Signal a décidé de simplifier son processus de vérification permettant à l’utilisateur de savoir si une conversation est sécurisée ou non. Le changement est déjà actif dans les dernières versions publiées de l’application de messagerie.
Signal propose depuis ses débuts de vérifier le degré de protection d’une conversation afin de vérifier si elle est bien privée. Cette fonction suppose la comparaison d’un « numéro de sécurité » ou d’un QR Code. Les deux représentent en fait une empreinte (un hash, un condensat) de la clé publique de l’utilisateur, que Signal peut alors comparer dans les conversations.
Problème, cette étape – à la charge de l’utilisateur – était fastidieuse et fournie sous la forme d’une interface trop complexe. Selon Open Whispers, éditeur de Signal, le processus était si problématique que les utilisateurs parvenaient « souvent à des faux positifs, des faux négatifs », et globalement que la fonction renvoyait de piètres résultats.
Elle a donc été simplifiée pour se concentrer sur un unique QR Code, spécifique à chaque conversation, et non plus à chaque utilisateur. Le numéro de téléphone n’y est plus présent, ce qui rajoute une petite couche de protection supplémentaire. On peut même, si le contact est à côté, utiliser une fonction de scanner pour comparer directement le QR Code, l’application signalant si la correspondance se fait ou pas.
Open Whispers espère que la fonction sera beaucoup plus simple et que les utilisateurs vérifieront donc plus efficacement le statut de leurs conversations. Notez que les deux versions Android et iOS reçoivent également des correctifs au passage et quelques améliorations de performances au passage.
Commentaires (14)
Il aurait été intéressant d’expliquer en quoi il est utile de « vérifier le degré de protection d’une conversation ». Signal n’offrirait donc une sécurité suffisante par défaut ? Ou alors c’est une simple fonction pour mettre en confiance l’utilisateur ?
Perso j’ai du arrêter d’utiliser signal parce que des correspondants utilisant signal ne voyaient mes messages qu’en ouvrant l’appli… Si quelqu’un a une solution hésitez pas à me le faire savoir :)
A vue de nez : vérifier que les notifications provenant de Signal ne sont pas bloquées dans les paramètres de l’OS (ou dans l’appli elle-même) et (éventuellement) définir Signal comme messagerie par défaut (mais là j’en doute un peu).
Dans le même genre, il faut que j’allume la 3G/wifi pour recevoir les messages de mes contacts Signal.
C’est logique, mais c’est troublant car c’est une application qui sert à la fois d’application SMS (le portable a juste besoin d’être allumé pour recevoir les messages) et d’application de chat sécurisé (qui requiert une connexion data).
C’est juste pour vérifier que celui avec qui tu veux communiquer est bien celui avec qui tu veux communiquer. Si par exemple quelqu’un essaie de se faire passer pour l’interlocuteur, alors le QR code ne correspondra pas.
Cela ne remet pas en cause la sécurité de Signal.
L’apli par défaut des MMS d’Android nécessite aussi d’activer la 3G
" /> C’est ça qui m’a fait passer à Silence, qui fonctionne sans activer la data.
C’est un bug dans ce cas car Signal peut se passer complètement du réseau cellulaire s’il est connecté en WiFi.
Tu peux jeter un œil à la FAQ :
Faut un mot de passe pour pouvoir se brosser les dents ?
Désolé……
et tu crois que t’es le premier?
" />
Bah sur cette news, oui, et j’en suis fier !!
" />
C’est marant mais je suis persuadé que cette fonction existe depuis bien longtemps.
En tout cas, on voit bien que WhatsApp utilise le même protocole car c’est exactement la même présentation.
Nous utilisons aussi Silence, c’est tout de même plus confortable de ne pas avoir à activer les données pour communiquer.