Journal petit topo des messageries sécurisées, et leurs alternatives

Posté par  .
Étiquettes :
11
1
août
2023

voyant souvent le "palmarès" des applications dans certains médias et par la presse, je m'interroge sur la possiilité de centraliser les différentes application disponibles, et leurs commentaires & observations.
l'idée étant de "défricher" le travail journalistique, de ce qui est existant, très populaire, ou au contraire peu connu. Le plus complet fut pour moi celui du Point, mais face aux initiatives nouvelles, j'imagine qu'apporter sa pierre à l'édifice (liste longue, très ou trop longue?) en observant les avantages/inconvénients, me parait pas une idée si bete :

les + connus/populaires/simples:

[*]whatsapp :
2009, usa. Racheté par Meta (facebook/insta..), parmi les pionniers sur smartphone, bénéficie de zero-rates dans certains pays africains/amlatine -ce qui est illégal en europe- et le rend le plus populaire au monde. 1+Mrd utilisateurs.
https://www.whatsapp.com/
https://fr.wikipedia.org/wiki/Whatsapp
https://en.wikipedia.org/wiki/Whatsapp

[*]signal (usa aussi, 2014, protocole Signal) , 40M d'utilisateurs
https://signal.org/
https://fr.wikipedia.org/wiki/Signal_(application)
https://en.wikipedia.org/wiki/Signal_(application)

[*]telegram (dubai, 2013), inventé par des contestataires du pouvoir russe ; 500M d'utilisateurs.
https://telegram.org/
https://fr.wikipedia.org/wiki/Telegram_(application)
https://en.wikipedia.org/wiki/Telegram_(application)

[*]viber (israel, 2010) ; créée par d'anciens des services israeliens, racheté par rakuten, basé à chypre. 1Md d'utilisateurs en 2018, racheté quatre ans plus tot par rakuten pour 900MUSD.
https://viber.com
https://fr.wikipedia.org/wiki/Viber
https://en.wikipedia.org/wiki/Viber

les moins connus/différents/indépedants/minoritaires

[*]threeema (suisse, 2012, 1€ à l'ouverture (peut etre un abonnement)) ; 10M d'utilisateurs
https://fr.wikipedia.org/wiki/Threema
https://en.wikipedia.org/wiki/Threema
https://threema.ch/

[*]citadel/tchip : thalès, francais mais voix/visio payants ; citadel a destination des pros/particuliers, tchip est sa réédition réservée aux fonctionnaires.
https://www.thalesgroup.com/fr/citadel-team
https://www.ercom.fr/solutions/citadel-team-presentation
(pas de page wiki :D)

[*]skred : francais, du groupe skyrock, fusion récente avec twinme
https://skred.mobi/fr/
https://fr.wikipedia.org/wiki/Skred

[*]wire : suisse, 2014, gratuit
https://wire.com/
https://fr.wikipedia.org/wiki/Wire_(logiciel)
https://en.wikipedia.org/wiki/Wire_(software)

[*]element : israel, 2016, je comprends pas trop d'où il prend ses racines, très prisé par les communautés opensource ; successeur de Riot, utilise le protocole matrix, interopérable avec jabber/xmpp, pour communiquer. Aujourd'hui la fondation Matrix est localisée au UK. Client Matrix, donc interopérable avec les autres logiciels matrix, ainsi que jabber/xmpp.
https://element.io
https://fr.wikipedia.org/wiki/Element_(logiciel)
https://en.wikipedia.org/wiki/Element_(software)
utilise le protocole matrix :
https://matrix.org
https://fr.wikipedia.org/wiki/Matrix_(protocole)
https://en.wikipedia.org/wiki/Matrix_(protocol)

[*]conversations (allemand, 2014, fonctionne avec xmpp/jabber, donc interopérable, gratuit et optimisé pour android ; alternatives snikket/siskin pour version ios) ; nécessite une création de compte, via l'appli ou via autre serveur jabber, gratuite. Réalisé par Daniel Gultsch
https://conversations.im/
https://fr.wikipedia.org/wiki/Conversations
https://en.wikipedia.org/wiki/Conversations_(software)

[*]quicksy : presque identique au précédent (meme développeur) mais utilise le numéro de téléphone pour générer un identifiant/mdp jabber. Aussi par Daniel Gultsch
https://quicksy.im/
https://en.wikipedia.org/wiki/Conversations_(software)#Quicksy

[*]cheogram : pareil que les deux précédents, mais optimisé pour l'appel de contacts SIP.
projet canadien, issu de soprani. La téléphonie SIP est couramment utilisée par les particuliers là bas.
https://cheogram.com/

les "clandestins/vagabons/invisibles" (ya pas d'autre mots :D ):

[*]session : messagerie chiffrée utilisant la blockchain. Anonymat fort, si l'on active pas la voix/visio.
https://en.wikipedia.org/wiki/Session_(software)

[*]tox : protocole de messagerie chiffré, confidentiel. Différents clients sur ios/android/fdroid, voir :
https://fr.wikipedia.org/wiki/Tox_(logiciel)
https://en.wikipedia.org/wiki/Tox_(protocol)
https://tox.chat/
https://f-droid.org/fr/packages/com.zoffcc.applications.trifa/ (meilleur client que j'ai pu tester, bien appuyer longtemps dans l'ID profil pour faire apparaitre le QR code, c'est pas toujours évident :D)

[*]Briar : Successeur de Ensichat. communications chiffrées via… Tor (inernet), ou wifi (hors internet), ou encore bluetooth ou carrément supports externes (microcarte sd)
recommandée par snowden. utilise le protocole Bramble. Semble encore plus "parano" que tox: pas d'appels/visio.
https://f-droid.org/fr/packages/org.briarproject.briar.android
https://briarproject.org/
https://en.wikipedia.org/wiki/Briar_(software)

NB: pour cette dernière catégorie, certains sont volontairement dénués de visio/voix, pour protéger la vie privée et la confidentialité au maximum. Session affiche un avertissement en ce sens, par exemple, avant l'activation ; j'ai pas trouvé comment l'activer sur briar (je crois pas que ce soit dispo)

NB2: certains évoquent que les whatsapp, signal, telegram et autres utilisent le protocole jabber(xmpp); ce fut certainement vrai aux débuts des messageries mobiles (2010..) dans le sens où meme hangout et les messageries instantanées "experimentées" par google, ont commencé avec ce genre de base technique.
cf https://grenoble.ninja/comment-tuer-un-reseau-decentralise-tel-que-le-fediverse
d'autres applications utilisent des protocoles plus ou moins similaires, pas toujours (meme jamais) ouverts.

les moins connus, plutot visio que messagerie :
[]jitsi?
[
]jami?

on peut citer également les logiciels/fournisseurs de sip, peut etre?
[*]linphone et ippi, tous les deux francais, avec leurs applis respectives

pour les OS alternatifs/minoritaires/indépendants (non ios, non android/lineage-like), type postmarket, mobian, sailfish, manjaro…
il existe des clients jabber/xmpp, au meme titre que des clients SIP, qui sont "plus ou moins fiables" (et dispos :D). Pour ma part sur PMOS j'ai jamais eu de soucis à échanger avec jabber/xmpp (client intégré), par contre SIP n'est pas le meme combat :D

en complément, sur postmarketos, sur lequel whatsapp n'est pas compatible, dispose d'une petite palanquée d'alternatives :
un moment je crois qu'un client discord était dispo, il semblerait que ce soit plus le cas, bien qu'il y ait bien des adaptations/portages de clients telegram et signal sur ce système :
https://wiki.postmarketos.org/wiki/Applications_by_category#Instant_messenger_clients

À noter que les adresses xmpp/jabber (pour les très courtes :D) et SIP peuvent recevoir des d'appels en provenance du réseau téléphonique traditionnel (via tel fixe ou portable) en passant par les passerelles pstn/pots > SIP/jabber. Pratique pour les appels internationaux gratuits, notamment via tel fixe. Voir le post suivant d'il y a quelques mois :
https://linuxfr.org/users/dlorah/journaux/appels-internet-demande-d-avis

et vous, quel est votre préféré?
quelles spécificités, observations, recommandations ou mises en gardes souligneriez vous dans un comparatif?

[NDM] : une page du wiki a été créée afin de pouvoir enrichir ce contenu et retrouver plus facilement l'information par la suite.
https://linuxfr.org/wiki/clients-de-messagerie-instanee

  • # Deltachat

    Posté par  (site web personnel) . Évalué à 10.

    Client de messagerie instantané basé sur le mail. Tu as déjà un compte email quelque part ? Félicitation, tu as un compte Deltachat. Tes amis ont une adresse email ? Félicitation, ils ont déjà un compte Deltachat. Et vu que vous êtes déjà tous sur Deltachat, autant ditcher les autres messageries :)

    Le chiffrement est assuré par autocrypt.

    https://delta.chat/

    PAR CONTRE, comme c’est basé sur le mail, ben vous aurez les mêmes emmerdes qu’avec le mail. Genre tes messages bloqués par le fournisseur de mail de ta pote parce que l’IP de ton fournisseur a fini dans une liste Spamhaus :(

  • # Conversation

    Posté par  . Évalué à 5.

    Je l'ai découvert il y a pas longtemps et j'en ai été agréablement surpris. Fluide, intuitif, léché, … il manque plus qu'une bonne base d'utilisateur et il serait certainement sur le podium !

    • [^] # Re: Conversation

      Posté par  . Évalué à 3.

      pareil, c'est pour moi le plus abouti.
      à l'instar de SIP, jabber/xmpp a un lourd point noir : l'obligation de création de compte via user/pass, et pas via numéro de tel direct (beaucoup de "partisans du moindre" chez les gafam -leur coeur de métier)
      yavait un débat à ce sujet :
      https://linuxfr.org/users/postroutine/journaux/pourquoi-jabber-n-a-pas-plus-de-succes-meme-chez-les-informaticiens

      dommage, car conversations, et son alter-ego au numéro de téléphone, quicksy, a été vraiment la relève
      malheureusement, avec cinq ans de retard : dans le numérique, c'est souvent premier arrivé premier servi, et la place que pour deux.. ça auraiit été intéressant, un conversations/quicksy arrivé avant 2010..

      de mon coté j'utilise ces deux là au quotidien.

      autre point noir pour les clients jabber/xmpp (contrairement à sip) : l'absence de support "solide" sur iphone, où avoir l'appli ouvert en premier plan, à chaque fois qu'on retrouve une connexion, est indispensable.. l'arrière plan sur iphone, c'est pas encore ca…

  • # Puisqu'on parle de messageries

    Posté par  (site web personnel) . Évalué à 3.

    Il manque Wechat et QQ. Pas libre, ça tourne pas sous Linux, et il n'y a plus d'interface web depuis quelques années.

    Si on voudrait être exhaustif, tous permettent de partager des images, des vidéos, du son etc.
    mais ils ont chacun des contraintes. Par exemple, pour Whatsapp, il me semble que seuls les format d'images jpeg et png sont pris en compte, et pour les vidéo, que du mp4. Sinon c'est joint sous forme de pièce jointe sans affichage directement.
    Et, les images un peu grandes seront retaillées.

    Pour Wechat, c'est un peu plus souple… juste un peu plus.

    Matrix, par contre, ça prend en charge la plupart des formats d'images et de vidéos.
    C'est le truc le moins prise de tête, ça marche à peu près partout et sur n'importe quoi.
    Avec possibilité d'envoyer les fichier au format d'origine et qui seront affichés selon plusieurs niveaux de résolutions.

    Matrix permet de passer de faire des visio-conf, avec Jitsi par défaut mais heureusement que c'est configurable si on veut utiliser autre chose.

    Et si on parle de visio-conf on a:
    - Jitsi
    - Big Blue Button <== un peu lourd, mais complet
    - Galène. <== excellent compromis légèreté et fonctionnalité.
    - Talk (de NextCloud et Owncloud) <== Fonctionne très bien aussi.

    Il faudrait regarder dans Yunohost les autres logiciels disponibles et donc facile à installer.

    Pourquoi bloquer la publicité et les traqueurs : https://greboca.com/Pourquoi-bloquer-la-publicite-et-les-traqueurs.html

    • [^] # Re: Puisqu'on parle de messageries

      Posté par  . Évalué à 1.

      pour matrix/elements, j'ai eu très souvent la désagréable surprise de messages chiffrés qui restent chiffrés (illisibles) quand l'auteur les envoie une seconde fois…

      sais pas si d'autres ont eu la meme expérience..

    • [^] # Re: Puisqu'on parle de messageries

      Posté par  . Évalué à 3.

      wechat, c'est pas le truc ultra populaire en chine?
      ou peut etre que je confonds..

      probleme : à priori je ne peux pas éditer le post de base pour les inclure :(

      • [^] # Re: Puisqu'on parle de messageries

        Posté par  . Évalué à 4.

        Oui, ça s'appelle Weixin là bas, et c'est tellement populaire qu'il n'est même plus envisagé que tu n'y aies pas un compte.

        Ça fait tout, y compris le paiement, aux entreprises comme aux particuliers.

        C'est évidemment contrôlé, et tu peux être 100% certain que le gouvernement chinois a un accès intégral à toute activité, tous les messages en clair, et très certainement même les enregistrements audio/vidéo.

        Tu vois un petit vieux dans la rue qui fait des portraits de gens à la sauvette. Au moment de payer il sort une petite pancarte avec un code QR imprimé pour qu'il puisse se faire payer via WeChat, parce que les passants n'ont sans doute pas de cash sur eux.

        • [^] # Re: Puisqu'on parle de messageries

          Posté par  (Mastodon) . Évalué à 3.

          Il me semble que c'est ce en quoi Elon Musk veut transformer twitter, pardon X.

        • [^] # Re: Puisqu'on parle de messageries

          Posté par  (site web personnel) . Évalué à 5.

          Avec Wechat, tu peux tout faire. Acheter un billet d'avion, gérer ton argent dans les banques etc.

          Mais, c'est basé sur le numéro de téléphone, et comme le système de téléphonie mobile n'est pas très sécurisé en Chine, de temps en temps, tu perds tout l'argent qui était sur ton compte Wechat et les comptes bancaires liés.

          Toute application de messagerie ou de VPN en Chine doit avoir un moyen d'accès sans limites pour le gouvernement Chinois.
          Si un utilisateur en Chine utilise un VPN qui n'est pas autorisé par le gouvernement Chinois, il s'expose à de lourdes sanctions. (la Chine ne fait pas beaucoup de différence entre un citoyen Chinois et un étranger).

          Wechat = WeiXin : Système de messagerie édité par Tencent (qui fait aussi QQ)
          Weechat : logiciel IRC ou Jabber, je ne sais plus, au format ncurse.

          Pourquoi bloquer la publicité et les traqueurs : https://greboca.com/Pourquoi-bloquer-la-publicite-et-les-traqueurs.html

    • [^] # Re: Puisqu'on parle de messageries

      Posté par  . Évalué à 1.

      le talk de nextcloud reste une fonctionnalité appréciable bien que complémentaire, le partage de fichiers étant sa principale utilité (j'y avais meme pas pensé)

      • [^] # Re: Puisqu'on parle de messageries

        Posté par  (site web personnel) . Évalué à 3.

        Et la synchrinisation et partages des calendriers/agenda, les contacts, les prises de notes, le gestionnaire de bug, l'organiseur Kanban, les sondages, les sites avec SimpleCMS, …

        NextCloud, ce n'est pas que du partage de fichiers.

        Et, plusieurs NextCloud peuvent se lier ensemble via les Cercles.

        Pourquoi bloquer la publicité et les traqueurs : https://greboca.com/Pourquoi-bloquer-la-publicite-et-les-traqueurs.html

  • # Jami

    Posté par  (Mastodon) . Évalué à 6.

    Le seul a être entièrement distribué (pas de serveur) chiffré et Libre.
    Messagerie instantanée (les groupes sont en béta pour l'instant) et Visio-conférence entre autres.
    https://jami.net/
    Perso j'utilise XMPP avec conversations et gajim

    • [^] # Re: Jami

      Posté par  (Mastodon) . Évalué à 5. Dernière modification le 01 août 2023 à 15:46.

      Par ailleurs jami n'est pas spécialement plus orienté visio que messagerie contrairement à ce qui est dit dans le journal.

      Sinon, Briar et Tox ne nécessitent pas non plus de serveur. D'ailleurs tu peux utiliser Briar via bluetooth où une connection locale wifi sans accès internet.

      • [^] # Re: Jami

        Posté par  . Évalué à 1.

        c'est bien ce qui est indiqué :) briar passe par tor si acces internet dispo, mais peut s'en dispenser, et également fonctionner via des supports externes

    • [^] # Re: Jami

      Posté par  . Évalué à 1. Dernière modification le 02 août 2023 à 16:43.

      "le seul à etre entièrement distribué/chiffré/libre"
      n'est ce pas le cas de tox, briar et de session également?

  • # trodechoitulechoi

    Posté par  (Mastodon) . Évalué à 5. Dernière modification le 01 août 2023 à 15:56.

    Entre XMPP, Matrix, DeltaChat, Briar, Tox et Jami, j'ai eu de très bons résultats en me parlant à moi même par smartphones et ordis interposés…j'ai des comptes partout…maintenent pour les utiliser avec des vrais personnes, c'est autre chose. Il n'y a que xmpp et matrix que je n'utilises que pour des messageries de groupes, certains étant des bridges vers irc d'ailleurs. C'est balaud.

    …le problème c'est que face à une messagerie qui semble avoir l'hégémonie en europe et amérique du nord (bon partagée avec imessage), et signal souvent vendu comme l'alternative (mais qui ne me convainc pas), c'est compliqué de conseiller l'un et pas l'autre…et au final on ne conseille rien. Et face à des habitudes et une resistance au changement, c'est compliqué.

    Du coup on fait quoi?

    • [^] # Re: trodechoitulechoi

      Posté par  . Évalué à 4.

      On envoie un SMS

    • [^] # Re: trodechoitulechoi

      Posté par  . Évalué à 1.

      faites vous pas ch… passez à quicksy..

      • [^] # Re: trodechoitulechoi

        Posté par  (Mastodon) . Évalué à 5.

        Nous on n'a pas besoin si on a déjà un compte jabber. Par contre on peut le proposer oui.

        Mais reste le pourquoi? C'est compliqué face à un population totalement résignée vis à vie du respect de la vie privée et des solutions privatrices (mais ils savent déjà tout sur nous et patati et patata étant la remarque habituelle). Les seuls que t'arrivent à migrer ce sont les gens qui se retrouvent du jour au lendemain avec leur compte google/microsoft/meta désactivé/banni sans aucun recours.

    • [^] # Re: trodechoitulechoi

      Posté par  (site web personnel) . Évalué à 3.

      On envoie un mail.

      Le post ci-dessus est une grosse connerie, ne le lisez pas sérieusement.

      • [^] # Re: trodechoitulechoi

        Posté par  (Mastodon) . Évalué à 3.

        Si ton destinataire est un des trois gros, qu'il ne te fournit pas un clé oublique, c'est déjà plus trop confidentiel comme communication. Par sms non plus.

  • # Sécurisée??

    Posté par  (site web personnel) . Évalué à 5.

    Je vois plein de messageries non sécurisées dans ta liste, notamment celles qui demandent d'utiliser des logiciels privateurs…

    Le post ci-dessus est une grosse connerie, ne le lisez pas sérieusement.

    • [^] # mdr

      Posté par  (site web personnel) . Évalué à 3. Dernière modification le 01 août 2023 à 16:26.

      tchip

      Alors tchip c'est les élèves qui l'utilisent et se font coller, tchap (basé sur element) c'est pour les profs (et autres fonctionnaires) !

    • [^] # Re: Sécurisée??

      Posté par  (site web personnel) . Évalué à 2.

      Pour la plupart des gens, sécurisé ça signifie que le chat de ton voisin n'y a pas accès, ou bien que ton conjoint n'y a pas accès.

      Et, bien sûr, ce sera basé sur un numéro de téléphone pour l'identifiant, comme ça tu pourras recevoir facilement des tentatives de phishing.

      Pourquoi bloquer la publicité et les traqueurs : https://greboca.com/Pourquoi-bloquer-la-publicite-et-les-traqueurs.html

    • [^] # Re: Sécurisée??

      Posté par  (Mastodon) . Évalué à 3.

      Tout dépend de ce que tu entends par sécurisé et quelle est la surface d'attaque.

      Par exemple telegram par défaut ne chiffre pas les communications, sauf si tu crées ta discussion en mode "secret" (si je me souviens bien de la nomenclature) et les groupes sont tous en clair. Donc tu as bien une possibilité de chiffrement, qui te sécurise vis à vis de quelqu'un qui snifferait ton réseau local. Par contre les clés restent je crois stockés sur les serveurs, donc tu n'es pas sécurisé de telegram et toute organisation y ayant accès.

      Matrix ne sécurise que les discussions point à point et les groupes privés avec accès sur invitation le sont seulement si tu laisses la coche chiffrement activée à la création. Et bon les groupes publiques sont publiques donc en clair.

      Pour Signal, c'est chiffré et le serveur n'est pas censé héberger les clés de chiffrements, mais il y a du leak de metadonnées.

      Pour Whatsapp en théorie c'est pareil (là on n'a pas le code source ni les environnements de build pour vérifier) mais je crois que les pièces jointes comme les photos et vidéos ne sont pas chiffrées et mise en cache sur les serveurs, raison pour laquelle on peut forward de façon instantané une photo/vidéo sans délai de réenvoit (je ne suis pas sûr pour les messages audios).

      • [^] # Re: Sécurisée??

        Posté par  (site web personnel, Mastodon) . Évalué à 2.

        Donc tu as bien une possibilité de chiffrement, qui te sécurise vis à vis de quelqu'un qui snifferait ton réseau local. Par contre les clés restent je crois stockés sur les serveurs, donc tu n'es pas sécurisé de telegram et toute organisation y ayant accès.

        Euh, on en est quand même pas là…

        Toute la communication sur le réseau local est chiffrée en SSL (enfin j'espère, sinon c'est vraiment n'importe quoi).

        Les groupes et conversations non secrètes sont transmises en SSL au serveur de Telegram, qui les déchiffre, puis les re-chiffre pour les envoyer aux autres participants de la conversation. C'est quand même le minimum de la sécurité, ça. On est plus dans les années 90 où les choses circulaient en clair sur le réseau local (même pour IRC la communication avec le serveur peut être chiffrée en SSL aujourd'hui).

        La question c'est ce qui se passe après. Le serveur a accès aux conversations en clair. Est-ce qu'ils les stockent? Oui probablement, pour permettre aux gens d'accéder à l'historique de leurs messages quand ils utilisent un nouveau téléphone où qu'ils se connectent depuis un ordinateur. Telegram fait clairement un choix de facilité d'utilisation ici.

        Quand on crée une conversation en mode "secret", on établit un secret qui n'appartient que aux clients aux deux extrêmités. C'est ce qu'on appelle le chiffrement de bout en bout. Ça s'ajoute à la communication déjà chiffrée avec le serveur. Maintenant, le serveur (et lui seul) peut savoir qui parle à qui (bien obligé, sinon il ne pourrait pas envoyer le message au destinataire), mais pas le contenu des messages. L'inconvénient est que ça complique le fait d'avoir un historique de conversation qu'on peut récupérer sur un autre appareil. L'avantage est que c'est sécurisé du mieux possible et qu'il n'y a pas besoin de faire confiance au serveur qui n'a pas accès au contenu de ces conversations.

        Donc le système de message secrets de Telegram, c'est plutôt bien. L'inconvénient de Telegram, c'est une grosse communication sur cette fonctionnalité alors qu'elle n'est pas activée par défaut. Ce qui crée de la confusion, on ne sait plus ce qui est chiffré, ce qui ne l'est pas, et qui a accès ou pas aux messages.

      • [^] # Re: Sécurisée??

        Posté par  . Évalué à 2.

        Pour Whatsapp en théorie c'est pareil (là on n'a pas le code source ni les environnements de build pour vérifier) mais je crois que les pièces jointes comme les photos et vidéos ne sont pas chiffrées et mise en cache sur les serveurs, raison pour laquelle on peut forward de façon instantané une photo/vidéo sans délai de réenvoit (je ne suis pas sûr pour les messages audios).

        Tu as une source pour l'affirmation que les pièces jointes ne sont pas chiffrées ? Parce que le fait qu'elles soient en cache sur un serveur n'implique pas nécessairement ça, me semble t-il.

        • [^] # Re: Sécurisée??

          Posté par  (Mastodon) . Évalué à 3. Dernière modification le 02 août 2023 à 01:42.

          Ben si tu n'as pas à la renvoyer quand tu forward à une autre personne ou groupe, il faut dans ce cas que tu puisses la rechiffrer avec les clé publiques des nouveaux destinataires. C'est peut être le cas mais si c'est fait du côté serveur (il n'y a pas de nouvel upload), ça me laisse dubitatif.

          • [^] # Re: Sécurisée??

            Posté par  . Évalué à 2.

            Soit ils mentent, soit c'est chiffré : https://faq.whatsapp.com/820124435853543

            La confidentialité et la sécurité sont dans nos gènes. C'est pour cela que nous avons intégré le chiffrement de bout en bout à notre application. Lorsqu'ils sont chiffrés de bout en bout, vos messages, photos, vidéos, messages vocaux, documents, mises à jour de statut et appels sont protégés pour ne pas tomber entre de mauvaises mains.

            À priori c'est pareil chez Signal donc ça serait étonnant que Whatsapp casse le chiffrement inclus dans le protocole : https://support.signal.org/hc/en-us/articles/360007059412-Signal-and-the-General-Data-Protection-Regulation-GDPR-

            • [^] # Re: Sécurisée??

              Posté par  (Mastodon) . Évalué à 5.

              J'imagine dans ce cas qu'ils doivent réencrypter ton image/vidéo ? Du coup si tu n'as pas à la réenvoyer, ça se fait côté serveur?

              Alors mettons qu'avec GPG je sais chiffre un fichier pour un ou de multiples destinataires avec leurs clés publiques. Mais le serveur lui, qui n'est pas censé avec leur clés privées, comment fait-il pour déchiffrer le fichier avant de le rechiffrer avec les clés publiques des destinataires ?

              Perso je ne suis pas un spécialiste du chiffrement mais j'ai besoin qu'on me démontre, diagramme et protocole à l'appui, comment ils font. À moins que l'appli whatsapp chiffre toutes ces archives avec une clé publique liée à une clé privée accessible sur le serveur, et qui peut donc déchiffrer tout ce qui est hébergé dessus, je ne vois pas comment ça peut se faire.

              • [^] # Re: Sécurisée??

                Posté par  . Évalué à 3.

                Je comprends le soucis et je n'ai pas la réponse. J'ai cherché rapidement, je n'ai rien vu qui expliquerait comment ils font pour transférer instantanément… Ailleurs je lis qu'ils gardent les messages chiffrés sur leur serveur pendant maximum 30j et jusqu'à ce que le destinataire télécharge mais ça n'explique pas le rechiffrement. Je n'ai pas la capacité de comprendre ce que ça explique mais je suppose que tout est là : https://signal.org/docs/ et https://github.com/signalapp/libsignal.

                Ça serait vraiment intéressant d'avoir le fin mot de l'histoire. Parce que ça provoquerait un joli scandale si les médias ne sont pas chiffrés sur leurs serveurs alors qu'ils disent clairement le contraire.

    • [^] # Re: Sécurisée??

      Posté par  (site web personnel) . Évalué à 7.

      Est ce que l'on peut parlé de sécurité quand une application va scanner tout ton carnet d'adresse d'abord?

      ça me gène qu'on fasse une telle liste ici d'applications populaires et fermées alors qu'il existe de bons logiciels libres et open-sources, dont on ne parle pas assez.

      Pourquoi bloquer la publicité et les traqueurs : https://greboca.com/Pourquoi-bloquer-la-publicite-et-les-traqueurs.html

  • # Dans la catégorie "personne n'en a entendu parler"

    Posté par  (site web personnel, Mastodon) . Évalué à 2.

    Voptop, un système de visioconférence et de chat en partie en P2P et avec du relais de flux à la Tor pour empêcher de savoir qui parle avec qui.

    Il s'est fait remarquer à une époque pour avoir un client pour Haiku, qui a été abandonné depuis pour se concentrer sur des plateformes plus populaires (Windows et Linux). Le développeur avait promis de publier les sources mais pour l'instant ce n'est pas fait (ça fait 8 ans qu'on attend).

  • # Line

    Posté par  (site web personnel) . Évalué à 2.

    Il manque Line, aussi.

    Similaire à WhatsApp.

    Pourquoi bloquer la publicité et les traqueurs : https://greboca.com/Pourquoi-bloquer-la-publicite-et-les-traqueurs.html

    • [^] # Re: Line

      Posté par  . Évalué à 6.

      Il manque aussi Olvid, une messagerie sécurisée, française et certifiée par l'ANSSI, fondée par deux cryptographes issus de l'EPFL !

      • [^] # Re: Line

        Posté par  . Évalué à 3.

        olvid est très similaire à citadel : francais, mais payant pour l'audio/visio, et uniquement ios/android

        pas très ambitieux..

        • [^] # Re: Line

          Posté par  . Évalué à 3.

          C'est open source Citadel ? Parce que Olvid, oui, pour la partie clients.

    • [^] # Re: Line

      Posté par  . Évalué à 1. Dernière modification le 01 août 2023 à 22:37.

      je connaissais pas line

      étonnant, bien qu'ils revendiquent plusieurs centaines de millions d'utilisateurs, à priori, alors que j'en avais jamasi entendu parler..
      un peu comme wechat & qq que je connais presque pas, hormis que c'est très populaire en chine. Comme Line, ce sont surtout des messageries utilisées dans un pays ou un groupe restreint de pays…
      je ne sais pas quelles autres "spécificités" on pourrait leur attribuer..

      ceci dit, ces applications sont développées par tencent, de ce que j'en lis, deux applis pour un meme editeur?
      et leur obligation de se conformer à la juridiction locale (aka la censure chinoise) ne vaut elle pas pour atteinte à la vie privée/chiffrement/confidentialité?

      • [^] # Re: Line

        Posté par  (Mastodon) . Évalué à 5.

        line est la messagerie phare au japon et est très utilisée en corée il me semble. Possiblement d'autres pays d'asie du sud ainsi que Taiwan.

  • # actualiser..

    Posté par  . Évalué à 1.

    quelqu'un sait comment modifier le post initial du journal, pour corriger certaines infos selon les commentaires?
    je trouve pas de bouton de modif'..

    • [^] # Re: actualiser..

      Posté par  (site web personnel, Mastodon) . Évalué à 3.

      Il faut demander à la modération !

      Cela dit ce journal serait très bien aussi en wiki où il serait ensuite plus facile à trouver et à faire évoluer. Je pense d'ailleurs que c'est là où il faut modifier les infos.

      « Tak ne veut pas quʼon pense à lui, il veut quʼon pense », Terry Pratchett, Déraillé.

      • [^] # Re: actualiser..

        Posté par  (site web personnel) . Évalué à 5.

        j'ai crée la page et importé le journal dedans
        https://linuxfr.org/wiki/clients-de-messagerie-instanee

        • [^] # Re: actualiser..

          Posté par  (site web personnel) . Évalué à 3.

          ah, bah merci, une page wiki sur LinuxFr.org c'est ce que j'allais suggérer dès les premiers commentaires que j'ai vus :-)

          perso, je recherche un remplaçant à Telegram pour notre fablab (le serveur n'est pas en libre) pour

          • gérer des groupes (sites entre sunlab, izylab, traplab, mesnilab, maglab / centres d'intérêt entre robotique, impression 3D, hacking, électronique…)
          • pouvoir poster des images voire des vidéos

          et je recherche un remplaçant à la visioconf' zoom qui me gave (non libre et l'appli web se vautre régulièrement sous Linux), j'ai tenté Jitsi mais je m'oriente plutôt vers Big Blue Button pour

          • accès via web avec chat texte en plus
          • utilisation d'appli sur ordinateur ou mobile
          • éventuellement permettre de joindre la conf' par téléphone (que l'audio)

          à une époque pour des audioconfs nous utilisions mumble (et c'était bien efficace + du chat pour filer des liens http par exemple)

          • [^] # Re: actualiser..

            Posté par  (site web personnel) . Évalué à 3.

            Big Blue Button ne fait pas le chat aussi?

            Le post ci-dessus est une grosse connerie, ne le lisez pas sérieusement.

            • [^] # Re: actualiser..

              Posté par  (site web personnel) . Évalué à 2.

              si si Big Blue Button intègre du chat : c'est particulièrement pratique pour envoyer des URL ou pour prendre des notes lors de nos réunions afin de faire un CR ensuite, la visio c'est surtout pour l'interactivité et quand on est habitué aux interlocuteurs, les intonations permettent de nuancer les messages que l'on souhaite envoyer ;-) (bon, moi je me fais remarquer dès que quelqu'un suggère un logiciel proprio alors qu'il y a des candidats en libre tout aussi efficaces…)

              de toute façon, on a aussi un etherpad à côté au besoin (ce qui permet de corriger les fautes d'ortografe à la volée :p)

            • [^] # Re: actualiser..

              Posté par  . Évalué à 1.

              j'imaginais "big blue button" le surnom donné par les libristes barbus au gros bleu facebook… mais visiblement je me trompe… kezako? :)

          • [^] # Re: actualiser..

            Posté par  (site web personnel) . Évalué à 2.

            Galène est simple à installer, et il existe dans Yunohost.

            Sinon, un NextCloud qui vous servira à plein d'autres choses, dont talk, et qui peut aussi être installé via Yunohost.

            Pourquoi bloquer la publicité et les traqueurs : https://greboca.com/Pourquoi-bloquer-la-publicite-et-les-traqueurs.html

          • [^] # Re: actualiser..

            Posté par  . Évalué à 1.

            C'est clairement plus qu'un simple système de messagerie, mais il y a le module Talk de Nextcloud : https://nextcloud.com/talk/

  • # Moi j'ai créé Tribu

    Posté par  . Évalué à 2.

    Hello je me permet de vous présenter ma dernière app Tribu qui est une messagerie crypté et Open Source.

    Alors c'est uniquement orienté groupe et c'est imaginé pour la famille et les amis.

    Le grosse différence avec les autres messageries c'est les différents outils (crypté également) associés aux groupes (listes partagées, gestionnaire de dépenses, etc..) qui permettent de s'organiser en groupe pour les vacances ou la vie quotidienne

    Ça s'appelle Tribu et c'est dispo https://tribu.free-explorers.com/

  • # simplex.chat

    Posté par  . Évalué à 1.

    Il y a aussi https://simplex.chat/ également dispo sur YunoHost.

    • [^] # Re: simplex.chat

      Posté par  (Mastodon) . Évalué à 4.

      ah c'est marrant j'en ai découvert l'existence aujourd'hui, ironiquement sur le salon publique Briar hébergé sur Matrix (ça ne s'invente pas!)

      J'ai ajouté une référence sur la page de wiki mentionnée plus haut.

  • # Comparaison

    Posté par  . Évalué à 2. Dernière modification le 02 août 2023 à 16:43.

    J'avais fait une comparaison de quelques-uns de ces logiciels avec un ami, et une utilisation conjointe pendant une courte période m'avait inspiré ce bilan (sommaire, certes). Je n'y prenais pas en compte le chiffrement et sa force.

    Testés : telegram, qtox, deltachat, element
    Tous sont utilisables sous linux (et android, éventuellement avec un autre client, je pense à qtox)

    Tous : groupes, messages et appels audio et vidéo

    telegram :

    ++ les plus :

    édition et effacement possible des messages envoyés
    autodelete des messages (avec délai configurable)
    vérification orthographique (plusieurs langues)
    Signal de présence, lequel est désactivable
    

    -- les moins

    sortie sonore non configurable (mais il semble que cette friture a été ajoutée récemment)
    

    tox : Divers logiciels

    ==== qtox :

    ++ les plus :

    pas de serveur
    pas d'inscription
    capture d'écran de l'intérieur du logiciel
    Signal de présence (vaut mieux, vu qu'il n'y a pas de serveur)
    supprime tous les messages avec un seul clic
    

    -- les moins :

    Ne transmet les messages que lorsque les deux sont en ligne (pas de serveur, donc c'est le défaut de sa qualité)
    pas d'autodelete des messages
    pas d'édition des messages
    pas de suppression des messages chez le destinataire
    Pas de signal de messages lus
    pas de vérif orthographique
    

    matrix : Plusieurs logiciels

    ==== Element

    ++ les plus :

    édition des messages envoyés
    Plusieurs salles (réseau social)
    signal de message lu
    vérif l'orthographique (plusieurs langues)
    

    -- les moins

    ne supprime les messages que par paquets
    pas d'autodelete
    pas de signal de présence (est-ce une qualité ou un défaut ?)
    

    Deltachat :

    ++ les plus :

    Pas d'inscription nécessaire (identifiant = courriel)
    autodelete (après période configurable)
    peut bloquer un contact
    signal de msg lu (configurable)
    

    -- les moins :

    pas d'édition des messages envoyés
    pas de présence (logique, puisqu'il passe par les courriels)
    pas de verif ortogr.
    

    ========

    Bilan personnel :

    telegram est celui qui réunit le plus de qualités et fonctionnalités (plus que whatsapp, d'ailleurs). Son gros défaut est que le serveur soit sous code fermé, on ne sait donc pas ce que fait le serveur de ses messages et qui y a accès. Il y a également une polémique sur la force du chiffrement, qui n'a jamais été audité, il faut donc croire les devs sur parole (!!) quand ils en garantissent la solidité.

    deltachat est attirant par la simplicité de son utilisation, et par le fait que c'est l'email qui sert d'identifiant, et qu'on peut communiquer avec tout un chacun, même si le logiciel n'est pas installé à l'autre bout.

    tox marche bien et out of the box, sans installation, inscription ou quoi que ce soit. Il suffit d'entrer la clé envoyée par ailleurs par son correspondant (une seule fois, lors de la première connexion entre les deux bouts)

    element est celui que j'ai le moins aimé, interface bizarre et manipulations peu évidentes. C'est peut-être une question d'habitude.

  • # Et Ricochet ?

    Posté par  . Évalué à 1.

    Personne n'a parlé de Ricochet :
    - livre
    - P2P ou Tor
    - anonyme

    Cette anonymisation se fait par la diffusion des messages à plusieurs destinataires.
    Le projet fût abandonné mais désormais forké en Ricochet Refresh.

    Je n'ai pas testé.

  • # secure scuttlebutt / manyverse

    Posté par  . Évalué à 1. Dernière modification le 02 août 2023 à 23:09.

    À ajouter à la liste : le protocole SSB (secure scuttlebutt) et l'ensemble des logiciels qui se basent dessus comme, pour Android, Manyverse (chez f-droid).

    Faute d'amis, pas beaucoup de retour d'expérience à vous proposer.

    • [^] # Re: secure scuttlebutt / manyverse

      Posté par  (Mastodon) . Évalué à 3.

      secure scuttlebut / manyverse c'est plus une alternative au microblogging selon moi.

      • [^] # Re: secure scuttlebutt / manyverse

        Posté par  . Évalué à 1.

        pour ca que je l'ai pas intégrée, mais je pense décalquer ce concept de "topo" des alternatives, aux réseaux sociaux (de manière générale) le mois prochain, histoire de faire un recensement..

  • # Tchip ?

    Posté par  (Mastodon) . Évalué à 1.

    Je pense qu'il y a confusion, Tchip n'existe pas à ma connaissance (cité avec Citadel).

    Mais Tchap est la messagerie sécurisée de l'état à destination des fonctionnaires et se base sur Element (voir https://element.io/case-studies/tchap).

  • # Retroshare

    Posté par  . Évalué à 1.

    Histoire de compléter ce petit tour d'horizon, Retroshare propose une messagerie sécurisée et plein d'autres choses également, à découvrir :)

    • [^] # Re: Retroshare

      Posté par  . Évalué à 1.

      peut etre comme secure scuttlebut / manyverse, ce serait une alternative aux réseaux sociaux?

      à garder sous le coude, pour le prochain "topo" :)

Suivre le flux des commentaires

Note : les commentaires appartiennent à celles et ceux qui les ont postés. Nous n’en sommes pas responsables.