La vague Télégram et Signal

Sans vouloir être désagréable, j’avoue que je suis assez désolé de ce que je lis dans ce fil.
On a là, enfin :

• un logiciel libre et gratuit
• porté par une fondation à but non lucratif
• qui ne récupère pas nos méta-données pour les exploiter à des fins mercantiles, voire pire (élections US, Brexit, etc.)
• créé par des gens qui partagent les valeurs que nous défendons

Et au lieu de se réjouir de la vague inouïe de gens λ qui, enfin, disent « stop » à la surveillance des GAFAM, d’une façon qui est certes encore insuffisante mais déjà tellement étonnante et inhabituelle, au lieu de se réjouir et d’aider à enfoncer le clou, on « fait la fine bouche » parce que qu’on préfère un système qui est tellement génial qu’il n’est même pas installable par mon vieil oncle, 80 ans, qui a pu installer Signal en trois minutes.
XMPP est sans doute le nec plus ultra, mais tant qu’il ne sera accessible à monsieur-tout-le-monde, il restera dans la sphère des geeks.

Relisons Surveillance:// de Tristan Nitot : il ne suffit pas, pour les logiciels libres, de faire la même chose que ce que proposent les GAFAM, pour être adoptés : il leur faut bien une killer feature. Et avant même d’avoir une killer feature, il faut être… préhensible par tous !

Je suis bien d’accord avec toi , et puis bon tant qu’a faire vous voulez pas non plus passer sur IRC que l’on perde encore un peu plus les personnes non initiée ? et rajouter une surcouche de chiffrement AES256, c’est un chiffrement militaire on est tranquille ?

bon je taquine mais c’est vrai que a toujours vouloir remettre en questions les initiatives on finit par ne plus croire en rien de toute maniere faut bien garder une choses a l’esprit : Le risque zero n’existe pas que se soit dans IRC XMPP PGP signal ou autres

est ce que standardisation = plus de personnes qui connaissent et utilise = plus d’attaquants ?

Ce que je me dit a titre personnel c’est qu’il faut faire de la veille et rester informer de l’evolution de risques ce que je trouve important c’est surtout de faire les choses en consciences : si tu utilise quelques choses sans en connaitre les risques c’est la que c’est dangereux, mais de toutes maniere la solution miracle n’existe pas !

En Attendant je vous met un lien que j’aime bien consulter pour rester informé:

cve details un site qui permet de rechercher les failles rescenser sur n’importe quelle solution, connaitre le status des failles et leur gravité,

il suffit de taper le nom d’un logiciel dans la barre de recherche pour savoir si il y’a des failles qui on été découverte et par exemple si elle on été patcher ou non

En réalité, la fonctionnalité que l’on cherche c’est la messagerie instantanée.
Voici le point de vue de Free Sotware Foundation Europe (FSFE), que je trouve plutôt raisonnable.

Messagerie Instantanée

La situation des applications libres de messagerie instantanée n’est pas simple.

Il existe des applications 100% libres telles que Conversations et Zom (pour XMPP/Jabber, les utilisateurs de iOS peuvent utiliser ChatSecure), Delta Chat (basé sur les emails) ou Riot.im (basé sur Matrix). Cependant, elles ne sont probablement pas très répandues parmi vos amis car leur communauté est très petite.

D’autres applications sont complètement ou en grande partie libres, mais ont d’autres fonctionnalités problématiques telles que la dépendance à des serveurs ou bibliothèques de développement non libres, l’absence de fédération de serveurs, à l’instar de Signal ou Wire.

Il existe plusieurs initiatives pour rendre la messagerie instantanée aussi libre, sécurisée, décentralisée, et faciles d’utilisation. Nous espérons pouvoir émettre des recommandations avec moins de retenue à l’avenir.

– https://fsfe.org/activities/android/liberate.fr.html

De ma propre expérience pour avoir expérimenté Signal, puis vite abandonné, je suis perplexe sur le mécanisme qui relie la carte SIMM (puce mobile de votre téléphone) au compte Signal. Je ne suis pas capable de le prouver, mais cela me parait être un vice de conception.

Quoi de mieux que de relier des métadonnées de communications (même chiffrées) à une carte SIMM, géolocalisée, ‘triangularisée’ permettant d’identifier le nom de l’émetteur via association SIMM/carte d’identité !

De façon pragmatique, j’ai essayé d’installer Signal sur mon ordi (appli Desktop), cela m’a demandé d’installer l’appli mobile sur un orditél. Puis, j’ai configuré l’appli Desktop et ça a fonctionné. En revanche, après avoir supprimé l’appli mobile, la version Desktop a refusé de fonctionner. Bref, l’appli Desktop n’est qu’un leurre

C’est d’abord une solution 100% orditél et puisque, en l’état, mon niveau de confiance dans les orditéls est très bas (faute de n’avoir pas encore utilisé PinePhone ou autre…) , je préfère ne pas utiliser cette solution et je ne la recommande pas à mes amis.

Je pense qu’il faut prendre du recul par rapport à cette discussion, si je l’ai provoqué c’est pas pour imposer un point de vue ou juger des choix qui ne correspondent pas aux miens, mais pour parler d’alternatives méconnues et dont l’usage peut être pertinent.

Cette discussion sur les standards ouverts me fait penser au “formats ouverts”, doit-on privilégier au maximum le format de données ouverts comme les fichiers de l’Open Document ? Pourquoi les recommandations sur leur usage ? On en est toujours là…

Et le fait également que Framasoft utilise pour ses services et pour montrer la faisabilité, des protocoles décentralisés et fédérés, n’est vraiment pas là par hasard.

Entre un protocole non standardisé et l’inverse, je préfère faire le bon choix.

Lorsque tel groupe fait le choix de Signal pour communiquer ensemble, que ce groupe soit national ou mondial, ça ne me fait pas peur de leur dire qu’il existe une alternative plus ouverte. Mais certainement pas que je leur dirais de m’écouter, j’informe simplement sans juger leur choix ; ils ont fait des choix en amont, je les respecte tout simplement.

Je pense que vous avez compris, que XMPP n’est pas un gadget de geek.

Pas seulement.
Ma famille - très nombreuse - étant dispersée dans le monde entier, nous avons un énorme groupe WhatsApp par l’intermédiaire duquel nous échangeons des messages instantanés mais aussi des photos, des audios et des vidéos. Si WhatsApp n’avait pas reculé de 3 mois la mise en application de ses règles de confidentialité, nous passions tous dans l’urgence à Signal, que j’avais suggéré après avoir essayé de me faire ma propre opinion en creusant plusieurs alternatives.

Mais là, c’est un peu en stand bye. Cela avance très doucement dans l’esprit des gens qui ont peur du changement. J’ai proposé que nous commencions à échanger sur Signal afin de tester en douceur une migration, mais cela n’avance plus… WhatsApp a fait très fort en reculant l’application de ses nouvelles règles de confidentialité. J’ai peur que les gens s’habituent à l’idée de lâcher leurs données, par facilité…

Il semblerait que Signal ait eu de nombreux problèmes suite à l’affluence des nouveaux comptes. Ils ont dû investir d’urgence dans de nouveaux serveurs.
Olvid qui n’est pas encore libre, semble bien, apparemment l’une des applications les plus sécurisées au monde.

Olvid est le seul moyen de communication ne faisant plus reposer la sécurité des échanges sur des serveurs.

Bref, le débât n’est pas clos.

super de te lire @nathalierun, et super d’avoir connaissance de cette diversité de choix pour la messagerie instantanée. Le sujet a justement pour but la discussion ouverte sur nos préférences et choix respectifs, qu’il convient de prendre en compte comme l’a bien rappelé @stroibe974.

Pour envisager Olvid comme solution pérenne et à diffuser massivement, il faudrait avoir un peu plus de recul sur les choix qu’il opère et sur ses valeurs. Pour le moment non mis en open source, ce qui est probablement raisonnable (Olvid justifie son choix). L’architecture du protocole ne me semble pas décentralisée ou ne semble pas utiliser des protocoles standardisés (protocoles de chiffrements PGP ou omemo, protocole de communication p2p client à client). Le modèle économique de startup suggère qu’Olvid pourrait “ambitionner” de se faire racheter par les plus gros une fois la solution validée et plébiscitée par la presse techno. C’est juste une crainte, mais ça n’empêche que ça vaut le coup d’essayer comme tu le fais pour mieux en parler ensuite, et si tu peux partager ton expérience ce sera parfait justement.

De notre côté, nous utilisions également whatsapp depuis longtemps et convaincre famille et amis de passer à autre chose ne fût pas immédiat…
Voir “by fèsbouc” à chaque lancement de l’appli finissait par nous donner des boutons … Alors, sur plusieurs mois, on a fait les sommations d’usage en invitant à nous rejoindre sur Telegram (plus convivial) ou sur Signal, puis on a viré whatsapp juste après avoir informé tout le monde qu’au besoin on restait joignable par mail ou sms !
Certains ne se sont pas fait prier pour quitter sans regret, pour d’autres, on les voit arriver récemment tant sur Signal que sur Telegram, sûrement sensibilisés par la censure massive qui sévit tout azimut (un mail vers yahoo m’a été retourné, filtré par “Verizon Media” avec pour motif qu’il ne respectait pas la “politique d’utilisation” : c’était un mail de l’asso “BonSens.org” dont le contenu était visiblement trop dérangeant !)
J’ai vaguement lu qu’il y avait d’autres outils encore plus sécurisés, mais actuellement je n’ai pas le temps de m’y pencher …
En tout cas merci pour la richesse des ces échanges !

Signal décentralise ?

https://www.developpez.com/actu/312348/Bloque-par-l-Iran-Signal-mise-sur-la-decentralisation-des-serveurs-comme-solution-de-contournement-et-demande-aux-utilisateurs-du-monde-entier-de-configurer-des-serveurs-proxy/

Tient donc !

Brian Acton a quitté WhatsApp en septembre 2017 (et son compère Jan Koum en avril 2018). Aujourd’hui, il est à la tête de la Signal Foundation, lancée en février 2018 avec un financement initial de 50 millions de dollars d’Acton. Il a également un rôle opérationnel important chez Signal.

source: pixeldetracking.com

Petit retour sur l’utilisation de Signal.

Ca fait un ou deux jours que j’ai installé l’application Signal desktop et je peux vous dire que c’est franchement pas pratique, ou alors c’est à cause de mon ordi.

Au lancement de l’appli, ça met un temps fou pour charger tous les messages qui ont été postés dans les discussions. J’avais lancé l’application y a un peu moins de 10 minutes et c’est encore en train de charger. J’ai ce fameux écran bleu comme celui représenté ci-dessous.

C’est donc insupportable pour moi. Est-ce que vous avez essayé la version desktop et qu’en pendez-vous ?

Cette application Desktop est un leurre.
Si tu désinstalles la version installée sur ton mobile, tu ne peux plus utiliser la version Desktop.

Je l’ai installé une fois, ça a duré 10 minutes, puis j’ai tout désinstallé. Je n’utilise plus.
Il me semble que la solution matrix.libre.re remplace complètement cette solution.

Je n’ai pas eu ce soucis là sur l’appli desktop que j’utilise assez souvent. Mais il me semble qu’ @anna avait ce soucis à un moment aussi.

Pour ma part, je trouve aussi que matrix à de grande qualité, mais pour les fois où je l’ai testé, les appels audio/vidéo fonctionnent mieux, de manière plus fiable, avec Signal qu’avec matrix (version desktop ou mobile)

A la base, j’ai installé la version desktop simplement pour dialoguer avec les gens qui se rassemblent pour dire non aux restrictions sanitaires à La Réunion.

Bonjour les libristes,

au visionnage de cette vidéo et du site

je comprends que toute utilisation d’un orditél, smartphone, android, iphone, tablette est complètement à la merci du logiciel espion israélien Pegasus et que cette solution est vendue au plus offrant (gouvernement français).

Je n’ai pas de bon conseil avisé pour contrer ce genre d’espionnage. Peut-être ne pas faire confiance du tout à votre téléphone. Tout simplement, je préconise l’usage d’un ordinateur classique (plus il est vieux, mieux c’est) et de n’y installer que du système d’exploitation Libre (GNU/Linux ou xBSD) et des logiciels libres sobres et efficaces.

• le navigateur Firefox
• le logiciel Tor
• le site matrix.libre.re
• … (avec un peu d’huile de coude) la combinaison Xmpp/Omemo
• … (avec un peu d’huile de coude) la combinaison Email/GPG

Cependant, ne prétendant pas être expert de ce domaine, je suis plutôt avide de vos retours et bons conseils pour ne pas tomber dans la paranoïa.

Pour ma part, de manière plus prudente, je préconise la faculté de pouvoir exprimer publiquement son opinion (après maturation) comme le ferait n’importe quel bon citoyen, soucieux de bien communiquer avec l’ensemble des concitoyens via une plateforme citoyenne et publique, comme par exemple :

ronkoze.info
espace de discussion civilisée sur le thème de la démocratie à la Réunion

Juste pour revenir un instant sur le sujet Telegram / Signal…
Il y a quelques mois, j’avais parlé de ces deux applis à une connaissance et récemment, il m’a dit avoir laissé tomber Signal au profit de Telegram.
Ses arguments n’étaient pas techniques, mais me semblaient d’un bon sens élémentaire aussi je soumet ces quelques éléments à votre réflexion :
Il écoute BFM, non pas pour gober ce qui y est dit, mais comme source d’information après analyse : il a remarqué que cette chaîne, plutôt connue pour ses prises de positions engagées clairement du côté du pouvoir, faisait la promotion de Signal… première alerte !
Ensuite sur une autre source, c’était marcZuck (patron de fèsbouc) qui dit publiquement utiliser Signal… quelle utilité pour lui de glisser ça dans la conversation ? encore une alerte…
Pour cette connaissance, s’informer sur BFM, c’est utile pour faire le contraire de ce qui est dit !
Ces brèches dans la fiabilité de Signal m’ont fait me rappeler que Signal a été recommandé par E.Snowden, qui lui même a été élevé au rang de héro (dans un film biographique) par Hollywood, qui est apparu récemment comme outil de propagande de la CIA…
On peut légitimement se demander pourquoi J.Assange n’a pas eu le même traitement !?

Je peux me tromper mais il me semble E.Snowden recommandait à l’époque (il y a plusieurs années) le logiciel Signal, lors de son lancement. Depuis lors, le degré de piratage a drastiquement évolué, puisque désormais c’est tout le système orditél Android et cie qui est remis en question avec cette annonce.

Dans ce monde où tout va trop vite (y compris le “mur” qui approche), rien n’est plus fiable bien longtemps…
Vivement que ça pète pour de bon, “c’est la guerre” avait déclaré micron…

Heuu, vivement que ça pète ?
Vous faites l’apologie de la guerre maintenant ?

Ça glisse un peu pour un sujet sur les outils de communications chiffrée, non ?

Cet article devrait vous intéresser, par contre.
Le libre n’a jamais été source de sécurité. Attention avec les conseils qui peuvent provoquer le contraire de que l’on cherche :

Le “vivement que ça pète”, c’est la société malade dans laquelle nous vivons malgré nous… Sincèrement désolé de mes propos si vous vous y sentez à l’aise (encore nombreux sont ceux qui ne sentent pas les parois du bocal qui se rapprochent…)
Pour la suite, de là à déduire que je fais l’apologie de la guerre parce que je cite le discours inaugural du premier confinement par le président (très certainement illégitime), c’est un raccourci que je trouve un peu brutal !
merci pour le lien, je vais y jeter un oeil !

Merci pour cet article de qualité.