Signal n’a que peu de métadonnées à offrir au FBI
Petit coup de projecteur
Le 05 octobre 2016 à 13h31
3 min
Société numérique
Société
Open Whisper Systems, éditeur de la messagerie chiffrée Signal, a reçu il y a plusieurs mois une demande du FBI pour des informations sur deux utilisateurs. Représentée par l’ACLU, la petite entreprise a fini par donner ce qu’elle avait : quelques métadonnées.
La solution de messagerie chiffrée Signal est devenue depuis son arrivée une référence dans le domaine de la sécurité. À tel point d’ailleurs que le protocole du même nom a été repris dans plusieurs solutions largement utilisées : WhatsApp, Viber, Line, Allo ou encore plus récemment Facebook Messenger.
Toutes les métadonnées : deux horodatages
Plus tôt dans l’année, le FBI a approché Open Whisper Systems avec un mandat concernant des informations sur deux individus. Si l’information ne nous parvient que maintenant, c’est que la demande était accompagnée d’un « gag order », ces fameuses instructions de discrétion contre lesquels Microsoft se débat actuellement, épaulé par de nombreuses autres entreprises.
Sur les deux individus, un seul possédait un compte Signal. Représenté par l’ACLU (American Civil Liberties Union), OWS a donc plongé dans ses métadonnées pour donner au FBI ce qu’elle possédait. Or, elle ne retient en fait que très peu d’informations : deux horodatages, le premier pour la création du compte, le second pour la dernière connexion au service.
Un culte du secret devenu une règle
Ces détails sont donnés par l’avocat Brett Max Kaufman de l’ACLU, qui indique dans un billet de blog que le gouvernement a rapidement accepté que ces informations soient publiées, en tout cas partiellement. Selon lui, toute la procédure en dit long sur l’absence de transparence par défaut et le culte du secret, devenu pratiquement une norme dans ce genre de demande. Au vu des données réclamées, une telle chape de plomb n’avait cependant pas de sens, ce dont le FBI a convenu.
L’affaire assure évidemment une visibilité supplémentaire pour Signal, qui prouve par la publication des informations que quelques métadonnées non identifiantes sont gardées dans les logs du service. Les données elles-mêmes sont chiffrées de bout-en-bout entre les appareils, sans stockage sur des serveurs. L’éditeur prouve en plus désormais que même les métadonnées sont réduites au strict minimum.
Edward Snowden applaudit
Ce bonus de projecteurs ne s’arrête pas là puisque Edward Snowden y a ajouté son grain de sel, égratignant d’ailleurs Allo au passage, qu’il avait critiqué pour son absence de chiffrement de bout-en-bout par défaut. Une carence que l’on retrouve d’ailleurs dans Messenger, Facebook ayant fait également le choix des « conversations secrètes ».
The FBI came after #Signal, only to find they log only account creation date & last login time. @Google, take note. https://t.co/njyiqCA2i0
— Edward Snowden (@Snowden) 4 octobre 2016
Signal n’a que peu de métadonnées à offrir au FBI
-
Toutes les métadonnées : deux horodatages
-
Un culte du secret devenu une règle
-
Edward Snowden applaudit
Commentaires (53)
Vous devez être abonné pour pouvoir commenter.
Déjà abonné ? Se connecter
Abonnez-vousLe 05/10/2016 à 16h51
@Ami-kuns +1 pour la référence ^^
Le 05/10/2016 à 17h40
Ce qui me choque c’est qu’apparement, il faut obligatoirement passer par le google-play…
Le 05/10/2016 à 18h55
Le 05/10/2016 à 19h36
Il faut les Google Play Service car les notifications de messages passent par ce service : http://support.whispersystems.org/hc/en-us/articles/213190487-Why-is-there-a-del…
GCM workingYou need Google Play Services installed, logged in, and running. Test if it is working with the app Push Notifications Fixer from the Google Play Store
Le 05/10/2016 à 19h42
Le 06/10/2016 à 00h56
Le 06/10/2016 à 06h20
En même temps, on peut recouper tellement de données disséminées ça et là que vos efforts pour vous débattre et rester hors du système sont juste pour dire “je vais vous faire chier 5 jours au lieu de 2 pour me tracer”.
Le 06/10/2016 à 07h21
Le 06/10/2016 à 07h21
Le 06/10/2016 à 07h26
merci du conseil !
" />
Vendredi j’ai une soirée, je vais essayer de faire un tir groupé (y’aura 2 geek, un élu et un curieux (non-geek mais ouvert d’esprit) :) )
Par contre, madame est sous WP, et n’utilise jamais la data de son téléphone, ça va être chaud de lui installer et de lui faire utiliser ^^’ - sinon whatsapp pour tout le monde quoi
Le 06/10/2016 à 08h00
Si cela peut t’aider, j’ai aussi argué la version desktop pour pouvoir également communiquer via l’ordinateur, ce qui est plus sympa quand on doit taper des messages plus longs, ou simplement qu’on n’a pas son téléphone sur soi 😉
Le 06/10/2016 à 08h20
1- c’est toujours mieux que rien.
2- tout dépend du modèle de menace.
Dans tous les cas, s’il s’agit d’une surveillance ciblée, c’est très compliqué.
Le 06/10/2016 à 08h31
Je pense que je vais déjà parler un peu pour WhatsApp (ok c’est facebook mais y’a le protocole Signal), pour ensuite aborder le cas signal, mais ouais c’est pas mal.
Par contre, comme l’essentiels de mes contacts utilisent facebook messenger (“c’est simple, rapide, pas besoin de s’embeter”), va falloir arguer :)
Le 06/10/2016 à 09h09
Ouvrir mes yeux. Observer autour de moi. Prendre en compte que meme des analyses marketing big data peuvent en révéler beaucoup sur toi. Reflechir, poster sur NXI. Se faire demander des sources, répéter le message.
Ah et de l’expérience / formation en sécurité aussi, ca aide..
Le 06/10/2016 à 09h54
ben niveau metadata, savoir que Whatsapp (donc facebook) voit tout passer.
donc préférer Signal, plus robuste de ce côté.
le seul truc ultra horripilant c’est que Signal ne permet pas de partager des documents (style pdf).
je sais pas pourquoi, mais ça a été signalé sur leur github y’a 2 ans, y’a toujours rien de fait, alors qu’il suffit de renommer un pdf en mp4 (par ex) pour pouvoir l’envoyer.
donc c’est vraiment de la putain de mauvaise foi de leur part.
Le 06/10/2016 à 09h59
Des droits quelconques ?
Le 05/10/2016 à 14h16
ça m’arrive aussi, mais c’est quand même assez rare.
Le 05/10/2016 à 14h16
Comprends pas, pour du chiffrement bout en bout, il ne faut que les deux communiquants utilisent le même protocole i.e. signal ? or ici seulement un des deux l’utilisait.
Des explications sur le principe ?
Le 05/10/2016 à 14h32
Votre article m’a donné envie d’essayer signal. J’ai donc chercher, chercher et encore chercher un lien vers le site de signal mais rien. Impossible de trouver une référence à celui-ci sur votre page. Il serait utile je pense de rajouter des liens vers les sociétés dont vous parlez histoire par exemple qu’on aille bien sur le bon site.
Le 05/10/2016 à 14h37
Le 05/10/2016 à 14h43
Le 05/10/2016 à 14h45
Du coup, si tu SMS (via signal) à tes contacts (qui n’ont pas signal), c’est chiffré quand même?
Le 05/10/2016 à 14h51
A priori non ce n’est chiffré qu’entre deux messageries signal.
Le 05/10/2016 à 14h53
https://whispersystems.org/#page-top
Le 05/10/2016 à 14h54
Ok merci. C’est un peu comme ProtonMail du coup je pense -> chiffré de ton coté mais déchiffré coté SMS utilisateur.
" />
Donc temps que peu de monde l’utilise dans ton entourage, c’est useless car il reste une copie en clair qqpart
Le 05/10/2016 à 14h59
Le 05/10/2016 à 15h05
Je remercie ceux qui on donné le lien dans les commentaires.
Un petit coup de Qwant me l’avait aussi donné.
Mais celui-ci doit se trouver dans l’article. On ne parle pas d’un produit sans en donner un lien vers celui-ci (sauf s’il s’agit d’un produit / lien illégal). Mon message était donc destiné à l’auteur et au delà aux auteurs des articles n’oubliaient pas les liens SVP car ils font eux aussi partit de l’information.
Le 05/10/2016 à 15h11
Hé bien c’est soit cela, soit l’utilisateur reçoit un : “Vous avez reçu un message codé de la part de TOTO. Pour le lire veuillez télécharger l’application SIGNAL en suivant ce lien …”
Personnellement je vois un message comme celui-la je l’efface direct sans passer par la case suivez le lien.
Par contre signal te permet d’envoyer un message à ton correspondant avec un lien pour l’installer.
Après c’est à toi de convaincre tes correspondants de passer dessus.
Le 05/10/2016 à 15h19
Signal ne chiffre que les messages à destination des utilisateurs qui ont Signal.
pour les autres il envoi un simple SMS.
Le 05/10/2016 à 15h21
Le 05/10/2016 à 16h30
Le 05/10/2016 à 16h42
ben pour faire simple j’ai commencé par un pote geek. il a tout de suite compris, pas besoin de faire un dessin.
" />
là-dessus on a ajouté un pote un peu parano / alter-bobo machin (facile aussi), et puis de fil en aiguille avec l’avantage des conversations de groupe ça s’est élargi.
pour ma compagne je lui ai pas demandé son avis, je lui ai installé l’appli (elle m’a sorti la même chose que la tienne en gros).
comme je disais, les discussions de groupe c’est un très bon argument pour leur faire franchir le pas.
les gens “normaux” il faut pas leur faire peur avec la NSA et le chiffrement, ils vont se braquer, ils ont la tête rempli de conneries avec les grands médias et les histoires de terroristes sur telegram. faut leur parler d’une fonctionnalité dont ils vont tout de suite capter les avantages.
si t’as un gamin par exemple, ben tu fais installer signal à toute la famille pour partager photos et vidéos du lardon. et paf, 10 personnes dans la boucle.
Le 05/10/2016 à 13h37
reste plus grand chose à ceux qui s’amusent à cracher sur Signal.
" />
à part la tronche de Moxie et le refus de fédérer.
Le 05/10/2016 à 13h41
C’est vraiment bien cette appli ? Pour l’instant je suis sur Silence, mais je ne sais pas quelles métadonnées ils stockent (poke le FBI, j’aimerais bien savoir
" />)
Le 05/10/2016 à 13h42
Le 05/10/2016 à 13h43
Silence n’a pas été éliminé en 1969?
" />
Le 05/10/2016 à 13h55
Silence c’est l’ancien SMSSecure il me semble.
il ne chiffre que le contenu des SMS.
donc c’est du SMS basique, mais avec le payload chiffré.
du coup le FBI n’y a pas accès, mais ton opérateur voit tout passer.
Le 05/10/2016 à 13h57
Je suis sur l’appli sms de signal, pour ne plus utiliser celle par défaut qui ne sera jamais à l’abri du piratage par PJ.
Tout ce que j’ai a dire c’est qu’elle est très bien, mais j’ai quelques soucis avec les MMS (un comble^^ )
Le 05/10/2016 à 14h05
C’est un véritable repaire de bandits ici
" />
Le 05/10/2016 à 14h06
oO
jamais eu de problème, c’est une bête PJ, pas un MMS foireux avec les APN à paramétrer… ^^
Le 05/10/2016 à 14h07
Le 05/10/2016 à 14h12
Comme précisé, je ne me sers que des fonctions sms/mms, pas de compte autre que mon numéro de tel.
Il faut bien qu’il récupère les paramètres de mon opérateur pour fonctionner.
Le 05/10/2016 à 14h12
J’ai cessé d’utiliser signal il y a plusieurs mois car les messages n’arrivaient pas toujours ou alors parfois avec beaucoup de décallage…. vraiment dommage car elle était pas mal et gérait aussi les sms (sans chiffrage)
Le 05/10/2016 à 14h15
heu… Signal ne passe plus par les MMS / SMS.
du coup soit t’as pas Signal, soit tu passe pas par les SMS.
ceci dit sur Android, Signal te permet aussi d’envoyer des SMS à tes contacts qui n’ont pas Signal.
c’est d’ailleurs tout l’intérêt du bouzin: le chiffrement est totalement transparent.
pour ça il utilise les librairies SMS d’android (par défaut sur ton tel), donc les paramètres du téléphone.
Le 06/10/2016 à 10h16
à priori non, puisque l’appli demande des droits sur photos/multimédia/fichiers.
c’est juste un choix à 2 balles, puisque ça fonctionne très bien en changeant l’extension de fichier.
Le 06/10/2016 à 10h25
Je parlais de droits d’usage pour le transfert de PDF. :-)
Le 06/10/2016 à 12h45
?? droits d’usage? je vois pas de quoi tu parles en fait….
Le 06/10/2016 à 14h01
Le 06/10/2016 à 14h17
Le 06/10/2016 à 14h22
Sortir de la sphère Google ?
Facile : utiliser un iPhone…
Le 06/10/2016 à 14h43
Déjà qu’il n’existe pas d’alternative à Youtube, ni au calendrier, ni à maps (qui respecte la vie privée comme signal, qwant par ex), si c’est pour tomber de Charybde en Scylla…
Le 06/10/2016 à 16h43
Le 07/10/2016 à 08h53
On est d’accord.
Le but n’est pas tant de dégoogliser sa vie.
Mais de maitriser ce que l’on donne en échange de l’usage des services ‘gratuits’.