La messagerie sécurisée Olvid passe en open source
Le 03 janvier 2022 à 09h22
1 min
Société numérique
Société
Cet été, l’application indiquait fièrement être « la première » société à avoir reçu deux visas de sécurité de l’ANSSI. En plus des messages, les « appels sécurisés sont aussi certifiés ». Elle revendique sur son site être « la messagerie instantanée la plus sûre du monde ».
Restait un problème de taille pour certains : elle n’était pas open source. C’est désormais le cas, aussi bien pour les applications Android qu’iOS. C’est évidemment dans GitHub que ça se passe.
Pour rappel, « l’application actuelle est et restera gratuite pour le grand public. Cette version gratuite est financée par les fonctionnalités payantes pour les entreprises », explique Olvid.
Le 03 janvier 2022 à 09h22
Commentaires (67)
Vous devez être abonné pour pouvoir commenter.
Déjà abonné ? Se connecter
Abonnez-vousLe 03/01/2022 à 09h39
Je ne connaissais pas, ça a l’air pas mal du tout, reste toujours le soucis de migrer les gens dessus, surtout quand on vient de les faire migrer sur Signal il y a pas longtemps
Le 03/01/2022 à 12h05
Je pense qu’il ne faut pas non plus vouloir toujours mieux.
J’ai également fait migrer ma famille sur Signal. Je pense que c’est une application avec un niveau de sécurité satisfaisant, ce n’est pas lié à un des GAFAM, mes données sont protégées et ne sont pas exploitées/marchandées et c’est open-source. Perso ça me suffit. Je ne discute pas non plus de secrets d’état avec ma famille.
Le 03/01/2022 à 09h57
Utilisant celle-ci et WhatsApp, il y a parfois des petites habitudes à reprendre et des améliorations à attendre.
Il y a du bon boulot de fait dessus.
Le message “la messagerie instantanée la plus sûre du monde” m’a toujours surpris (la description sur le Play Store laisserait penser à une application plutôt malveillante car trop de superlatif). Mais la certification ANSSI est un gros plus et c’est une application française 🙂.
Le 03/01/2022 à 10h15
Et le tout avec un modèle économique clair : la version gratuite est un produit d’appel pour les entreprises.
Le 03/01/2022 à 10h35
j’utilise avec ma famille, c’est top
gros avantage : pas besoin de l’associer à un numéro de tel
Le 03/01/2022 à 11h09
Je suis plutôt d’être passé à la fibre, car difficile d’envoyer des photos (car non compressé) sur une petite connexion ADSL.
J’ai déjà constaté (1 ou 2 fois) que des messages n’avaient pas été reçus par les destinataires, malgrés le fait qu’ils étaient marqué envoyés de mon côté.
Pas eu le même problème ?
Pour les screenshots de 3km de long, l’aperçu ne fonctionne pas bien. Il faut enregistrer le fichier pour l’ouvrir.
Sinon, pas mal 🙂
Le 04/01/2022 à 08h36
de mon côté jamais eu de souci pour envoyer des images en 4G ou en wifi, mais c’est sûr que c’est moins ergonomique que des concurrents + populaires
Le 04/01/2022 à 11h06
Ok, merci pour ta réponse ;).
Il y a aussi des données partagées entre groupes. Le numéro de téléphone peut devenir un dénominateur commun.
WhatsApp est, semble-t-il, connu pour récupérer les contacts de l’utilisateur. Ce qui permet de justement récupérer le dénominateur commun.
Personnellement, j’ai plus tendance à faire confiance à une autorité comme l’ANSSI que des industriels comme Facebook/Google (et autres) ;). Le code a été audité. Il n’est certainement pas parfait, mais montre qu’il y a un niveau de confiance à avoir, car contrôlé.
Concernant le mot de passe, il n’intervient que pour la sauvegarde sur son téléphone. Oui, si celui-ci est faible, le fichier pourrait certainement être ouvert par n’importe qui.
Le 03/01/2022 à 10h41
Je ne vois pas de client pc sauf erreur?
J’avoue avoir du mal à trouver mon choix dans ses messageries.
J’ai bien essayé de créer une instance matrix mais au final arriver à faire basculer les gens dessus c’est la merde. :/
Je me dis que les faire basculer à signal est plus facile car il y a plus de chance qu’il y ait d’autres personnes.
Je veux bien essayer de les faire passer à olvid mais ça semble trop confidentiel.
L’avantage de signal étant que ça gère les sms et le reste donc ça reste transparent pour l’utilisateur.
Le 03/01/2022 à 10h50
Bien ! Ca va p-e accélérer l’émergence d’un client desktop win/linux/macos.
Jusqu’à présent, l’accès depuis un desktop nécessite un smartphone (idem whatsapp).
Le 03/01/2022 à 11h03
Le client est Libre (AGPL 3.0) mais quid du serveur?? Peut-on installer son propre serveur?
L’application n’est pas encore dans la boutique d’applications Libre F-Droid
Le 03/01/2022 à 11h14
Non, le code du serveur est fermé. Mais la spécification est publique. Avec le code du client ca va faciliter le reverse-eng du serveur :)
De plus, le principe du client Olvid c’est de ne pas faire confiance au serveur. Donc coté sécurité des données, c’est pas bien grave. Par contre, pour la disponibilité, ca serait mieux d’avoir d’autres implémentations du serveur.
Le 03/01/2022 à 12h01
Merci de retour
Le 03/01/2022 à 11h18
On dirait un scam cette app.
Et du coup, ça permet d’utiliser des mdp complètement à chier, et donc ça baisse ta sécurité.
Le 04/01/2022 à 08h44
euh affirmations gratuites là ?
j’ai plusieurs amis qui bossent à l’ANSSI qui m’ont recommandé Olvid, et qui m’ont expliqué que justement le fait de ne pas être associé à ton numéro de téléphone permet davantage de sécurité
Le 03/01/2022 à 12h05
quid des métadonnées ? Ça m’étonnerait fort qu’elle soient aussi sécurisées que sur Signal vu l’architecture de cette messagerie.
Le 03/01/2022 à 12h08
Je préfère Threema, qui est certe payant pour les particuliers (en 1 fois) mais a le mérite d’avoir ses propres serveurs en Suisse quand Olvid passe par AWS.
Aussi Threema existe depuis plus longtemps et étant une entreprise suisse est soumis à une législation + stricte que le droit français
Le 06/01/2022 à 06h04
Effectivement, ça a l’air pas mal aussi niveau secu.
Petite actue : https://www.courrierinternational.com/article/securite-larmee-suisse-bannit-whatsapp-pour-utiliser-threema
Le 03/01/2022 à 12h18
Il faut arrêter avec ce genre d’affirmation. Tout le monde a droit à une vie privée, peut importe de quoi tu parles ou à qui. Et pour les messageries c’est un problème collectif et pas individuel. Évidemment que si Facebook ou le gouvernement avait accès qu’à tes conversations à toi, ça aurait pas grande valeur. En revanche le fait qu’ils aient accès à celles de tout le monde leur donne énormément de pouvoir : manipulation de l’opinion (faire élire qui ils veulent par exemple), prédiction d’une révolution (si la population ne peux plus se révolter, est-on encore libre ?), etc.
Le 03/01/2022 à 12h55
Je n’aurais pas mieux dit.
Le 03/01/2022 à 13h11
Si tu me cites, cite tout le message et pas seulement un bout sorti du contexte ;-) .
J’utilise Signal pour discuter avec ma famille, ma vie privée et celle de ma famille est donc respectée. Et comme je ne discute pas de secret d’état avec ma famille le niveau de sécurité apporté par Signal me convient et ne me pousse pas à chercher des solutions encore plus sécurisées du style de Olvid.
Mais ça ne me pousse pas à utiliser des appli type whatsapp ou messenger.
Le 03/01/2022 à 12h59
Vu que c’est un système client/serveur, le serveur a forcément accès aux métadata pour faire correctement la distribution des messages :)
Le 03/01/2022 à 13h19
J’ai tendance à m’écarter des produits qui s’estampillent ainsi sur leurs page d’accueil (+ la “french tech” qui ne veut rien dire).
Actuellement, je ne vois pas l’intérêt de quitter Signal pour une alternative.
Le 03/01/2022 à 13h52
Je comprends ce que tu veux dire, mais avoir une sécurité maximum par défaut c’est normal (secret d’état ou pas). Pas sur que Olvid soit plus sécurisé que Signal en revanche.
Le 03/01/2022 à 13h52
Ben justement, Signal arrive à les minimiser, ce qui est vraiment cool.
Le 03/01/2022 à 13h59
E. Snowden
Le 03/01/2022 à 14h45
Surtout que le protocole Signal, en plus de minimiser au maximum les métadonnées, est largement éprouvé par la communauté crypto. Un “state of the art” du chiffrement et de l’échange des messages.
Le 03/01/2022 à 14h56
Y a qu’à lire : https://olvid.io/assets/documents/2020-12-15_Olvid-specifications.pdf
Le 03/01/2022 à 15h00
C’est que j’allais poster, ainsi que :
République Française:
https://www.olvid.io/technology/fr/
Le 03/01/2022 à 15h32
Tout est une question de modèle de menace.
Par contre je ne savais pas qu’Olvid utilisait AWS, mais s’ils ont une certification ANSSI c’est sans aucun doute qu’AWS ne voit rien passer qui soit pertinent en terme d’informations.
j’utilise Olvid pour ma part pour des besoins particuliers, et beaucoup plus largement Signal.
et franchement je me vois pas refaire sh!3r tout le monde autour de moi une 2e fois en leur disant “hey les mecs vous allez rire, en fait Signal c’est pourri, faut utiliser Olvid maintenant! haha!”
Le 03/01/2022 à 16h11
Opinion possiblement impopulaire : https://xkcd.com/927/
Le 03/01/2022 à 17h06
Je préfère la messagerie Riot (Ou Element) elle est Open-Source, décentralisée et elle permet les appels audio & vidéos.
Le 03/01/2022 à 17h58
Les appels ne font pas partie de l’offre gratuite.
On se doute bien que ca coute.
Le 03/01/2022 à 17h59
Oui, Matrix, c’est vraiment sympa. Il manque surtout les utilisateurs pour le coup.
Avec la V2 qui arrive (Dendrite: https://github.com/matrix-org/dendrite ), ça va être d’autant plus facile d’héberger son propre serveur.
Le 03/01/2022 à 18h12
Il y a à peu près le même “leak” de metadata dans Olvid et Signal au niveau de l’infrastructure:
Toute la gestion des messages est faite par le client => les autres metadata sont dans le payload du message (donc chiffrées).
En gros, l’infrastructure c’est un gros partage de fichiers où chaque utilisateur à son répertoire perso: le propriétaire peut lister, lire, effacer les fichiers (messages) dans son répertoire perso. Les autres utilisateurs peuvent seulement ajouter un nouveau fichier (poster un message) dans le répertoire du propriétaire.
Le 04/01/2022 à 09h11
En quoi ne pas associer ton numéro améliore ta sécurité ? Et bon les arguments d’autorité tu peux les garder.
Le 04/01/2022 à 10h05
Bonjour, je suis vraiment triste du ton très agressif de tes réponses. Je viens sur NXI pour me détendre pas pour recevoir des commentaires méchants gratuitement comme les tiens. C’est la 2e fois que ça m’arrive et c’est franchement désagréable. Du coup, désolé pour le site, mais tes commentaires me font prendre la décision de supprimer mon compte abonné (jusqu’en 2023), et de limiter mes visites sur le site. Bonne continuation.
Le 04/01/2022 à 10h43
Alors oui je vois bien le principe, mais non :
Ils ont juste à traquer ton ip, et ça revient au même avec les applications etc… Et je pense que de manière détournée ils peuvent aussi traquer ton numéro unique de ton phone.
En revanche, un compte à la Olvid, ça veut dire mot de passe à la main, ça veut dire mot de passe de merde, ça veut dire que tes contacts sont potentiellement déjà piratés et que tes conversations ne sont pas sécurisées…
Tu utilises un argument d’autorité sans arguments réels, ne t’étonne pas que je le souligne. En quoi c’est agressif ? Si tu ne supportes pas le débat, évite de faire des commentaires de ce genre oui.
Le 04/01/2022 à 11h00
En bon lecteur de NXI, il fallait ne pas manquer le dossier sur la gestion des mots de passe : https://www.nextinpact.com/article/46273/passbolt-gestionnaire-mots-passe-pour-ceux-qui-travaillent-en-equipe (dernier article, les autres sont dedans, je n’ai pas trouvé comment avoir un lien vers le dossier complet).
L’inconvénient d’une sécurité par le numéro de téléphone, c’est qu’on ne la maîtrise pas. C’est un identité unique, difficile à révoquer sans tout perdre.
Un compte avec mot de passe, on fait ce qu’on veut. On peut faire de la merde, mais beaucoup de fournisseur demande une certaine qualité de mot de passe (comme une bonne entropie à l’aide d’outil tel que zxcvbn). Et c’est révocable. On peut changer de mot de passe. On peut à la rigueur fermer son compte en ne perdant que sa messagerie, et pas la totalité de ses moyens de communication.
En plus, ne pas pouvoir l’utiliser sur autre chose qu’un smartphone, c’est à l’encontre même du principe d’interopérabilité. Olvid travaille dessus (et donc c’est toujours pas possible sans téléphone), et je sais que Signal aussi, mais pour l’instant, ce sera ni l’un ni l’autre pour moi :)
Le 04/01/2022 à 11h16
L’avantage d’une sécurité minimum par numéro de téléphone, c’est que tu as pas à faire confiance à tes contacts pour utiliser des bons mot de passe + ça facilite l’échange de «comptes» qui ne sont pas vérolés. Et on contrôle quand même un minimum son numéro de téléphone, c’est la sécurité minimum. Après il faut «vérifier» ses contacts physiquement avec l’application, là tu es tranquille.
Signal est plus fiable par design de ce côté là. Et Signal fonctionne sur PC, c’est juste que son design fait qu’il y a une seule application maître, et elle est sur ton (ou un de tes) smartphone. C’est tout.
Un dénominateur commun pour qui ? Signal ne peut pas savoir avec qui tu communiques, même en groupe, parce que c’est bien pensé.
Le code de Signal a été audité également, et plus largement et depuis plus longtemps. Donc à ce niveau là, c’est plus fiable.
J’aimerais + de détails parce que je n’utilise pas Olvid. Comment tu fais pour te connecter à ton compte ? Comment tu fais pour récupérer ton compte et tes contacts ? Il faut forcément un mot de passe, donc c’est à chier.
Le 04/01/2022 à 11h35
Concernant la sécurité par numéro de téléphone n’est pas exempt de problème. Il y a certaines personnes qui changent pas mal de numéro. Qui te dit que le numéro que tu avais à un moment donné pour ton super pote de jeunesse est toujours le même pour cette même personne ? Et il y a des vecteurs d’attaques.
Il y a rarement une bonne solution.
L’ANSSI évoque dans les documents d’audit, les versions concernées. Au-delà, rien ne prouve que le niveau de sécurité est toujours identique à celui audité.
Je n’ai pas eu besoin de le faire pour le moment, je pense que tu restaures ta sauvegarde. L’aide d’Olvid pourra t’éclairer à ce sujet. Sinon, tout dépend qui met le mot de passe, et comme évoqué, il n’y a pas “bonne solution”.
Le 04/01/2022 à 09h57
Bah… on ne peut pas te tracker via des applis/services tiers (qui connaissent ton n° de tel).
Une autorité ne peut pas demander à google/FB/Twitter “Hey, vous n’auriez pas un utilisateur qui utilise ce numéro de tel comme id / 2nd facteur / récupération ?”
Le 04/01/2022 à 11h48
Il y a le NIP activé par défaut depuis un bon moment qui empêche que l’on puisse t’usurper ton numéro. Et de toute façon c’est la sécurité minimum, si tu veux pas de problèmes, il faut vérifier physiquement tes contacts.
Dans le cas présent je trouve que les solutions utilisées par Signal sont bien meilleurs par design.
Qu’est ce qui me garantie que c’est toi derrière ton compte ? Qu’est ce qui me garantie que il n’y a que toi qui lis les messages ? Signal apporte des solutions pour ça. Le mot de passe n’est pas une bonne solution.
Le 04/01/2022 à 12h07
C’est ce que fait Matrix avec les sessions vérifiées. Par défaut, une nouvelle session (donc sur un nouveau périphérique/navigateur) n’est pas vérifiée, et tous tes contacts verront un bouclier rouge. Il est possible de vérifier la nouvelle session à l’aide d’une session précédente ou bien d’une clé de sécurité, qui est différente du mot de passe du compte.
Avec Matrix, j’ai donc la possibilité de :
Signal, c’est très bien fait, d’ailleurs, toutes les messageries chiffrées utilise sa cryptographie, ou faiblement dérivée. Mais je ne peux pas l’utiliser, puisque je souhaite avoir plusieurs identités. Et je n’ai pas de smartphone. Et Signal refuse les clients alternatifs.
Le mot de passe n’est pas “à chier”. Ils ont des inconvénients, mais leurs avantages font qu’ils existeront toujours. Un secret est révocable, partageable et difficile à soutirer sans être vu (contrairement aux empreintes digitales par exemple)
Le 04/01/2022 à 12h33
Matrix répond pas au même besoin. Et c’est plus adapté pour une utilisation à la Slack/Discord en effet. En revanche ça reste beaucoup moins sécurisé et assure moins ta confidentialité que Signal, en particulier pour les méta-données.
Bien sûr que si le mot de passe est à chier par design. Aujourd’hui il n’est pas possible d’avoir des bons mots de passe sans passer par un gestionnaire de mot de passe, donc ça ne fait que déplacer le problème.
Le 04/01/2022 à 11h50
En quoi un numéro de téléphone serait un élément de sécurité ? Je me demande même si il vaut pas mieux un mauvais mot de passe qu’une sécurité basé sur un numéro de téléphone.
Le 04/01/2022 à 12h01
Parce que ça dépend pas du bon vouloir de tes contacts à mettre un bon mot de passe (ce que 99% des gens ne font pas). Alors certes l’opérateur peut se faire pirater, mais uniquement à la création/première connexion à ton compte Signal, après c’est protégé.
Alors pour Olvid je viens de vérifier, ça fonctionne plus ou moins comme Signal sur le principe, et je crois qu’il n’y a pas de mot de passe. Sauf que :
Sinon sur le principe, l’application à l’air de reposer sur des bons principes et de fonctionner de manière similaire à Signal, donc ça parait être plutôt bon. À voir comment ils gèrent les conversations de groupe.
Le 04/01/2022 à 19h04
Je viens de vérifier et, le mot de passe est fixe : 8 groupes de 4 caractères alphanumériques.
Le mot de passe parrait robuste par sa longueur.
Exemple : TZRG KA66 9KD0 UF7K B2J4 Z934 7NLC H0DR
Impossible donc que l’utilisateur en choisisse un mauvais.
Le 04/01/2022 à 12h01
Pour s’ajouter en tant que contact, tu dois échanger des codes. L’audit de l’ANSSI met en avant un risque possible, mais si tu le fais en face de la personne, tu sais que c’est bien elle.
Seul la sauvegarde pourrait être un risque (récupération et ouverture sur un autre téléphone si mot de passe connus). Un mot de passe correct est la sécurité.
Le 04/01/2022 à 12h31
Ben du coup s’ajouter en tant que contact c’est pas terrible, donc Signal est mieux sur ce point.
Le 04/01/2022 à 12h42
Pour s’ajouter les un les autres ;).
Le 04/01/2022 à 13h26
Il n’y a pas de “compte Olvid” au sens d’un “user+password” qui permettrait à n’importe qui de se connecter au service d’accéder aux messages.
La création de compte est en réalité la création d’un point d’accès = un numero random qui sert d’identité. C’est équivalent à créer un thread random sur un forum de discussion public et de dire à tes contacts d’y poster seulement des messages chiffrés avec ta clé publique.
Le 04/01/2022 à 13h28
Oui oui j’ai vue, c’est comme Signal. Sauf que pour partager un compte, on doit passer par un tiers et pas seulement avoir le numéro de téléphone de son contact.
Le 04/01/2022 à 14h14
Il n’y a pas d’annuaire sur Olvid donc tu dois donner ‘manuellement’ ton numéro random à tous tes contacts.
Heureusement le client permet d’envoyer ta liste de contacts par message chiffré. Donc tu as juste a saisir le nom d’un seul contact (le chef de meute) et lui demander de t’envoyer sa liste :)
Le 04/01/2022 à 14h22
Ya pas non plus d’annuaire sur Signal ;) En revanche on peut utiliser son numéro de téléphone, c’est plus pratique. Et pour ceux qui veulent pas partager leurs numéros dans les groupes, ça arrive.
Le 04/01/2022 à 14h40
Moi qui utilise les smartphones sans carte SIM (=en mode mini-tablette wifi), je plébiscite tous les services qui ne nécessitent pas d’avoir un numéro de tel.
Le 04/01/2022 à 14h57
Si tu as pas de téléphone mobile ok. Si tu en as un, tu peux activer ton compte Signal avec un autre téléphone. Je comprends l’idée hein, j’ai un phone complètement sans Google avec un android nu, et seulement des applications opensource provenant de F-droid. Mais bon Signal vraiment aucun risque, ils ne font rien de ton numéro, c’est juste pour lier ton compte.
Le 05/01/2022 à 02h31
Ya pas non plus d’annuaire sur Signal ;) En revanche on peut utiliser son numéro de téléphone, c’est plus pratique.
Y a forcément un annuaire quelque part si on est obligé de communiquer son numéro dès l’installation pour pouvoir commencer à s’en servir. Ce qui n’était pas le cas de son ancêtre TextSecure qui chiffrait les SMS. Donc s’ils ont un annuaire des utilisateurs, ou s’ils le peuvent, alors ils peuvent impersonnifier tout utilisateur et donc tout déchiffrer. CQFD. Et donc c’est pas du tout plus pratique. C’est juste une énorme faille de sécurité possible puisqu’on reste contraints de faire confiance aux opérateurs de ces messageries ou en la sécurité de leurs systèmes. C’est chaud. Je préfère un système qui ne force personne à lui faire confiance et qui déploie des preuves et technologies pour arriver à ce que ça se passe entre nous les utilisateurs et uniquement entre nous et que personne d’autre n’ait quelconque pouvoir de connaitre nos échanges ou pire.
Le 04/01/2022 à 16h28
Elle ne permet pas d’appeler dans sa version gratuite :(
Le 05/01/2022 à 00h38
Exact. Et quelques précisions trouvées dans leur Aide-FAQ https://olvid.io/faq/fr/ qu’il faut lire. Mais c’est fourni. Donc…
Il n’y a pas de compte sur Olvid.
Source : https://olvid.io/faq/creez-votre-identite-Olvid/#il-nexiste-pas-de-compte-olvid
Ce n’est pas un mot de passe de compte mais une clé de chiffrement générée sur demande de l’utilisateur et dans l’app uniquement, pour la sauvegarde de son “identité Olvid et de ses contacts, groupes, paramètres et licence” en vue de les transférer sur un nouvel appareil. Les messages eux ne sont pas sauvegardés. Et cette sauvegarde est à activer par chaque utilisateur (opt-in) et il la stocke où il veut. Et Olvid ne connait pas cette clé puisqu’elle ne reste affichable qu’à l’utilisateur.
Source : https://olvid.io/faq/a-propos-de-la-sauvegarde/
L’entropie de cette clé est de 160 bits.
Source : https://olvid.io/faq/a-propos-de-la-sauvegarde/#la-sauvegarde-est-elle-s%C3%A9curis%C3%A9e. Mais un simple calcul le démontre.
En d’autres termes, sa robustesse ne serait brisé de façon certaine qu’après 2 puissance 160 tentatives lors d’une attaque par force brute. Je vous laisse calculer combien ça fait. Puisque “l’ajout d’un bit d’entropie à un mot de passe double le nombre de tentatives requises, ce qui rend la tâche de l’attaquant deux fois plus difficile.” Selon wikipedia : Wikipedia
Avec cette app, on est très très loin d’une sécurité par mot de passe ou par détention d’un numéro de téléphone qui est toujours connu de l’opérateur mobile déjà, des annuaires et de tous ceux qui l’ont aussi dans leur carnet d’adresse et le divulguent allègrement en y donnant accès à des apps. Et donc aussi connu des opérateurs de ces apps, et donc aussi dépendant de la vulnérabilité de leurs serveurs par des attaquants. Sans parler des possibilités d’usurper un numéro mobile mais c’est une autre histoire, ou pire, de simplement connaitre son existence et pire encore, son détenteur. Voir Pegasus. Et d’ailleurs ils en parlent aussi : https://olvid.io/news/fr/pegasus.html
Le 05/01/2022 à 02h10
J’ai vérifié. L’utilisateur ne choisit pas du tout, jamais, un mot de passe, ni même sa clé de sauvegarde. Elle est générée aléatoirement par l’app sur son appareil et uniquement là. Et l’app l’affiche une fois et une seule fois et il doit la noter. Sinon il devra en générer une autre pour les prochaines sauvegardes et pour pouvoir restaurer la plus récente. Il n’y a donc aucune erreur possible de la part de l’utilisateur. Sauf d’ensuite copier cette clé sur un support numérique connecté ou subtilisable, ou pire dans le cloud. Ce serait sa seule “erreur”. Mais c’est indépendant de l’app. qui en prévient et n’y peut rien. On fait tellement pire ailleurs. Et le mieux est donc de la noter sur un papier une fois pour toute. D’autant que cette clé est valable aussi longtemps qu’on ne la change pas. A travers les restaurations de ces sauvegardes chiffrées qui ne seront déchiffrables qu’avec cette clé.
Ils semblent donc avoir fait très fort et très propre sur ce point aussi.
Après, on peut toujours aller discuter des courbes elliptiques choisies pour ces tirages aléatoires dans la génération de cette clé par l’app. Mais ça tombe bien encore car c’est super documenté dans leurs specs techniques publiées dans leur page sur leur techno et ça semble aussi avoir été revu et validé pas un ponte reconnu de l’association internationale de la recherche en cryptographie. Reste à lire tout ça…
Le 05/01/2022 à 09h02
yes comme Signal, sauf que du coup c’est moins fiable d’échanger un identifiant via une messagerie tierce (l’utilisateur ne verra pas forcément un man in the middle avec un identifiant qu’il n’est pas habitué à reconnaitre comme un numéro de téléphone)
Signal ne stock ni ne scan ton annuaire. Et le fait d’avoir les contacts d’un utilisateur ne permet pas de déchiffrer ses messages, ça n’a aucun rapport. Nous ne sommes pas contraint de faire confiance aux opérateurs, comme pour Olvid, les utilisateurs doivent vérifier leurs numéros/certificat, manuellement, et physiquement de préférence.
Le 05/01/2022 à 12h21
Si l’ajout de contact se fait en physique, pas d’attaque Mitm.
Rien n’empêche de transmettre l’URL dans un fichier texte, de le chiffrer, le transmetre. Appeler la personne et lui donner le code.
Wait, qu’est ce qui prouve que c’est la bonne personne ?
Le 05/01/2022 à 12h30
Ce que personne ne fera parce que c’est chiant et pas user friendly, d’où l’intérêt de Signal
Le 05/01/2022 à 12h32
Pour transmettre le code d’Olvid ?
C’était tellement tentant ! 😁
Le 05/01/2022 à 12h45
pas bête ! Après les deux applications ont l’air kiff kiff sur la sécurité, mais Signal est 100% gratuit
Le 05/01/2022 à 13h02
Oui, je pense aussi niveau secu.
C’est normal qu’il y ait du financement, car cela reste une entreprise avec des charges.
Le modèle est clairement annoncé. Nous ne sommes pas obligé de payer en tant que simple utilisateur. Sauf si besoin de fonctionnalités supplémentaires (les appels par exemple).