Connexion
Abonnez-vous

Signal rappelle à la Justice qu’elle ne sait toujours rien de ses utilisateurs

Signal rappelle à la Justice qu'elle ne sait toujours rien de ses utilisateurs

Le 02 novembre 2021 à 09h15

Signal vient de rendre publics les échanges qu'elle a eu avec la Justice américaine au sujet de deux des utilisateurs de sa messagerie chiffrée de bout en bout. Ils confirment qu'elle n'a pu leur transmettre que les seuls horodatages de création du compte, et de dernière connexion.

« Comme d'habitude, nous n'avons rien pu fournir. Il est impossible de remettre des données auxquelles nous n'avons jamais eu accès en premier lieu. Signal n'a pas accès à vos messages ; votre liste de discussion ; vos groupes ; vos contacts; vos autocollants ; votre nom de profil ou avatar ; ou même les GIF que vous recherchez », explique la messagerie.

Si l'une des requêtes date de début octobre, la seconde remonte à août 2020, mais n'avait pu être rendue publique plus tôt, une ordonnance de non-divulgation ayant été prolongée quatre fois depuis lors.

Depuis 2016, c'est la quatrième demande de divulgation gouvernementale qu'elle révèle de la sorte, mais également la troisième en 2021.

Le 02 novembre 2021 à 09h15

Commentaires (39)

Vous devez être abonné pour pouvoir commenter.

Abonnez-vous
votre avatar

:yes:
Si seulement plus de gens étaient sur Signal au lieu d’être sur la version spyware…

votre avatar

Tu parles de WhatsApp ou de Telegram ?

votre avatar

(reply:1910927:Thorgalix_21) J’avais Whatsapp en tête mais… Ouais Telegram n’est pas hyper clair non plus. En tous cas dans mes cercles, tout le monde est sur Whatsapp, très peu sur Signal et/ou Telegram.


votre avatar

J’ai commencé sur WhatsApp en 2012. Je suis passé sur Signal et sur Telegram en 2020 au moment du premier confinement. Mais j’ai encore quelques contacts sur WhatsApp que je n’arrive pas à faire migrer, notamment parce qu’eux aussi ont des groupes sur WhatsApp :fou:

votre avatar

Pour pallier ce problème j’ai monté une instance Matrix-synapse sur mon serveur, avec des bridges vers Messenger & Signal. Comme ca je peux continuer a discuter avec les gens qui n’ont pas quitté Facebook, sans avoir l’intrusion de FB.

votre avatar

J’imagine que ça nécessite tout de même d’avoir un compte whatsapp ?

votre avatar

Pour bridge WhatsApp c’est un peu plus compliqué (en attendant un WhatsApp web standalone qui est dans les tuyaux depuis 3ans) il faut une machine virtuelle qui fait tourner une instance de WhatsApp

votre avatar

Bon sang, ça me fait plaisir de voir Matrix mentionné dans une discussion sur ce sujet ! :-D
Sécurisé, open source, décentralisé … techniquement, ce protocol a tout pour lui. Il lui manque juste de la simplicité (UI / UX, simplicité d’hebergement, …), et une visibilité du même ordre que ses concurrents. A cause de ça, il reste très confidentiel :-(.

votre avatar

non c’est de la merde pour les métadonnées et donc la confidentialité. Le modèle décentralisé est le pire.

votre avatar

j’avais compris que si tu hébergeais ton propre serveur, un peu comme




(reply:1911011:Guillaume__)
(contrairement à si tu étais sur un serveur public ou le serveur par défaut de Matrix), alors personne d’autre que tes contacts (leur serveur respectifs) n’avaient accès à tes métadonnées ?
A moins que je n’ai pas bien compris car je ne l’utilise pas.


votre avatar

Je ne maitrise pas assez le sujet pour dire si tu a tords ou raison, mais dans l’utilisation que j’en fait, uniquement en tant que bridge Messenger signal, et auto hébergé, je dirais que ca n’est pas un problème pour ma part.

votre avatar

Évidemment que j’ai raison… La décentralisation c’est étaler des métadonnées partout, c’est bien pour ça que Signal a choisi une architecture centralisée, pour qu’il n’y ai qu’un acteur ayant accès aux métadonnées, et ça leur permet de les minimiser.



Lire ceci:
https://signal.org/blog/the-ecosystem-is-moving/




(reply:1911077:prog-amateur)


Euh si tu héberges ton serveur, comment tu contactes les autres sur un différent serveur ? En donnant les métadonnées à un tiers qui n’est pas toi, donc tu n’es pas protégé.

votre avatar

Merci pour l’astuce.
Il faut vraiment que je me le monte ce serveur avec proxmox et tout plein de VM (reverse proxy, Nextcloud, Matrix …)

votre avatar

Neo1322 a dit:


:yes: Si seulement plus de gens étaient sur Signal au lieu d’être sur la version spyware…


Patience, les criminels vont finir pas comprendre qu’il faut utiliser Signal.
Le monde sera alors beaucoup plus sûr.



enfin… heu…

votre avatar

(quote:1910945:127.0.0.1)
Patience, les criminels vont finir pas comprendre qu’il faut utiliser Signal. Le monde sera alors beaucoup plus sûr.



enfin… heu…


Ils l’ont déjà compris, Clinton, Trump, Macron & cie l’utilisent.

votre avatar

Oui franchement les gens ne comprennent pas l’intérêt de passer sur Signal, c’est pareil, j’ai rien à cacher bla bla ….

votre avatar

Ca m’étonne que vous n’ayez pas relayé le troll de compèt’ qu’a fait Signal au FBI… Parce qu’en fait, ils savent deux choses sur chaque utilisateur: la date et l’heure à laquelle il a créé son compte, et la date et l’heure de sa dernière connexion. Et quand le FBI a demandé tout ce qu’ils savaient d’un utilisateur en particulier, ils leur ont transmis ces deux dates… en format Unix, c’est à dire en nombre de secondes écoulées depuis le 1er janvier 1970 à minuit. :mdr2:
L’histoire ne dit pas si le gars du FBI a apprécié la blague. :troll:

votre avatar

En quoi est-ce un troll ? C’est un format de date comme un autre.

votre avatar

Hello, d’un côté, je suis d’accord (lorsque tu converses avec un serveur public ou que tu fédères ton serveur par exemple), et de l’autre non : lorsque tu héberges un serveur tu peux également parler à quelqu’un qui héberge aussi son propre serveur pour lui ou un groupe en qui tu as confiance (amis, famille, etc.).



Ensuite, avec un bridge Whatsapp par exemple comme l’a dit Guillaume_, tu minimises les données envoyées à Facebook parce l’application Whatsapp n’est pas installée sur ton smartphone donc l’entreprise n’a ni accès à ta localisation, ni accès à ton répertoire, ni accès à ton agenda, ni accès à ton surf web, etc.



Alors, oui, elle a accès à qui tu parles, à quel heure tu lui parles, à quelle fréquence tu lui parles, etc. mais cela, presque toutes les applis de messagerie ont ces infos. C’est en ce sens que je trouve l’idée du bridge utile, c’est un équilibre entre je donne quelques données, mais pas toutes et je peux parler à plusieurs plate-formes sans les avoir installées sur mon smartphone.



Corrige(z)-moi si je me trompe.

votre avatar

(quote:1911147:prog-amateur)
Hello, d’un côté, je suis d’accord (lorsque tu converses avec un serveur public ou que tu fédères ton serveur par exemple), et de l’autre non : lorsque tu héberges un serveur tu peux également parler à quelqu’un qui héberge aussi son propre serveur pour lui ou un groupe en qui tu as confiance (amis, famille, etc.).


Si chacun a son serveur personnel fédéré, c’est les FAI qui ont donc accès à TOUTES les métadonnées…




Ensuite, avec un bridge Whatsapp par exemple comme l’a dit Guillaume_, tu minimises les données envoyées à Facebook parce l’application Whatsapp n’est pas installée sur ton smartphone donc l’entreprise n’a ni accès à ta localisation, ni accès à ton répertoire, ni accès à ton agenda, ni accès à ton surf web, etc.


Ok sur ce point, mais Facebook a quand même accès à toutes les métadonnées de tes messages.




Alors, oui, elle a accès à qui tu parles, à quel heure tu lui parles, à quelle fréquence tu lui parles, etc. mais cela, presque toutes les applis de messagerie ont ces infos. C’est en ce sens que je trouve l’idée du bridge utile, c’est un équilibre entre je donne quelques données, mais pas toutes et je peux parler à plusieurs plate-formes sans les avoir installées sur mon smartphone.


Euh non dans le cas présent, si tu utilises facebook (whatsapp) via un bridge facebook a accès à toutes tes métadonnées de messages (quand, qui…).

votre avatar

marba a dit:



Euh non dans le cas présent, si tu utilises facebook (whatsapp) via un bridge facebook a accès à toutes tes métadonnées de messages (quand, qui…).


Oui c’est bien ce que je te dis, on est d’accord. Les métadonnées sont liées aux messages (date, heure, IP, etc.), mais pas liée aux autres métadonnées type localisation (ou alors ça reste celle du serveur), répertoire entier du téléphone (hors contacts Whatsapp), etc.



C’est en ce sens que je parle d’équilibre.



Signal est une appli tip-top, mais sans accuser quoi que ce soit, il y a des choses qui me poussent à me poser des questions sur l’application. Session me parait plus fiable dans son fonctionnement chiffré en mode “presque peer-to-peer” : si j’ai bien compris l’avantage du peer-to-peer (on envoie le message à très peu de personnes), tout en ayant résolu l’inconvénient du peer-to-peer lorsque tu es hors ligne (les “très peu de personnes” conservent ton message chiffré le temps que tu te reconnectes).

votre avatar

(reply:1911181:prog-amateur)


La localisation n’est pas une métadonnée plus «critique» que les métadonnées de tes messages. Et la plupart du temps, on peut déterminer ta localisation avec ton IP. Personnellement je ne trouve pas que ça soit «mieux» pour tes métadonnées, c’est mieux de ne pas avoir une application spyware sur son téléphone, mais tu n’es pas spécialement mieux protégé.



Le mieux c’est de ne pas utiliser facebook.

votre avatar

Tu fais depuis le début un sophisme de la solution (im)parfaite.
Il est incontestable que la solution de prog-amateur limite déjà 10 fois plus le partage et la propagation de données persos aux services concernés. Et ce rien que par le fait de ne pas de posséder de comptes sur les-dites plateformes (ça doit bien dégager 90+% des données qu’ils soulèvent). D’autant plus quand on regarde les synergies qui permettent à des acteurs comme facebook de faire du recoupement de données, qui est là l’essentiel de ce qu’ils récupèrent Typiquement avec arbre des contacts d’un utilisateur donné recoupé entre ses comptes whatsapp, instagram, facebook, messenger + tout autre service connecté via facebook (disqus…).



Donc franchement, dans le cas -hautement probable et compréhensible- d’incapacité à quitter totalement ces plateformes parce qu’il y a un truc qui s’appelle des “proches” qui eux ne le veulent pas et restent à communiquer dessus, et bien la solution de prog-amateur est totalement recevable et sans aucun doute une des plus intéressantes dans le genre.



D’ailleurs je suis sûr qu’on peut gouaquer une partie des métadatas, typiquement sur l’IP qu’on donne (donc adios la localisation, qui est une des données les plus importantes encore une fois pour leurs croisements de données).

votre avatar

Tu es en train de comparer une bombe H de 100Mt à une bombe H de 99Mt, et tu me dis que l’une est moins dangereuse que l’autre pour nous, c’est ce niveau de comparaison…



Comme tu le dis le recoupement, quand bien même tu te protèges, tes contacts remontes des données, c’est toute la chaine qui est à jeter. Et non partager ses métadonnées de conversation à une boite privée ça n’est pas acceptable du tout, et ça n’est pas «mieux» de pas donner sa localisation, ça n’a pas de sens.

votre avatar

Euh… bon je pense que la discussion peut s’arrêter là si on est pas d’accord sur les proportions de données que tu “fuites” dans un cas par rapport à l’autre.
Si on les liste je suis prêt à parier qu’on se retrouve avec une liste interminable d’une part vs 4-5 lignes de l’autre.




Comme tu le dis le recoupement, quand bien même tu te protèges, tes contacts remontes des données, c’est toute la chaine qui est à jeter.


Le fait d’avoir un bridge avec les services en question fait que les services en questions ne peuvent plus faire de recoupement entre les différents services (Meta ne peut pas faire le lien entre la conversation d’un “Pierre” sur messenger publié via un bridge matrix vs un “P.” sur une autre discussion Instagram) : ça devient nécessairement 2 personnes distinctes.




Et non partager ses métadonnées de conversation à une boite privée ça n’est pas acceptable du tout, et ça n’est pas «mieux» de pas donner sa localisation, ça n’a pas de sens.


Homme de paille, je n’ai jamais dit que c’était “acceptable”. C’est juste que la vie privée -comme tout- est histoire de compromis. Oui c’est pas acceptable. Non certains ne peuvent pas se permettre de l’éviter pour communiquer avec leurs proches.
Même avec toute la mauvaise foi du monde, on ne peux pas dire que partager 3 types de données c’est tout pareil que d’en partager 50 différentes. Mais bon c’est là où je dis qu’on pourra pas se mettre d’accord si toi tu décides de considérer que c’est du “49 types de données” vs “50 types de données” là où mon diagnostic est qu’on passe plutôt vers 5 types de données en moins (genre -90% à la louche quoi).

votre avatar

Nan mais sur le principe ok, c’est moins de données, mais ça reste inutile pour moi. Ils ont déjà tellement de données sur toi avec tes contacts et ta messagerie + les recoupements avec tes contacts qui se protègent pas, etc. C’est peanuts comme protection. Savoir avec qui tu échanges et quand étant probablement les informations les plus privées (en dehors du contenu des échanges, auquel ils accèdent aussi vu que c’est pas chiffré…). Bref pour moi c’est parfaitement inutile.

votre avatar

Je pense que ça résume bien notre désaccord sur les données que ça représente. Et les considérations sur “ce qu’ils possèdent déjà” (qui peut-être hyper variable d’une personne à l’autre… j’ose espérer).



Probablement un côté optimiste de ma part, et éventuellement un côté trop pessimiste/fataliste de la tienne (je coupe la poire en deux j’espère que ça te va ahah).



Merci de l’échange, libre aux autres de s’en faire une opinion. :)

votre avatar

Les données qu’a facebook sur ses utilisateurs sont beaucoup beaucoup plus importantes (dans les deux sens : en quantité et en intrusion dans la vie privée) que seulement avec qui et quand ils communiquent…

votre avatar

Je dis pas le contraire, je dis juste que avoir tes métadonnées et contenu de toute ta messagerie, c’est déjà énorme et assez inquiétant. Et même juste en utilisant la messagerie avec un bridge, on peut avoir :




  • heures d’activité

  • carnet d’adresse

  • pondération de ton cercle d’amis

  • contenu de tes messages

  • localisation (si pas de bridge)



Bref, tout ce qui est nécessaire pour assoir un parfait petit État autoritaire. Avec ceci tu peux contrôler toute une population.

votre avatar

Merci, c’est ça que je voulais dire

votre avatar

Moi ça fait des années que j’utilise Matrix / Element (qui s’appelait Vector puis Riot) auto hébergé sur un RPi 2 puis un RPi3 avec Web UI et serveur sur la même machine et ça marche super bien. Ça faisait des années auparavant que je cherchais une solution de chat perso auto hébergé sympa avec une persistance des données correctes et une appli mobile fonctionnelle.



Maintenant le produit a bien évolué. Il reste encore des choses à faire pour arriver au niveau de certains des concurrents. J’utilise pas mal les bridges faits par Mautrix (https://github.com/mautrix et doc dispo ici : https://docs.mau.fi/bridges) WA/Signal et go-neb en combinaison avec RSS-Bridge (https://github.com/RSS-Bridge/rss-bridge) pour poster dans des rooms dédiées des infos provenant de flux RSS



J’essaie de faire migrer tout le monde sur Signal mais c’est pas évident car WA est encore trop bien implanté dans la tête des gens. WA jouit de sa présence sur le marché depuis le début et les gens par soucis de facilité et de non prise de tête restent sur WA….



Des mentalités à faire évoluer.

votre avatar

Oui c’est compliqué les habitudes… Pourtant Signal est quasiment identique, c’est vraiment juste la résistance au changement. Et on passe pour le relou de service en insistant.

votre avatar

Juste pour cloturer le débat que j’ai ouvert par inadvertance, je ne dit pas que c’est la solution idéal loin de la. Et c’est evident que la seul solution est de bannir Facebook & co. J’ai reussi a faire migrer ma famille proche sur signal, mais il reste des personnes notamment famille eloigné qui ne sont contactable que par messenger.
D’ou l’idée de passer par un matrix(element) auto herbergé, qui me permet de bouter facebook hors de mon téléphone, maintenant je ne lui transmet que ce que je veux lui transmettre (message, ip du serveur, photos que j’envoi) et ca n’est plus facebook qui aspire contact, photos, localisation etc.
Voila, bisous

votre avatar

Tu fait du Whatsapp vers element vers signal ? ou Whatsapp et signal vers element ?

votre avatar

Ca fait un moment que je me pose la question concernant ces ponts matrix -> WA/Signal/Telegram. Dans le cas d’un matrix auto hébergé, le pont est lui aussi auto hébergé ou c’est un service externe (et donc les messages transitent par ce service) ?

votre avatar

Le pont est sur la meme machine que le matrix, aucun service externe

votre avatar

Merci pour l’info ;-)

votre avatar

Guillaume__ a dit:


Tu fait du Whatsapp vers element vers signal ? ou Whatsapp et signal vers element ?


Je fais du Whatsapp vers Element et vice versa. Idem pour signal, je fais vers Element et vice versa.



Par contre, je n’ai pas encore testé Whatsapp vers element vers signal :fou:.



Il faudrait que je teste un jour !

votre avatar

marba a dit:


Oui c’est compliqué les habitudes… Pourtant Signal est quasiment identique, c’est vraiment juste la résistance au changement. Et on passe pour le relou de service en insistant.


Clairement !

Signal rappelle à la Justice qu’elle ne sait toujours rien de ses utilisateurs

Fermer