L’annonce a été faite dans les forums de Brave, et l’éditeur indique la couleur dès le début : « nous exploitons la technologie open source Jitsi ».
En cette période de télétravail et de continuité pédagogique, ce service a le vent en poupe et des instances sont proposées par Scaleway et bien d’autres (certaines référencées par le collectif CHATONS).
Pour en profiter, il faut disposer d’une des dernières « nightly » du navigateur, des versions de développement à utiliser en connaissance de cause.
Brave ajoute que cette solution est « entièrement chiffrée et 100 % open source » et que « vous pouvez l’utiliser toute la journée, tous les jours, gratuitement, aucun compte n’est requis ». C’est également le cas d’autres instances Jitsi.
Pour profiter de Brave Together, c’est par ici que ça se passe. Pour récupérer la version nightly du navigateur, c’est par là.
Commentaires (5)
#1
C’est un peu triste de voir que, comme Zoom, ils sont pour le moins ambiguës avec leur “entièrement chiffré”, puisque beaucoup pourraient penser qu’il s’agit d’un chiffrement de bout en bout (end-to-end). Or, je ne crois pas que JitsiMeet soit déjà en mesure de faire du chiffrement de bout en bout seulement 15 jours après avoir annoncé y travailler :https://www.nextinpact.com/brief/jitsee-prepare-son-chiffrement-de-bout-en-bout-…
Déclaration ambiguë qui, comme avec Zoom, fonctionne malheureusement très bien puisque je lisais plus tôt aujourd’hui :
“Brave, the privacy-centric cryptocurrency-powered web browser has launched in-browser video calls featuring end-to-end encryption.”
Source :https://cointelegraph.com/news/brave-browser-launches-encrypted-video-calls-befo…
Il s’agit donc vraisemblablement plutôt d’un classique chiffrement TLS entre le navigateur et le serveur, ce qui est juste la norme et le minimum sur le Web aujourd’hui. On remarquera d’ailleurs que le serveur ne supporte pas TLS 1.3, seulement la 1.2, obtenant un très moyen B sur SSLLabs (même NextInpact obtient un beau A), un comble pour un service proposé par un navigateur Web. Ce n’est pas nécessairement très grave, mais ça démontre clairement que la sécurité n’est pas la priorité du service comme peut encore une fois le laisser entendre le “entièrement chiffrée”.
Enfin, on peut ajouter que les instances JitsiMeet de Bravehttps://together.brave.com sont hébergées par AWS (Amazon). Encore une fois, rien d’étonnant, mais certainement pas un gage de confidentialité et donc de sécurité.
#2
merci pour l’analyse
#3
Quitte à insérer des liens externes, autant commencer par celui du site officiel à ce sujet : https://jitsi.org/security/
Il y a un paragraphe dédié à ce sujet qui explique que c’est chiffré de bout en bout pour les appels en 1vs1
Pour les communications de groupe, le chiffrement s’arrêtent à une passerelle (Jitsi VideoBridge) qui se charge de déchiffrer le signal et le redistribuer aux autres participants.
D’après cette page, l’utilisation de ce type de passerelle est obligatoire du fait de l’utilisation de WebRTC.
Puisque tu cites l’article de Nextinpact à ce sujet, allons plus loin en citant le communiqué de Jitsi qui sert de source à cet article :https://jitsi.org/blog/e2ee/
L’article donne un cas d’expérimentation de chiffrement de bout en bout pour une conversation de groupe.
J’en déduis donc personnellement que le travail qui est entamé actuellement est de rendre possible l’utilisation du chiffrement pour les appels de groupe sans utiliser de passerelle intermédiaire.
Après je te rejoins sur l’ambiguïté autour de ce sujet même concernant Jitsi, il faut entrer dans les détails pour se rendre compte de ce qu’il en est vraiment.
On fait le même constat avec les messageries instantannées comme Telegram, dans le détail on se rend compte que les conversations de groupe ne sont pas chiffrées de bout en bout pas plus que les conversations via la client Desktop.
#4
Je viens d’installer Brave, j’en avais entendu parler, qu’il était bien, mais sans franchir le pas.
J’ai été surpris que dès la “visite guidée”, quand je clique sur un lien (celui du P3A, mais qu’importe), Brave me propose d’installer l’extension Google Traduction pour traduire le contenu (en->fr).
Je vais ensuite dans les paramètres, et là, je vois que je peux activer les push notifications Google, ce que je ne fais pas, mais aussi que Hangouts est utilisé pour le partage d’écran (ce que j’ai du coup désactivé).
Je comprends le choix d’utiliser les services Google dans un navigateur, ça ajoute des fonctionnalités basées sur une infra qui tourne, mais je ne comprends pas du coup que Brave s’affiche comme un navigateur porté sur la vie privée :-/ .
Ou alors, c’est moi qui ai fait un raccourci de compréhension :-) ?
#5
Oui c’est vrai, certains détails m’avaient en effet échappés. Merci. Mais en tous cas on est bien d’accord sur le fait que la sécurité et le “chiffrement” est devenue une carte Joker qui ne veut en elle-même rien dire. Il faut regarder dans le détails, ce qui n’est pas toujours si facile.