Signal n'a que peu de métadonnées à offrir au FBI

Signal n’a que peu de métadonnées à offrir au FBI

Petit coup de projecteur

Avatar de l'auteur
Vincent Hermann

Publié dans

Société numérique

05/10/2016 3 minutes
53

Signal n'a que peu de métadonnées à offrir au FBI

Open Whisper Systems, éditeur de la messagerie chiffrée Signal, a reçu il y a plusieurs mois une demande du FBI pour des informations sur deux utilisateurs. Représentée par l’ACLU, la petite entreprise a fini par donner ce qu’elle avait : quelques métadonnées.

La solution de messagerie chiffrée Signal est devenue depuis son arrivée une référence dans le domaine de la sécurité. À tel point d’ailleurs que le protocole du même nom a été repris dans plusieurs solutions largement utilisées : WhatsApp, Viber, Line, Allo ou encore plus récemment Facebook Messenger.

Toutes les métadonnées : deux horodatages

Plus tôt dans l’année, le FBI a approché Open Whisper Systems avec un mandat concernant des informations sur deux individus. Si l’information ne nous parvient que maintenant, c’est que la demande était accompagnée d’un « gag order », ces fameuses instructions de discrétion contre lesquels Microsoft se débat actuellement, épaulé par de nombreuses autres entreprises.

Sur les deux individus, un seul possédait un compte Signal. Représenté par l’ACLU (American Civil Liberties Union), OWS a donc plongé dans ses métadonnées pour donner au FBI ce qu’elle possédait. Or, elle ne retient en fait que très peu d’informations : deux horodatages, le premier pour la création du compte, le second pour la dernière connexion au service.

Un culte du secret devenu une règle

Ces détails sont donnés par l’avocat Brett Max Kaufman de l’ACLU, qui indique dans un billet de blog que le gouvernement a rapidement accepté que ces informations soient publiées, en tout cas partiellement. Selon lui, toute la procédure en dit long sur l’absence de transparence par défaut et le culte du secret, devenu pratiquement une norme dans ce genre de demande. Au vu des données réclamées, une telle chape de plomb n’avait cependant pas de sens, ce dont le FBI a convenu.

L’affaire assure évidemment une visibilité supplémentaire pour Signal, qui prouve par la publication des informations que quelques métadonnées non identifiantes sont gardées dans les logs du service. Les données elles-mêmes sont chiffrées de bout-en-bout entre les appareils, sans stockage sur des serveurs. L’éditeur prouve en plus désormais que même les métadonnées sont réduites au strict minimum.

Edward Snowden applaudit

Ce bonus de projecteurs ne s’arrête pas là puisque Edward Snowden y a ajouté son grain de sel, égratignant d’ailleurs Allo au passage, qu’il avait critiqué pour son absence de chiffrement de bout-en-bout par défaut. Une carence que l’on retrouve d’ailleurs dans Messenger, Facebook ayant fait également le choix des « conversations secrètes ».

Écrit par Vincent Hermann

Tiens, en parlant de ça :

Sommaire de l'article

Introduction

Toutes les métadonnées : deux horodatages

Un culte du secret devenu une règle

Edward Snowden applaudit

Fermer

Commentaires (53)


reste plus grand chose à ceux qui s’amusent à cracher sur Signal.

à part la tronche de Moxie et le refus de fédérer. <img data-src=" />


C’est vraiment bien cette appli ? Pour l’instant je suis sur Silence, mais je ne sais pas quelles métadonnées ils stockent (poke le FBI, j’aimerais bien savoir <img data-src=" />)








Jarodd a écrit :



C’est vraiment bien cette appli ? Pour l’instant je suis sur Silence, mais je ne sais pas quelles métadonnées ils stockent (poke le FBI, j’aimerais bien savoir <img data-src=" />)





Même question, j’ai déjà vu mais jamais testé

Moi je suis sur SMS (je pense qu’il y en a des métadonnées qui sont gardées&nbsp;<img data-src=" />)



Silence n’a pas été éliminé en 1969?<img data-src=" />


Silence c’est l’ancien SMSSecure il me semble.

il ne chiffre que le contenu des SMS.

donc c’est du SMS basique, mais avec le payload chiffré.

du coup le FBI n’y a pas accès, mais ton opérateur voit tout passer.


Je suis sur l’appli&nbsp; sms de signal, pour ne plus utiliser celle par défaut qui ne sera jamais à l’abri du piratage par PJ.



Tout ce que j’ai a dire c’est qu’elle est très bien, mais j’ai quelques soucis avec les MMS (un comble^^ )


C’est un véritable repaire de bandits ici <img data-src=" />


oO

jamais eu de problème, c’est une bête PJ, pas un MMS foireux avec les APN à paramétrer… ^^








Jarodd a écrit :



C’est vraiment bien cette appli ? Pour l’instant je suis sur Silence, mais je ne sais pas quelles métadonnées ils stockent (poke le FBI, j’aimerais bien savoir <img data-src=" />)





m’est avis que si le FBI, la NSA ou la DGSI cherchent spécifiquement tes métadonnées, tu as des problèmes plus importants à régler <img data-src=" />



Comme précisé, je ne me sers que des fonctions sms/mms, pas de compte autre que mon numéro de tel.

Il faut bien qu’il récupère les paramètres de mon opérateur pour fonctionner.


J’ai cessé d’utiliser signal il y a plusieurs mois car les messages n’arrivaient pas toujours ou alors parfois avec beaucoup de décallage…. vraiment dommage car elle était pas mal et gérait aussi les sms (sans chiffrage)


heu… Signal ne passe plus par les MMS / SMS.

du coup soit t’as pas Signal, soit tu passe pas par les SMS.

ceci dit sur Android, Signal te permet aussi d’envoyer des SMS à tes contacts qui n’ont pas Signal.

c’est d’ailleurs tout l’intérêt du bouzin: le chiffrement est totalement transparent.



pour ça il utilise les librairies SMS d’android (par défaut sur ton tel), donc les paramètres du téléphone.


ça m’arrive aussi, mais c’est quand même assez rare.


Comprends pas, pour du chiffrement bout en bout, il ne faut que les deux communiquants utilisent le même protocole i.e. signal ? or ici seulement un des deux l’utilisait.

Des explications sur le principe ?


Votre article m’a donné envie d’essayer signal. J’ai donc chercher, chercher et encore chercher un lien vers le site de signal mais rien. Impossible de trouver une référence à celui-ci sur votre page. Il serait utile je pense de rajouter des liens vers les sociétés dont vous parlez histoire par exemple qu’on aille bien sur le bon site.








hellmut a écrit :



reste plus grand chose à ceux qui s’amusent à cracher sur Signal.





Mais c’est carrément dégueulasse de cracher sur du dentifrice !









djludo61 a écrit :



Mais c’est carrément dégueulasse de cracher sur du dentifrice !





Surtout quand tu Tweet avec Sensodyne !



Du coup, si tu SMS&nbsp;&nbsp;(via signal)&nbsp;à tes contacts (qui n’ont pas signal), c’est chiffré quand même?


A priori non ce n’est chiffré qu’entre deux messageries signal.


Ok merci. C’est un peu comme ProtonMail du coup je pense -&gt; chiffré de ton coté mais déchiffré coté SMS utilisateur.

Donc temps que peu de monde l’utilise dans ton entourage, c’est useless car il reste une copie en clair qqpart<img data-src=" />








Rufh a écrit :



Votre article m’a donné envie d’essayer signal. J’ai donc chercher, chercher et encore chercher un lien vers le site de signal mais rien. Impossible de trouver une référence à celui-ci sur votre page. Il serait utile je pense de rajouter des liens vers les sociétés dont vous parlez histoire par exemple qu’on aille bien sur le bon site.







https://whispersystems.org/blog/signal/



Sinon sur les stores je suppose



Je remercie ceux qui on donné le lien dans les commentaires.

Un petit coup de Qwant me l’avait aussi donné.

Mais celui-ci doit se trouver dans l’article. On ne parle pas d’un produit sans en donner un lien vers celui-ci (sauf s’il s’agit d’un produit / lien illégal). Mon message était donc destiné à l’auteur et au delà aux auteurs des articles n’oubliaient pas les liens SVP car ils font eux aussi partit de l’information.


Hé bien c’est soit cela, soit l’utilisateur reçoit un : “Vous avez reçu un message codé de la part de TOTO. Pour le lire veuillez télécharger l’application SIGNAL en suivant ce lien …”

Personnellement je vois un message comme celui-la je l’efface direct sans passer par la case suivez le lien.

Par contre signal te permet d’envoyer un message à ton correspondant avec un lien pour l’installer.

Après c’est à toi de convaincre tes correspondants de passer dessus.


Signal ne chiffre que les messages à destination des utilisateurs qui ont Signal.

pour les autres il envoi un simple SMS.









GvLustig a écrit :



Ok merci. C’est un peu comme ProtonMail du coup je pense -&gt; chiffré de ton coté mais déchiffré coté SMS utilisateur.

Donc temps que peu de monde l’utilise dans ton entourage, c’est useless car il reste une copie en clair qqpart<img data-src=" />





C’est chiffré sur le terminal car il chiffre toute ta base de messages. évidemment de l’autre côté le mec qui n’a pas Signal reçoit un simple SMS. il est même pas au courant que t’utilise Signal.

Cec dit comme il est très simple à l’usage, j’ai réussi (à mon plus grand étonnement) à convertir pas mal de monde (une dizaine de mes contacts les plus réguliers) à Signal. Et ceux-ci on fait la même chose de leur côté.

les conversations de groupe, c’est un bon argument par exemple.









Rufh a écrit :



Je remercie ceux qui on donné le lien dans les commentaires.

Un petit coup de Qwant me l’avait aussi donné.

Mais celui-ci doit se trouver dans l’article. On ne parle pas d’un produit sans en donner un lien vers celui-ci (sauf s’il s’agit d’un produit / lien illégal). Mon message était donc destiné à l’auteur et au delà aux auteurs des articles n’oubliaient pas les liens SVP car ils font eux aussi partit de l’information.





+1









Rufh a écrit :



Hé bien c’est soit cela, soit l’utilisateur reçoit un : “Vous avez reçu un message codé de la part de TOTO. Pour le lire veuillez télécharger l’application SIGNAL en suivant ce lien …”

Personnellement je vois un message comme celui-la je l’efface direct sans passer par la case suivez le lien.

Par contre signal te permet d’envoyer un message à ton correspondant avec un lien pour l’installer.

Après c’est à toi de convaincre tes correspondants de passer dessus.





Je réagirait de même, donc +1



&nbsp;



hellmut a écrit :



Signal ne chiffre que les messages à destination des utilisateurs qui ont Signal.

pour les autres il envoi un simple SMS.





C’est chiffré sur le terminal car il chiffre toute ta base de messages. évidemment de l’autre côté le mec qui n’a pas Signal reçoit un simple SMS. il est même pas au courant que t’utilise Signal.

Cec dit comme il est très simple à l’usage, j’ai réussi (à mon plus grand étonnement) à convertir pas mal de monde (une dizaine de mes contacts les plus réguliers) à Signal. Et ceux-ci on fait la même chose de leur côté.

les conversations de groupe, c’est un bon argument par exemple.





Vu le nombre de post sur fb de mes proches et même la réflexion de ma douce quand je lui ai dit que j’avais une nouvelle BAL (proton) : “Nan mais ça sert à rien, tu as rien à cacher, et puis ta vie est déjà connectée blabla”, je pense avoir plus de mal que toi&nbsp;<img data-src=" />. Tu as utilisés quels arguments ? (mes proches sont, pour être gentils, néophytes à la technologie, quand ce n’est pas techno-je-m’en-foutisme)



ben pour faire simple j’ai commencé par un pote geek. il a tout de suite compris, pas besoin de faire un dessin.

là-dessus on a ajouté un pote un peu parano / alter-bobo machin (facile aussi), et puis de fil en aiguille avec l’avantage des conversations de groupe ça s’est élargi.

pour ma compagne je lui ai pas demandé son avis, je lui ai installé l’appli (elle m’a sorti la même chose que la tienne en gros).



comme je disais, les discussions de groupe c’est un très bon argument pour leur faire franchir le pas.

les gens “normaux” il faut pas leur faire peur avec la NSA et le chiffrement, ils vont se braquer, ils ont la tête rempli de conneries avec les grands médias et les histoires de terroristes sur telegram. faut leur parler d’une fonctionnalité dont ils vont tout de suite capter les avantages.

si t’as un gamin par exemple, ben tu fais installer signal à toute la famille pour partager photos et vidéos du lardon. et paf, 10 personnes dans la boucle.<img data-src=" />


@Ami-kuns +1 pour la référence ^^


Ce qui me choque c’est qu’apparement, il faut obligatoirement passer par le google-play…








wolatuky a écrit :



Ce qui me choque c’est qu’apparement, il faut obligatoirement passer par le google-play&nbsp;





pareil



Il faut les Google Play Service car les notifications de messages passent par ce service :&nbsphttp://support.whispersystems.org/hc/en-us/articles/213190487-Why-is-there-a-del…

&nbsp;

GCM&nbsp;workingYou need Google Play Services installed, logged in, and running. &nbsp;Test if it is working with&nbsp;the app&nbsp;Push Notifications Fixer from the Google Play Store&nbsp;








creatix a écrit :



Il faut les Google Play Service car les notifications de messages passent par ce service :&#160http://support.whispersystems.org/hc/en-us/articles/213190487-Why-is-there-a-del…

 

GCM workingYou need Google Play Services installed, logged in, and running.  Test if it is working with the app Push Notifications Fixer from the Google Play Store







Donc du coup niveau métadonnées, ils ont pas été frapper à la bonne porte apparement.









Cashiderme a écrit :



Donc du coup niveau métadonnées, ils ont pas été frapper à la bonne porte apparement.







Écran de fumée…

Le FBI fait croire qu’ils ont été coincés par Signal, alors qu’ils ont dû avoir les infos par Google qui ne peut pas en parler.

C’est tout benef pour eux, ils ont l’air transparents et les gens pensent qu’utiliser Signal suffit à ne pas créer de métadonnées et baissent leur garde.



En même temps, on peut recouper tellement de données disséminées ça et là que vos efforts pour vous débattre et rester hors du système sont juste pour dire “je vais vous faire chier 5 jours au lieu de 2 pour me tracer”.









wolatuky a écrit :



Ce qui me choque c’est qu’apparement, il faut obligatoirement passer par le google-play…





Pareil, idem pour ProtonMail par exemple



Si tu veux sortir du système de traçage un minimum sur PC, tu peux, mais sur téléphone, bah se détacher de la sphère google complètement, c’est ardue…









Cedrix a écrit :



En même temps, on peut recouper tellement de données disséminées ça et là que vos efforts pour vous débattre et rester hors du système sont juste pour dire “je vais vous faire chier 5 jours au lieu de 2 pour me tracer”.











Cedrix a écrit :



En même temps, on peut recouper tellement de données disséminées ça et là que vos efforts pour vous débattre et rester hors du système sont juste pour dire “je vais vous faire chier 5 jours au lieu de 2 pour me tracer”.





sources?



merci du conseil !<img data-src=" />



Vendredi j’ai une soirée, je vais essayer de faire un tir groupé (y’aura 2 geek, un élu et un curieux (non-geek mais ouvert d’esprit) :) &nbsp;)

Par contre, madame est sous WP, et n’utilise jamais la data de son téléphone, ça va être chaud de lui installer et de lui faire utiliser ^^’ - sinon whatsapp pour tout le monde quoi


Si cela peut t’aider, j’ai aussi argué la version desktop pour pouvoir également communiquer via l’ordinateur, ce qui est plus sympa quand on doit taper des messages plus longs, ou simplement qu’on n’a pas son téléphone sur soi&nbsp;😉


1- c’est toujours mieux que rien.

2- tout dépend du modèle de menace.



Dans tous les cas, s’il s’agit d’une surveillance ciblée, c’est très compliqué.


Je pense que je vais déjà parler un peu pour WhatsApp (ok c’est facebook mais y’a le protocole Signal), pour ensuite aborder le cas signal, mais ouais c’est pas mal.

Par contre, comme l’essentiels de mes contacts utilisent facebook messenger (“c’est simple, rapide, pas besoin de s’embeter”), va falloir arguer :)


Ouvrir mes yeux. Observer autour de moi. Prendre en compte que meme des analyses marketing big data peuvent en révéler beaucoup sur toi. Reflechir, poster sur NXI. Se faire demander des sources, répéter le message.



Ah et de l’expérience / formation en sécurité aussi, ca aide..


ben niveau metadata, savoir que Whatsapp (donc facebook) voit tout passer.

donc préférer Signal, plus robuste de ce côté.

le seul truc ultra horripilant c’est que Signal ne permet pas de partager des documents (style pdf).

je sais pas pourquoi, mais ça a été signalé sur leur github y’a 2 ans, y’a toujours rien de fait, alors qu’il suffit de renommer un pdf en mp4 (par ex) pour pouvoir l’envoyer.

donc c’est vraiment de la putain de mauvaise foi de leur part.


Des droits quelconques ?


à priori non, puisque l’appli demande des droits sur photos/multimédia/fichiers.

c’est juste un choix à 2 balles, puisque ça fonctionne très bien en changeant l’extension de fichier.


Je parlais de droits d’usage pour le transfert de PDF. :-)


?? droits d’usage? je vois pas de quoi tu parles en fait….








hellmut a écrit :



?? droits d’usage? je vois pas de quoi tu parles en fait….





tu peux mettre un genre de drm sur un pdf je crois (qui empêche de le mettre en pièce jointe, le copier sur un support amovible, etc.)

Mais ça n’est à priori pas ton problème, là ^^









WereWindle a écrit :



tu peux mettre un genre de drm sur un pdf je crois (qui empêche de le mettre en pièce jointe, le copier sur un support amovible, etc.)

Mais ça n’est à priori pas ton problème, là ^^





Tu peux limiter la lecture et la modification (ou l’impression) du contenu, mais je ne pense pas qu’il soit possible d’empêcher la copie du fichier en lui même.



Sortir de la sphère Google ?

Facile : utiliser un iPhone…


Déjà qu’il n’existe pas d’alternative à Youtube, ni au calendrier, ni à maps (qui respecte la vie privée comme signal, qwant par ex), si c’est pour tomber de Charybde en Scylla…








GvLustig a écrit :



&nbsp; &nbsp;

Vu le nombre de post sur fb de mes proches et même la réflexion de ma douce quand je lui ai dit que j’avais une nouvelle BAL (proton) : “Nan mais ça sert à rien, tu as rien à cacher, et puis ta vie est déjà connectée blabla”, je pense avoir plus de mal que toi&nbsp;<img data-src=" />. Tu as utilisés quels arguments ? (mes proches sont, pour être gentils, néophytes à la technologie, quand ce n’est pas techno-je-m’en-foutisme)





J’ai carrément abandonné l’idée de convaincre pour beaucoup, mais je reste opiniâtre pour d’autres. C’est un chemin de croix c’est clair !&nbsp;<img data-src=" />



On est d’accord.

Le but n’est pas tant de dégoogliser sa vie.

Mais de maitriser ce que l’on donne en échange de l’usage des services ‘gratuits’.