La vague Télégram et Signal

Les problematiques lier a la vie privée sur les réseaux sociaux comme facebook sont tellement mal comprise , il aura fallu que des personnes celebre se mettent a en parler …

Pour Signal je plusoie son utilisation , je le pratique depuis un moment mais pour ce qui est de Télégram je ne la recommande pas il y avais eu des badbuzz comme quoi il y aurait des failles et des backdoors dedans et que les autorités /gouvernement pouvais mettre son nez dedans …

Pourquoi pas commencer a orienter les gens vers matrix ?
est ce que faire un tour d’horizon des differents outils pourrais etre interressant lors d’un atelier ?

j’ai déja quelques ressources sur le sujet de l’identité numérique et il y a quelques interviews de membre activites et de la ffdn qui pourrais etre utile a des atelier
Je pense que mettre en lumiere l’impact que l’utilisation de nos données peux avoir serait important vulgariser cela de maniere a aider la compréhension du publique , beaucoup d’activiste surtout chez la quadrature du net traite le sujet :




http://lepharenumerique.org/identnum.pdf (pdf que j’avais rédiger pour mon asso)
4 « J'aime »

génial, à reproduire dans le cadre d’un atelier pour Libre.re

1 « J'aime »

@pvincent Et toi, quel est ton ressenti ?
Penses tu que Signal est un outil à recommander pour un libriste souhaitant préserver sa vie privée ou pour n’importe quel autre citoyen de surcroît ?

Dur dur hein ? :slight_smile:
Je suis un grand sceptique, et j’aime me poser les questions qui fâchent, car j’aime savoir si j’ai raison pour de bonnes raisons :slight_smile: Alors avec l’état actuel de mes connaissances, voyons voir :male_detective: :

Le créateur de Signal semble politiquement assez proche de mon univers et de mes convictions, mais ça n’est pas ( du tout ) une bonne raison pour adopter son appli. Les anar’ libertaires ne sont pas tous bien intentionnés.

Jusqu’à preuve du contraire, ils n’ont pas l’air de faire de la revente de données car ils sont financés par du mécénat et l’application appartient à une fondation à but non lucratif.
Ça a l’air d’être une bonne raison de l’adopter, mais non. La société étant basé au état-unis, ils tombent sous plein de loi comme le patriot act qui permet aux autorités de fouiller dans les données avec juste l’aval d’un juge.

Tout est chiffré, de bout en bout.
Okay, je ne suis pas allé voir le code source en détail, mais je prends le postulat et je choisis de faire confiance.
Ça me semble une bonne raison de l’adopter, mais non, car What’sapp fait pareil, et en réalité, ils s’en fichent assez du contenu de nos messages.
Les métadonnées seules sont suffisamment bavardes. Si je fais confiance aux créateurs ( et je devrais pas), je fais beaucoup moins confiances aux autorités qui souvent laissent fuiter des données :confused:

C’est centralisé.
Ça, c’est une raison pour ne pas l’adopter.
J’aimerai beaucoup plus un système décentralisé, non censurable, comme un mesh par exemple. Car si un juge US décide de fermer l’appli, ben tout disparaît.

Tous mes potes sont dessus, et je peux envoyer des SMS standard ( oui, je sais, en clair ) à tout le monde avec.
Ben Ouai… Paske un système de communication où tu es tout seul, ben ce n’est pas un système de communication… :frowning:

Les autres sont pires.
Pas super comme argument, je sais, mais bon, ça se pose la quand même :confused:

Si vous avez d’autres arguments, je suis carrément preneur, mais jusqu’à preuve du contraire et jusqu’à nouvel élément, je choisis d’utiliser Signal pour ces deux dernières et tristes raisons.

Autrement dit :
le jour ou un système open-source, hors usa, décentralisé et surtout populaire fait son apparition, j’en ferais la promotion avec plaisir !

D’ici là, ben je prends le moins pire :slight_smile:

6 « J'aime »

Merci pour ton argumentation @Jonas, tu soulèves un point crucial, le choix du protocole de communication, en l’occurrence tu parles de ta préférence pour les protocoles de communication décentralisés. Je “signale” - désolé pour le jeu de mot - tout de suite le protocole XMPP et les applications et messageries instantanées utilisant ce protocole : Conversation (Androïd), Gajim (Linux). - Manque à mettre les liens wikipédia.

ça serait immoral et grave pour une fondation à but non lucratif de revendre les données des utilisateurs, d’autant plus que son fondateur se positionne contre la collecte des données.

Dans cet ordre tes idées s’enchaînent encore mieux :wink:

Je reviendrai compléter ce soir.

1 « J'aime »

[mode “tatillon : ON”]

Gajim est effectivement disponible pour Linux mais aussi pour d’autres OS comme Windows par exemple… Et ça fait toute la différence car si un jour Gajim devient populaire, ceux qui ne sont pas encore passés à Linux (en espérant qu’ils le fassent au plus vite bien entendu) et qui sont encore “coinçés dans leurs fenêtres” pourront bénéficier de Gajim.

[/OFF]

2 « J'aime »

C’est intéressant de commencer par ce point, car finalement les gouvernements peuvent saisir des serveurs avec toutes les communications s’ils perçoivent des communications suspectes, et certainement que les états-unis font usage de cette possibilité.

Effectivement, le chiffrement de bout en bout est la seule manière de mettre à l’abri des regards, y compris de celui des gouvernements, les communications.
Mais à condition que le code du système de messagerie, c-a-d tous les composants logiciels (clients et composants logiciels constituant le serveur), dans notre cas la messagerie instantanée, soit 100% “ouvert”. Si le code d’un seul composant logiciel constituant le système de messagerie n’est pas ouvert, alors on ne peut pas faire confiance au système de chiffrement de bout en bout.

Je viens de lire rapidement sur wikipédia, le code du système de messagerie de Signal est 100% ouvert (open source).

Il faudrait le vérifier, mais je ne suis pas sûr que le code du système de messagerie de WhatsApp soit 100% ouvert.

Mon première réticence à utiliser Signal est aussi celui-là.
Un système centralisé comme Signal, d’une part est vulnérable (pas de résilience) et d’autre part offre beaucoup moins d’avantage qu’un système fédéré (donc décentralisé) comme Jabber (qui repose sur XMPP).

Mais il y a aussi une différence de nature entre le protocole XMPP et le protocole Signal (ou OpenWhisper). Le protocole XMPP est un protocole ouvert et standardisé, et cela fait toute la différence. Le protocole XMPP est défini par un consortium d’experts alors que le protocole Signal est défini par 1 seul expert, son concepteur. Le protocole Signal est ouvert mais n’est pas standardisé. Les protocoles ouverts et standardisés offrent une diversité d’implémentations de clients et de serveurs, ce qui n’est pas le cas par exemple pour un protocole comme Signal/OpenWhisper.

Si je reviens sur la messagerie instantanée Jabber (clients possibles : Conversation, Gajim, Pigdin, etc ; serveurs possibles : ejabberd, etc) elle offre au moins 2 choix de chiffrement de bout en bout : chiffrement PGP et chiffrement omemo.

2 « J'aime »

Sans vouloir être désagréable, j’avoue que je suis assez désolé de ce que je lis dans ce fil.
On a là, enfin :

  • un logiciel libre et gratuit
  • porté par une fondation à but non lucratif
  • qui ne récupère pas nos méta-données pour les exploiter à des fins mercantiles, voire pire (élections US, Brexit, etc.)
  • créé par des gens qui partagent les valeurs que nous défendons

Et au lieu de se réjouir de la vague inouïe de gens λ qui, enfin, disent « stop » à la surveillance des GAFAM, d’une façon qui est certes encore insuffisante mais déjà tellement étonnante et inhabituelle, au lieu de se réjouir et d’aider à enfoncer le clou, on « fait la fine bouche » parce que qu’on préfère un système qui est tellement génial qu’il n’est même pas installable par mon vieil oncle, 80 ans, qui a pu installer Signal en trois minutes.
XMPP est sans doute le nec plus ultra, mais tant qu’il ne sera accessible à monsieur-tout-le-monde, il restera dans la sphère des geeks.

Relisons Surveillance:// de Tristan Nitot : il ne suffit pas, pour les logiciels libres, de faire la même chose que ce que proposent les GAFAM, pour être adoptés : il leur faut bien une killer feature. Et avant même d’avoir une killer feature, il faut être… préhensible par tous !

4 « J'aime »

Je suis bien d’accord avec toi , et puis bon tant qu’a faire vous voulez pas non plus passer sur IRC que l’on perde encore un peu plus les personnes non initiée ? et rajouter une surcouche de chiffrement AES256, c’est un chiffrement militaire on est tranquille ? :joy:

bon je taquine mais c’est vrai que a toujours vouloir remettre en questions les initiatives on finit par ne plus croire en rien de toute maniere faut bien garder une choses a l’esprit : Le risque zero n’existe pas que se soit dans IRC XMPP PGP signal ou autres

est ce que standardisation = plus de personnes qui connaissent et utilise = plus d’attaquants ?

Ce que je me dit a titre personnel c’est qu’il faut faire de la veille et rester informer de l’evolution de risques ce que je trouve important c’est surtout de faire les choses en consciences : si tu utilise quelques choses sans en connaitre les risques c’est la que c’est dangereux, mais de toutes maniere la solution miracle n’existe pas !

En Attendant je vous met un lien que j’aime bien consulter pour rester informé:

cve details un site qui permet de rechercher les failles rescenser sur n’importe quelle solution, connaitre le status des failles et leur gravité,

il suffit de taper le nom d’un logiciel dans la barre de recherche pour savoir si il y’a des failles qui on été découverte et par exemple si elle on été patcher ou non

2 « J'aime »

En réalité, la fonctionnalité que l’on cherche c’est la messagerie instantanée.
Voici le point de vue de Free Sotware Foundation Europe (FSFE), que je trouve plutôt raisonnable.

Messagerie Instantanée

La situation des applications libres de messagerie instantanée n’est pas simple.

Il existe des applications 100% libres telles que Conversations et Zom (pour XMPP/Jabber, les utilisateurs de iOS peuvent utiliser ChatSecure), Delta Chat (basé sur les emails) ou Riot.im (basé sur Matrix). Cependant, elles ne sont probablement pas très répandues parmi vos amis car leur communauté est très petite.

D’autres applications sont complètement ou en grande partie libres, mais ont d’autres fonctionnalités problématiques telles que la dépendance à des serveurs ou bibliothèques de développement non libres, l’absence de fédération de serveurs, à l’instar de Signal ou Wire.

Il existe plusieurs initiatives pour rendre la messagerie instantanée aussi libre, sécurisée, décentralisée, et faciles d’utilisation. Nous espérons pouvoir émettre des recommandations avec moins de retenue à l’avenir.

https://fsfe.org/activities/android/liberate.fr.html

De ma propre expérience pour avoir expérimenté Signal, puis vite abandonné, je suis perplexe sur le mécanisme qui relie la carte SIMM (puce mobile de votre téléphone) au compte Signal. Je ne suis pas capable de le prouver, mais cela me parait être un vice de conception.

Quoi de mieux que de relier des métadonnées de communications (même chiffrées) à une carte SIMM, géolocalisée, ‘triangularisée’ permettant d’identifier le nom de l’émetteur via association SIMM/carte d’identité !

De façon pragmatique, j’ai essayé d’installer Signal sur mon ordi (appli Desktop), cela m’a demandé d’installer l’appli mobile sur un orditél. Puis, j’ai configuré l’appli Desktop et ça a fonctionné. En revanche, après avoir supprimé l’appli mobile, la version Desktop a refusé de fonctionner. Bref, l’appli Desktop n’est qu’un leurre :frowning:

C’est d’abord une solution 100% orditél et puisque, en l’état, mon niveau de confiance dans les orditéls est très bas (faute de n’avoir pas encore utilisé PinePhone ou autre…) , je préfère ne pas utiliser cette solution et je ne la recommande pas à mes amis.

Je pense qu’il faut prendre du recul par rapport à cette discussion, si je l’ai provoqué c’est pas pour imposer un point de vue ou juger des choix qui ne correspondent pas aux miens, mais pour parler d’alternatives méconnues et dont l’usage peut être pertinent.

Cette discussion sur les standards ouverts me fait penser au “formats ouverts”, doit-on privilégier au maximum le format de données ouverts comme les fichiers de l’Open Document ? Pourquoi les recommandations sur leur usage ? On en est toujours là…

Et le fait également que Framasoft utilise pour ses services et pour montrer la faisabilité, des protocoles décentralisés et fédérés, n’est vraiment pas là par hasard.

Entre un protocole non standardisé et l’inverse, je préfère faire le bon choix.

Lorsque tel groupe fait le choix de Signal pour communiquer ensemble, que ce groupe soit national ou mondial, ça ne me fait pas peur de leur dire qu’il existe une alternative plus ouverte. Mais certainement pas que je leur dirais de m’écouter, j’informe simplement sans juger leur choix ; ils ont fait des choix en amont, je les respecte tout simplement.

Je pense que vous avez compris, que XMPP n’est pas un gadget de geek.

Pas seulement.
Ma famille - très nombreuse - étant dispersée dans le monde entier, nous avons un énorme groupe WhatsApp par l’intermédiaire duquel nous échangeons des messages instantanés mais aussi des photos, des audios et des vidéos. Si WhatsApp n’avait pas reculé de 3 mois la mise en application de ses règles de confidentialité, nous passions tous dans l’urgence à Signal, que j’avais suggéré après avoir essayé de me faire ma propre opinion en creusant plusieurs alternatives.


Mais là, c’est un peu en stand bye. Cela avance très doucement dans l’esprit des gens qui ont peur du changement. J’ai proposé que nous commencions à échanger sur Signal afin de tester en douceur une migration, mais cela n’avance plus… WhatsApp a fait très fort en reculant l’application de ses nouvelles règles de confidentialité. J’ai peur que les gens s’habituent à l’idée de lâcher leurs données, par facilité…

Il semblerait que Signal ait eu de nombreux problèmes suite à l’affluence des nouveaux comptes. Ils ont dû investir d’urgence dans de nouveaux serveurs.
Olvid qui n’est pas encore libre, semble bien, apparemment l’une des applications les plus sécurisées au monde.

Olvid est le seul moyen de communication ne faisant plus reposer la sécurité des échanges sur des serveurs.

Bref, le débât n’est pas clos.

super de te lire @nathalierun, et super d’avoir connaissance de cette diversité de choix pour la messagerie instantanée. Le sujet a justement pour but la discussion ouverte sur nos préférences et choix respectifs, qu’il convient de prendre en compte comme l’a bien rappelé @stroibe974.

Pour envisager Olvid comme solution pérenne et à diffuser massivement, il faudrait avoir un peu plus de recul sur les choix qu’il opère et sur ses valeurs. Pour le moment non mis en open source, ce qui est probablement raisonnable (Olvid justifie son choix). L’architecture du protocole ne me semble pas décentralisée ou ne semble pas utiliser des protocoles standardisés (protocoles de chiffrements PGP ou omemo, protocole de communication p2p client à client). Le modèle économique de startup suggère qu’Olvid pourrait “ambitionner” de se faire racheter par les plus gros une fois la solution validée et plébiscitée par la presse techno. C’est juste une crainte, mais ça n’empêche que ça vaut le coup d’essayer comme tu le fais pour mieux en parler ensuite, et si tu peux partager ton expérience ce sera parfait justement.

De notre côté, nous utilisions également whatsapp depuis longtemps et convaincre famille et amis de passer à autre chose ne fût pas immédiat…
Voir “by fèsbouc” à chaque lancement de l’appli finissait par nous donner des boutons :nauseated_face: … Alors, sur plusieurs mois, on a fait les sommations d’usage :wink: en invitant à nous rejoindre sur Telegram (plus convivial) ou sur Signal, puis on a viré whatsapp juste après avoir informé tout le monde qu’au besoin on restait joignable par mail ou sms !
Certains ne se sont pas fait prier pour quitter sans regret, pour d’autres, on les voit arriver récemment tant sur Signal que sur Telegram, sûrement sensibilisés par la censure massive qui sévit tout azimut (un mail vers yahoo m’a été retourné, filtré par “Verizon Media” avec pour motif qu’il ne respectait pas la “politique d’utilisation” : c’était un mail de l’asso “BonSens.org” dont le contenu était visiblement trop dérangeant !)
J’ai vaguement lu qu’il y avait d’autres outils encore plus sécurisés, mais actuellement je n’ai pas le temps de m’y pencher :thinking:
En tout cas merci pour la richesse des ces échanges ! :pray:

2 « J'aime »

Signal décentralise ?

https://www.developpez.com/actu/312348/Bloque-par-l-Iran-Signal-mise-sur-la-decentralisation-des-serveurs-comme-solution-de-contournement-et-demande-aux-utilisateurs-du-monde-entier-de-configurer-des-serveurs-proxy/

4 « J'aime »

Tient donc !

Brian Acton a quitté WhatsApp en septembre 2017 (et son compère Jan Koum en avril 2018). Aujourd’hui, il est à la tête de la Signal Foundation, lancée en février 2018 avec un financement initial de 50 millions de dollars d’Acton. Il a également un rôle opérationnel important chez Signal.

source: pixeldetracking.com

1 « J'aime »

Petit retour sur l’utilisation de Signal.

Ca fait un ou deux jours que j’ai installé l’application Signal desktop et je peux vous dire que c’est franchement pas pratique, ou alors c’est à cause de mon ordi.

Au lancement de l’appli, ça met un temps fou pour charger tous les messages qui ont été postés dans les discussions. J’avais lancé l’application y a un peu moins de 10 minutes et c’est encore en train de charger. J’ai ce fameux écran bleu comme celui représenté ci-dessous.

C’est donc insupportable pour moi. Est-ce que vous avez essayé la version desktop et qu’en pendez-vous ?

1 « J'aime »

Cette application Desktop est un leurre.
Si tu désinstalles la version installée sur ton mobile, tu ne peux plus utiliser la version Desktop.

Je l’ai installé une fois, ça a duré 10 minutes, puis j’ai tout désinstallé. Je n’utilise plus.
Il me semble que la solution matrix.libre.re remplace complètement cette solution.

1 « J'aime »

Je n’ai pas eu ce soucis là sur l’appli desktop que j’utilise assez souvent. Mais il me semble qu’ @anna avait ce soucis à un moment aussi.

Pour ma part, je trouve aussi que matrix à de grande qualité, mais pour les fois où je l’ai testé, les appels audio/vidéo fonctionnent mieux, de manière plus fiable, avec Signal qu’avec matrix (version desktop ou mobile)

1 « J'aime »

A la base, j’ai installé la version desktop simplement pour dialoguer avec les gens qui se rassemblent pour dire non aux restrictions sanitaires à La Réunion.

1 « J'aime »

Bonjour les libristes,

au visionnage de cette vidéo et du site

je comprends que toute utilisation d’un orditél, smartphone, android, iphone, tablette est complètement à la merci du logiciel espion israélien Pegasus et que cette solution est vendue au plus offrant (gouvernement français).

Je n’ai pas de bon conseil avisé pour contrer ce genre d’espionnage. Peut-être ne pas faire confiance du tout à votre téléphone. Tout simplement, je préconise l’usage d’un ordinateur classique (plus il est vieux, mieux c’est) et de n’y installer que du système d’exploitation Libre (GNU/Linux ou xBSD) et des logiciels libres sobres et efficaces.

  • le navigateur Firefox
  • le logiciel Tor
  • le site matrix.libre.re
  • … (avec un peu d’huile de coude) la combinaison Xmpp/Omemo
  • … (avec un peu d’huile de coude) la combinaison Email/GPG

Cependant, ne prétendant pas être expert de ce domaine, je suis plutôt avide de vos retours et bons conseils pour ne pas tomber dans la paranoïa.

Pour ma part, de manière plus prudente, je préconise la faculté de pouvoir exprimer publiquement son opinion (après maturation) comme le ferait n’importe quel bon citoyen, soucieux de bien communiquer avec l’ensemble des concitoyens via une plateforme citoyenne et publique, comme par exemple :

ronkoze.info
espace de discussion civilisée sur le thème de la démocratie à la Réunion

2 « J'aime »