, qui est très prometteur.

      https://snikket.org

      Le projet fonctionne comme ça:

      • auto-hébergé, installable en moins d'1/2 heure (avec des containeurs Docker)
      • un client est choisi par plateforme (pour le moment Android avec Conversations et iOS avec Siskin)
      • les fonctionnalités sont testées entre ces clients, tout problème est corrigé et proposé en amont (upstream)
      • on parle de Snikket, pas de XMPP. Les clients sont renommés (« rebrandés » pour les marketeux) et c'est « Snikket » sur les dépôts d'applications
      • système d'invitation
      • les personnes invitées apparaissent automatiquement dans la liste de contacts (roster) des autres
      • même si ça n'est pas présenté explicitement comme tel, c'est du XMPP donc les utilisatrices et utilisateurs avancé·e·s peuvent utiliser le client de leur choix

      Bref, c'est idéal pour faire un réseau familial rapidement et facile d'accès, tout en laissant la possibilité d'utiliser ses clients favoris.

      C'est en bêta, mais côté Android c'est Conversations qui est largement éprouvé, et côté iOS je pense que ça tourne bien aussi (à vérifier).

      Ce projet mérite une dépêche d'ailleurs.

    • [^] # Re: XMPP

      Posté par  . Évalué à -2 (+0/-3).

      Avec XMPP, il m'est pas possible de trouve une application qui permette d'envoyer des message mais aussi des appels vocaux de manière chiffré. XMPP n'est pas chiffré a la base et la manière dont c'est géré dans les applications est pas simple a trouver. En général il faut ajouter un greffons a ton application, transmettre à part la clef… C'est vraiment beaucoup plus complexe qu'Element (Riot). Alors oui en théorie XMPP est le standard de base, pourquoi réinvente la roue …

      • [^] # Re: XMPP

        Posté par  . Évalué à 3 (+2/-1).

        Par curiosité, pour faire tourner Synapse, est-ce qu'il faut toujours un hexacore avec un bon paquet de ram derrière une fibre 1Gbps à cause de la synchro des messages ou est-ce qu'il y a une implémentation qui passe sur un Rpi sur une ADSL ?

        Emacs le fait depuis 30 ans.

    • [^] # Re: XMPP

      Posté par  . Évalué à 3 (+2/-0).

      Je m'y suis mis avec Conversations, Dino, Chapril avec quelques personnes de mon entourage…et ça fonctionne bien…

      Bon, tout n'est pas parfait (les clients bureau font moins que le client mobile !) mais c'est en bonne voie je pense…:)

  • # Intégration

    Posté par  . Évalué à 3 (+2/-1).

    D'autres ne sont pas complètement hostiles à cette nouveauté, mais questionnent la pertinence d'intégrer le système de paiement à l'application de messagerie : cela force en effet celles et ceux qui n'ont pas l'usage de ce système (ou ne veulent pas s'en servir) à avoir son code et potentiellement ses bugs et failles dans la même application, rendant la messagerie potentiellement moins sécurisée, alors que pour l'éditeur de Signal il serait possible de maintenir deux applications distinctes.

    Non. La fonctionnalité ce n'est pas de pouvoir échanger de la crypto monnaie, mais de rendre trivial l'échange avec tes contacts. Leurs fonctionnalités c'est d'intégrer une fonctionnalité déjà existante. C'est discutable, mais il n'est pas possible de faire la même chose avec une autre application.

    • [^] # Re: Intégration

      Posté par  (site Web personnel) . Évalué à 2 (+2/-1).

      Les contacts sont dans le téléphone, pas dans l’application Signal. Donc qu’est-ce qui empêcherait une application de paiement distincte de Signal de demander l’accès aux contacts pour faire son boulot ? Je n’ai lu nulle part que MobileCoin dépend du protocole Signal, et même si c’était le cas, un peu de duplication de code (mettre le même protocole dans deux applications distinctes) serait encore préférable à mettre la messagerie et le paiement dans la même application et donc à imposer aux deux usages le plus haut niveau de vulnérabilité (en termes techniques et juridiques) de l’un des deux.

      Avec une application de paiement distincte, les utilisateurs pourraient décider de faire confiance à l’une ou l’autre application, ou aux deux. Même fonctionnalités, plus de choix pour les utilisateurs, ce ne serait pas mieux ?

      • [^] # Re: Intégration

        Posté par  . Évalué à 1 (+1/-1).

        Mais cela implique pour le client d'avoir 2 applications, et plus de manipulations nécessaire pour faire un paiement à la personne à qui tu es en train de parler.

      • [^] # Re: Intégration

        Posté par  . Évalué à 7 (+5/-0).

        Donc qu’est-ce qui empêcherait une application de paiement distincte de Signal de demander l’accès aux contacts pour faire son boulot ?

        L'intégration. Tu as une calculatrice pas besoin que ton tableur fasse des calculs pour toi.

        Si la fonctionnalité qu'ils veulent fournir c'est de pouvoir donner au sein d'une conversation en un minimum d'action utilisateur, la seconde application ça ne fonctionne pas. Devoir installer seconde application, c'est un problème, rien que parce que des gens n'ont pas énormément de place pour les applications sur leur téléphone.

        Avec une application de paiement distincte, les utilisateurs pourraient décider de faire confiance à l’une ou l’autre application, ou aux deux. Même fonctionnalités, plus de choix pour les utilisateurs, ce ne serait pas mieux ?

        Il en existe déjà tu n'a pas besoin d'eux pour ça. C'est pas très utile.

        Vraiment, la fonctionnalité ce n'est pas de permettre d'échanger de l'argent, c'est le fait d'en proposer une ergonomie.

        • [^] # Re: Intégration

          Posté par  . Évalué à 3 (+1/-0).

          Il est possible, sous Android de faire des intégration entre deux apps que tu contrôle (ou pas1)… Alors, certes, ça demande un peu plus de place d'avoir deux applis, mais ça permet de garder la fonctionnalité optionnelle, sans obliger à changer d'appli et de faire des copier-coller entre elles.

          1: Waze propose, par exemple, une intégration de spotify assez propre.

          • [^] # Re: Intégration

            Posté par  (site Web personnel) . Évalué à 4 (+2/-0).

            Il est possible, sous Android de faire des intégration entre deux apps

            Ouep, et je pense qu’une annonce du genre : « Hey, on a développé un système de plugin, le premier plugin c’est pour lier MobileCoin à Signal », ça serait probablement mieux passé (pour moi en tout cas).

  • # privacy

    Posté par  (site Web personnel) . Évalué à 4 (+5/-3).

    L'autre problème de Signal (tout comme beaucoup de systèmes de messagerie moderne) c'est qu'il utilise un numéro de téléphone comme identifiant.

    pertinent adj. Approprié : qui se rapporte exactement à ce dont il est question.

    • [^] # Re: privacy

      Posté par  . Évalué à 6 (+4/-1).

      It's not a bug, it's a feature.

      Il me semble qu'ils travaillent sur le fait d'avoir un identificant qui ne soit pas un numéro mais pour beaucoup de monde, c'est un point positif pour s'inscrire facilement et pour trouver des contacts.

      « Rappelez-vous toujours que si la Gestapo avait les moyens de vous faire parler, les politiciens ont, eux, les moyens de vous faire taire. » Coluche

      • [^] # Re: privacy

        Posté par  (site Web personnel) . Évalué à 5 (+4/-2).

        Quand tu perds ton téléphone ou change ton numéro, c'est just a fucking bug.

        Incubez l'excellence sur https://linuxfr.org/board/

        • [^] # Re: privacy

          Posté par  (site Web personnel) . Évalué à 2 (+0/-0).

          Et c'est aussi mauvais pour la vie privée, car aujourd'hui un numéro de téléphone est partagé avec beaucoup de monde (il est demandé pour se créer un compte sur des sites populaires tels que Google ou Twitter par exemple).

          • [^] # Re: privacy

            Posté par  (site Web personnel) . Évalué à 4 (+2/-0).

            Aussi du fait que, dans de plus en plus de jurisdictions, chaque numéro doit être associé à une identité légale.

            pertinent adj. Approprié : qui se rapporte exactement à ce dont il est question.

      • [^] # Re: privacy

        Posté par  (site Web personnel) . Évalué à 3 (+1/-0).

        Il me semble qu'ils travaillent sur le fait d'avoir un identificant qui ne soit pas un numéro

        Oui, c’est en cours, y a déjà eu plusieurs commits dans ce sens sur Signal Server et Signal Android et ça semble avancer encore ces derniers temps (voir par exemple : Disallow SMS/MMS sends to UUID-only recipients).

        Je pense que c’est la prochaine grosse fonctionnalité.

    • [^] # Re: privacy

      Posté par  . Évalué à 3 (+1/-0).

      Je serais tenté de dire que c'est comme la plupart des réseaux de messagerie modernes au final. Dans les réseaux populaires je ne connais que Discord qui ne soit pas lourd là-dessus. Et dans ceux faisant du E2EE, je ne vois que Wire et Tox.

      Emacs le fait depuis 30 ans.

    • [^] # Re: privacy

      Posté par  . Évalué à 1 (+0/-1).

      A ce propos, Telegram permet aussi d'utiliser un identifiant plutôt qu'un n° de téléphone, sauf erreur de ma part (je n'utilise pas Telegram).

      • [^] # Re: privacy

        Posté par  . Évalué à 2 (+1/-1). Dernière modification le 12/04/21 à 18:58.

        Non, numéro de téléphone mobile obligatoire. Même un téléphone fixe est refusé maintenant, contrairement à Signal.

        Si tu veux un réseau qui fasse du E2EE sans numéro de téléphone, je ne connais que Wire et Tox qui le fassent. Mais ils se tournent résolument vers le marché professionnel, au point de masquer la possibilité de créer un compte à usage perso gratuitement sur leur site.

        Emacs le fait depuis 30 ans.

        • [^] # Re: privacy

          Posté par  (site Web personnel) . Évalué à 3 (+1/-0).

          Ce qui est basé sur le protocole Matrix (et donc normalement « Element ») n’en demandent pas nécessairement.

          Tout comme XMPP dirons aussi certains.

          • [^] # Re: privacy

            Posté par  . Évalué à 2 (+0/-0).

            Et le E2EE ? Matrix le fait ? en tout cas XMPP c'est assez rare.

            Emacs le fait depuis 30 ans.

        • [^] # Jami ?

          Posté par  . Évalué à 3 (+1/-0).

          Si tu veux un réseau qui fasse du E2EE sans numéro de téléphone, je ne connais que Wire et Tox qui le fassent.

          De ce que j’en ai compris, Jami en fait et en tout cas, il ne demande pas le numéro de téléphone.

          Frаnсе : 106277, Allеmаgnе : 84789. Масrоn : 21488.

          • [^] # Re: Jami ?

            Posté par  . Évalué à 2 (+0/-0).

            Je connais très mal Jami (j'ai pas creusé plus que ca pour des questions de compatibilité), ils font du E2EE ?

            Emacs le fait depuis 30 ans.

            • [^] # Re: Jami ?

              Posté par  . Évalué à 4 (+2/-0).

              Jami n'utilise pas de serveur donc c'est forcément du end to end.

              extrait de leur FAQ : Nous utilisons TLS 1.3 avec une confidentialité de transmission parfaite (PFS) pour les clés négociés pour les appels et les transferts de fichiers. Les messages sont chiffrés avec une clé RSA.

  • # Jami et Briar

    Posté par  (site Web personnel) . Évalué à 2 (+1/-0).

    J'ai reçu ma 1ère pub via Signal ce matin, preuve du succès de l'outil…

    Étant utilisateur de Delta.Chat, on m'a fait remarquer deux inconvénients :
    - passer par du courriel éparpille des meta-données en clair (qui à contacté qui et quand) ;
    - le chiffrement mis en œuvre n'assure pas le "perfect forward secrecy" (une seule clé est utilisée par personne, une seule clé donne accès à tout l'historique).

    Du coup, maintenant que Briar est sorti de sa période de bêta-testing, je vais m'y remettre. C'est 100% décentralisé, ça passe par Tor par défaut, ça marche encore en local en Wifi si y'a une "panne" d'infrastructure, mais c'est limité au texte à l'échange de photo en groupe : pas d'appels vidéos.

    https://f-droid.org/en/packages/org.briarproject.briar.android/

    Pour quelque chose de plus complet au niveau des fonctionnalités, mais qui ne passe pas par Tor, y'a Jami (qui regroupe un client SIP, de la messagerie texte…) :

    https://f-droid.org/en/packages/cx.ring/

    La liberté ne s'use, que si on ne s'en sert pas.

    • [^] # Re: Jami et Briar

      Posté par  . Évalué à 3 (+1/-0).

      Jami a encore une limitation bloquante pour beaucoup de gens : seulement des conversation 1-1. Mais les groupes sont en cours d'implémentation (ils appellent ça des swarms et ce sera basé sur git).

      • [^] # Re: Jami et Briar

        Posté par  (site Web personnel) . Évalué à 1 (+0/-0).

        Briar ne permet plus d'échanger des photos.
        Jami ne supporte pas encore les groupes.
        aTox ne supporte pas non plus les groupes.
        Skred n'est pas sur F-Droid…

        La liberté ne s'use, que si on ne s'en sert pas.

        • [^] # Re: Jami et Briar

          Posté par  . Évalué à 3 (+1/-0). Dernière modification le 13/04/21 à 23:48.

          TRIfa supporte les conversations de groupe.

          Le seul vrai défaut de tox.et ses clients, c'est l'absence de support de messages offline pour des groupes. Si t'es pas là, tu reçois pas. Pour les messages direct en 1:1, le pair attend juste que tu te reconnectes, c'est juste chiant s'il se déconnecte avant que tu ne te reconnectes en cas d'urgence.

          • [^] # Re: Jami et Briar

            Posté par  . Évalué à 2 (+0/-0).

            Et aussi l'importation de profil sur un nouveau client. Mëme si elle a été simplifiée, ca fait toujours trop peur aux utilisateurs en général.

            Emacs le fait depuis 30 ans.

            • [^] # Re: Jami et Briar

              Posté par  . Évalué à 2 (+0/-0).

              Pour moi tox reste la meilleur alternative actuelle…mais avec un nom pareil il est dur à "vendre".

Envoyer un commentaire

Suivre le flux des commentaires

Note : les commentaires appartiennent à ceux qui les ont postés. Nous n’en sommes pas responsables.