Signal lance un appel à soutiens et rappelle ses bonnes pratiques en matière d’abonnement
Le 02 décembre 2021 à 09h50
2 min
Société numérique
Société
Dans un billet de blog, la messagerie sécurisée explique qu’elle « n’a pas de données à vendre, pas d’annonceurs à qui les vendre, et pas d’actionnaires qui bénéficieraient d’une telle vente ». Dit autrement, « en tant que seuls bénéficiaires de Signal, c’est aux personnes qui utilisent Signal de la soutenir ».
Un rappel qui s’adresse donc à ceux qui utilisent l’application, qui propose des « récompenses ». Il y a par exemple trois niveaux de badge (suivant le montant de vos dons mensuels). Soucieux du respect de la vie privée de ses utilisateurs, Signal affirme avoir « conçu ce processus pour préserver la confidentialité, en veillant à ce que vos informations de paiement ne soient pas associées à votre compte Signal ».
Une autre pratique appréciable est mise en avant : « Les abonnements ne se renouvellent que si vous utilisez Signal au cours du mois. Si vous arrêtez d’utiliser l’application ou si vous la désinstallez, ils seront automatiquement annulés ».
Le 02 décembre 2021 à 09h50
Commentaires (74)
Vous devez être abonné pour pouvoir commenter.
Déjà abonné ? Se connecter
Abonnez-vousLe 02/12/2021 à 10h08
J’ai un peu de mal à comprendre comment on peut avoir les informations de paiement qui ne soient pas lié au compte signal et en même temps faire le lien entre le fait de ne pas utiliser signal pour ne pas déclencher le paiement sur la CB en question.
Le 02/12/2021 à 10h14
C’est ce que j’allais dire.
Le 02/12/2021 à 10h15
As tu lu leur whitepaper sur le modèle d’anonymat utilisé dans ce contexte ? C’est presque trop détaillé.
https://eprint.iacr.org/2019/1416.pdf
Le 02/12/2021 à 15h43
Quand tu paies par CB, c’est un numéro de transaction qui est récupéré par le destinataire, qui ne permet pas de t’identifier.
Le 02/12/2021 à 10h13
C’est gêré directement par la partie client je pense :
-> Dans les options tu actives un “don” chaque mois si tu l’as utilisé, un peu comme pour les badge télépéage.
Mais dans le paiement il n’y a pas de compte ou de lien direct entre ton RIB/Paypal qui a servi à envoyer l’argent et le compte que tu utilises, Signal n’a donc pas moyen de savoir quel compte à envoyer quoi.
Le 02/12/2021 à 10h15
Ah bah j’ai la réponse direct, merci.
D’ailleurs, quelqu’un sait pourquoi Jérémie Zimmermann ne peut pas blairer Signal ?
Le 02/12/2021 à 10h22
https://www.april.org/jeremie-zimmermann-1984-un-manuel-d-instructions
Le 02/12/2021 à 10h24
Ah oui, donc c’est parce que le dev est borderline, merci. ;)
Après pour le financement US, je me dis que Snowden l’utilise et qu’il recommande Signal, je pense qu’à ce niveau, c’est assez safe.
Le 02/12/2021 à 10h28
Effectivement Signal n’est pas proposé sur F-droid.
Par contre Silence y est (développé par Bastien Le Querrec, un membre actif de la QdN). Mais l’application n’a pas reçu de mise à jour depuis plus de deux ans, la dernière version diffusée étant une “unstable”.
Le 02/12/2021 à 11h25
Il y a langis sur f-droid. Compilé sans les dépendances à Google.
Le 02/12/2021 à 11h34
https://search.f-droid.org/?q=langis&lang=fr ?
Le 02/12/2021 à 13h28
En effet, c’est dans un dépôt tiers. J’ai parlé trop vite
Le 02/12/2021 à 10h34
On peut aussi récupérer l’apk directement sur le site de Signal ;)
Le 02/12/2021 à 10h36
Les binaires de Signal ne sont distribués que par la Signal (l’entreprise). Toute tentative de build sur une autre plateforme que la leur a échoué (chercher “signal” dans le forum F-Droid pour s’en convaincre.
Le processus de build n’est donc pas transparent, c’est du logiciel libre dévoyé. (Cela revient à se proclamer bio, tout en refusant qu’un auditeur “AB” le vérifie.)
Sinon Element.io est transparent, gouverné par une fondation, et fonctionne bien :)
Le 02/12/2021 à 10h58
Si je comprends bien, les sources de signal sont libres mais celle du compilateur ne le sont pas ?
Le 06/12/2021 à 11h32
C’est le processus de compilation qui n’est pas publié. Donc l’entreprise Signal peut afficher un code source d’un côté et distribuer un binaire qui correspond (ou pas) au code source de l’autre. C’est le “ou pas” qui est gênant :)
Le 02/12/2021 à 11h06
Ca reste ce qu’il se fait de “moins pire”.
Le principe de ce genre d’app, c’est quand même de pouvoir communiquer avec un max de monde. Déjà pour faire passer se contact de WhatApps à Signal, c’est compliqué en sachant qu’ils ont déjà entendu parlé de signal. J’ai toujours pas réussi à convaincre tout le monde en tous cas ! Donc j’imagine même pas si je devais les faire migrer sur un truc inconnu.
Sinon, pour en revenir à la News, on peut voir ca comme un bon signe… L’infrastructure doit quand même couter cher à maintenir.
Le 03/12/2021 à 08h46
Je ne comprends pas bien ce que tout le monde a avec element / matrix. En quoi c’est si sécurisé que ça ? Je n’y vois qu’une plateforme où les données ne sont pas chiffrées par défaut et hébergées par des “volontaires” (hum).
Le code est si bien fichu que ça pour protéger les métadonnées même sur un serveur potentiellement hébergé par quelqu’un de mal intentionné ou une orga étatique ?
Le 03/12/2021 à 15h40
Tu peux chiffrer de bout en bout, et tu peux te faire ton propre serveur matrix, tout en rejoignant les autres fédérations si besoin.
Le 03/12/2021 à 15h45
à part pour faire une messagerie d’entreprise, associative, je vois pas l’intérêt de matrix pour la messagerie perso.
Le 03/12/2021 à 15h51
Pour gérer ça entre potes/famille etc.
Perso c’est mon usage.
Mais oui ça reste trop confidentiel.
Après il y a des bridges vers les autres plateformes (telegram etc) mais c’est vraiment galère à mettre en place.
Le 03/12/2021 à 16h05
Oui donc tu as accès à toutes les méta-données de tes potes/famille. C’est pas très safe pour eux, sans te prêter de mauvaises intentions.
Le 03/12/2021 à 16h18
Oui, mais ce n’est pas un tiers qui a ces données.
Si tu vas par là, toute personne qui dialogue avec moi a le contenu de la conversation hein. :o
Et niveau méta donnée, je vais te donner un scoop, j’ai même leur numéro de téléphone portable et leur adresse !!! Alors qu’il n’est pas dans matrix. xD
Le 03/12/2021 à 16h20
Ben pour eux si, c’est un tiers. Peut être qu’ils te font + confiance qu’à facebook, reste que tu peux savoir qui communique avec qui et quand. C’est très intrusif. Les gens ne sont pas sur ton réseau juste pour te parler à toi j’imagine.
Le 06/12/2021 à 11h26
Le chiffrement est activé par défaut. Le logiciel (libre) est décentralisé comme mastodon /fediverse. Plusieurs entreprises proposent du service autour de Matrix / Element :)
Le 02/12/2021 à 10h53
On peut aussi passer par le dépôt Firefox sur Fdroid pour avoir Signal
https://gitlab.com/rfc2822/fdroid-firefox
Le 02/12/2021 à 11h33
Je vous conseil Session (getSession) si vous voulez une app de messagerie sans aucun numéro de téléphone relié :)
Le 02/12/2021 à 11h49
Le fait que Signal demande le numéro de téléphone est une sécurité supplémentaire…
Et Session & cie ne sont pas aussi sécurisés et protecteurs des méta-données que Signal.
Pour une utilisation de type messagerie perso, et petits groupes de discussion, Signal est au dessus de toute concurrence en terme de sécurité et de vie privée.
Le 02/12/2021 à 11h44
Il existe des tutos pour utiliser Signal sans le numéro de téléphone, avec un burner ou un VoIP par exemple, je n’ai jamais essayé et je ne garanti pas que cela fonctionne toujours aujourd’hui.
Pour rappel, les métadonnées sont chiffrés, Signal n’a pas accès à votre numéro de téléphone.
Le 02/12/2021 à 11h51
Source ?
Signal empêche juste d’utiliser son nom (sa marque) et son réseau aux clients non officiels et non validés par la fondation. Ce qui parrait être assez logique.
Et Element.io est beaucoup moins sécurisé et chie de la méta-donnée partout, contrairement à Signal. Donc c’est pas comparable.
Le 02/12/2021 à 12h01
Et moins “user friendly”. Ça paraît trivial, mais c’est un point suffisant pour empêcher l’adoption d’un outil, surtout à l’échelle du grand public.
Le 02/12/2021 à 12h08
Yes exactement. Et d’ailleurs il y a un énorme travail sur l’ergonomie pour favoriser les comportement sécurisés justement. Et le numéro de téléphone fait partie de cet ergonomie (pas de mot de passe mal sécurisé). J’aimerai bien qu’ils mettent un peu plus en avant le fait de «vérifier» ses contacts en revanche.
Le 02/12/2021 à 12h16
Ici: https://forum.f-droid.org/t/we-can-include-signal-in-f-droid/7373
GitHub
et là:
Amusant je suis en train de passer de Silence à Signal avec un ami.
Car Silence bien que parfait pour nos usages commence sérieusement à partir en vrille, nous perdons des messages, lancement difficile 1x sur 2, MMS échouent à l’envoi (lié à Auchan mobile, quand bien même).
En cherchant un peu, la demande de numéro de téléphone me semble justifiée et le croisement inter-contacts a lieu entièrement en méta-données, plusieurs articles expliquent le procédé. A l’inscription le gros recaptcha est ironique par contre…
Concernant les blobs Google, plusieurs sujets sont sur le github de Signal, on y apprend que depuis Signal possède un failover sur l’absence de google play service, ça passe en websocket
Ce qu’il reste:
firebase cloud messaging (FCM) > notifications ?
Maps > media cartes
wallet > paiements vers ?
Certains forkent patchent de leur côté et de maintenir:
GitHub
De manière globale avec toutes ces messageries mobile le POF reste les serveurs par lesquelles transitent les données et à part deltachat je ne vois pas de solution P2P qui s’affranchirait de cela.
Le 02/12/2021 à 12h45
J’utilise Signal depuis des années, et je n’ai aucun service Google sur mon téléphone.
Bref je connais le sujet, et Signal est excellent. Je ne vois pas l’intérêt de vouloir un fork. Et ceux qui en veulent un peuvent tout à fait le faire, mais sans passer par la marque et le réseau de la fondation. Bref ton message initial était pas pertinent, et la critique non plus.
sinon Silence c’est claqué, car toutes tes méta-données sont en clair pour les opérateurs réseaux…
Ouais, mais pour ça il faut activer le wifi, signal ne check pas les mises à jours sur le réseau mobile, et aucun moyen de régler ça, je ne sais pas pourquoi. Donc à vérifier régulièrement quand on a pas le wifi.
Le 02/12/2021 à 13h05
Je n’étais pas au courant de cette limitation concernant les mises à jour (j’active le wifi dés que je suis chez moi), merci pour la précision.
J’imagine que cette limitation date de l’époque où tout le monde n’avais pas de forfait data avec X Go.
Il y a plusieurs remontées sur le GitHub et le forum de Signal à ce sujet depuis des années mais ça n’a pas l’air d’être une priorité pour les développeurs.
Le 02/12/2021 à 13h18
J’imagine, le problème c’est que c’est pas réglable. Mais bon pour ma part je check directement la version de l’apk sur le site et je télécharge directement les maj.
Le 02/12/2021 à 12h14
Et je rajouterai que si vous installez Signal via l’apk, il se met ensuite “automatiquement” à jour (faut valider l’installation de la mise à jour quand même) sans besoin d’aller re-télécharger l’apk à chaque nouvelle version.
Le 02/12/2021 à 12h28
Silence est mort, ne l’utilisez pas.
Le 02/12/2021 à 12h57
Oui Silence est “claqué” mais tout le monde n’a pas les même usages, ni la data qui va avec.
Le 02/12/2021 à 13h14
Ben ça existe toujours
Le 02/12/2021 à 13h20
Ça je peux comprendre. Encore que en dehors des images/vidéos, Signal ne consomme rien, et pourrait tout à fait convenir avec des forfaits à 2€ et 50Mo de data par mois. Donc en vrai en France c’est pas trop une excuse.
Le 02/12/2021 à 13h31
Pour moi, un logiciel (quel qu’il soit) qui requiert absolument un numéro de téléphone mobile pour fonctionner c’est un non négatif et définitif.
Si ca ne fonctionne pas sur un PC ou une tablette, c’est non.
Le 02/12/2021 à 13h34
Je comprends pas cet argument. Le numéro de téléphone est une fonctionnalité liée à la sécurité, pas une contrainte. Et tu peux utiliser Signal sur PC et tablettes.
Le 02/12/2021 à 13h34
Wire est une alternative alors puisqu’un e-mail suffit. Et c’est pas la préhistoire niveau fonctionnel.
Le 02/12/2021 à 13h37
Ou Threema, qui génère aléatoirement un ID personnel, même s’il est payant (à relativiser : moins de 5€, payable une seule fois).
Le 02/12/2021 à 13h50
Threema me semble être une bonne alternative d’après ce que je vois, après je ne connais pas assez.
Le 02/12/2021 à 14h17
Le problème est qu’il faut payer pour essayer. Réddhibitoire.
De plus, je trouve le discours trop marketeux (“meilleur que Signal”, “la plus vendue dans le monde entier”, etc.). Ça donne l’impression (probablement fausse) que le discours marketing est mis en avant pour cacher une inefficacité technique (“l’application qui lave plus blanc que blanc !”). Mais je suis peut-être trop formaté à ces discours pour y voir du mal partout.
Le 02/12/2021 à 14h36
Je l’utilise, donc si tu as des questions…
Effectivement, un des rares aspects que je n’apprécie pas est que le discours frôle parfois le FUD. Vraiment dommage. À part ça, c’est une messagerie sécurisée qui a des atouts (techniques, ergonomiques, etc.) et que j’utilise avec quelques (rares) contacts à la place de WhatsApp…
Le 02/12/2021 à 14h55
Threema me semble un projet très jeune. La structure du site, les sources, et le fait qu’il y ait un client web me fait dire que ça n’a pas grand chose de sérieux.
On dirait juste une énième application qui surfe sur le sujet. Et ça n’arrive pas au niveau de Signal en terme de sécurité.
Le 02/12/2021 à 15h20
Très jeune ? Ils ont démarré en 2013, je crois, donc pas tant que ça. Sinon je ne vois pas en quoi ce que tu cites n’aurait pas grand chose de sérieux
ÉDIT : 2012 en fait, soit 2 ans avant Signal, donc dire qu’ils surfent sur le sujet…
Du reste, c’est du chiffrement E2E qui a été audité plusieurs fois, même s’il n’est pas exempt de certains défauts. Qu’est-ce qu’il te fait dire qu’elle ne serait pas au niveau de Signal ?
Et, pour ce que ça vaut, elle fait partie des quatre seules applications de messagerie sécurisée recommandées par ce site
Le 02/12/2021 à 15h48
Le fait qu’ils sont négatif à «Is the code open to independent review? » cf https://www.eff.org/fr/pages/secure-messaging-scorecard
Le 02/12/2021 à 18h10
L’article n’est pas à jour, comme c’est rappelé dans l’entête : “OUT OF DATE – FOR ARCHIVAL PURPOSES ONLY”
Il était vrai que le code source du client était fermé, mais ce n’est plus le cas depuis un moment maintenant. Le serveur est toujours à sources fermées cependant.
Le 02/12/2021 à 13h52
Je n’ai pas de smartphone personnel !! Pour être exact, j’ai un smartphone personnel mais pas d’abonnement (pas de carte SIM): je n’utilise ce smartphone qu’en tant que terminal wifi.
Oui, je suis un dinosaure.
Pour le reste j’ai un (plusieurs même) smartphone professionnel, mais c’est pas la dessus que je veux mettre une messagerie sécurisée :)
Le 02/12/2021 à 13h57
Tu peux utiliser le numéro de tel pro pour activer Signal sur ton smartphone personnel. Si jamais tu changes de numéro pro, c’est pas grave, c’est toujours toi qui a la main sur ton compte, et c’est verrouillé, tu peux ensuite changer le numéro de téléphone.
Le numéro de téléphone est là pour valider l’identité en premier lieu et éviter les mot de passes non sécurisés.
En revanche le fonctionnement de Signal veut que le compte maître soit sur un smartphone, et les clients complémentaires sur PC et autres device sont activés par le smartphone. C’est le smartphone le maître.
Le 02/12/2021 à 14h49
Le 02/12/2021 à 15h25
C’est pareille pour Olvid, d’accord c’est français, c’est cool, mais elle n’est ni meilleur pour la sécurité, ni meilleur pour la vie privée que Signal, et les appels chiffrés sont payants.
Le 02/12/2021 à 15h51
Je ne comprends pas ce que tu veux dire. Comment ça un lambda n’en aurait pas besoin ? Absolument tout le monde en a besoin ! Et Signal répond à tous les besoins essentiels d’une messagerie, donc encourager son utilisation est essentiel.
Bien sûr il faut encourager la concurrence, et ne pas être dogmatique. C’est intéressant toutes ces solutions.
Cependant à l’heure actuelle, pour une messagerie perso, c’est incontestablement Signal qu’il faut recommander, et pas perdre les utilisateurs dans des millions de messageries. Signal fait le taff, et le fait très bien.
Le 02/12/2021 à 16h03
Maintenant, pour des gens à qui ça intéressent vraiment, tel que nous, c’est intéressant de voir ce qu’il se fait ailleurs, encourager la concurrence est toujours bonne comme tu l’as écrit.
Le 02/12/2021 à 16h06
La résistance au changement, m’en parle pas. J’ai des contacts qui cumulent Facebook messenger, whatsapp, snapshat, instagram & cie. Mais ne comprennent pas pourquoi ils devraient installer Signal…
Le 02/12/2021 à 16h32
Après tu peux lui proposer des recommendations, et lui expliquer en quoi elles sont mieux, et ma foi, si la personne en face n’en veut pas, tant pis, tu ne peux rien y faire, peut-être que cette personne sera plus convaincu si l’information vient d’une personne autoritaire comme son employeur, ça arrive souvent je dirais même, j’avais lu ça un jour dans un billet de blog, alors que la personne en question ignorait les recommendation en matière de sécurité de la part d’un ami (je suis vague désolé, mais j’ai oublié de quoi parlait exactement le sujet) elle a changé d’opinion lorsque les mêmes mots sont sorties de la bouche de son employeur, d’un coup, ca a pris de la valeur.
PS : Tu notera que le tableau de l’EFF, que tu as posté plus haut, est périmé
Le 02/12/2021 à 17h53
Le 03/12/2021 à 07h15
Signal n’est pas parfait mais ça semble quand même mieux que Whatsapp
De mon côté j’utilise de préférence Olvid et Signal pour mes contacts qui n’ont pas Olvid
Le 03/12/2021 à 08h49
Sachant que c’est un fork de Signal… Ah et 0 métadonnées, ils ont fait un whitepaper pour tout expliquer 😀
Donc plus sécurisé avec un numéro de téléphone c’est un non
Le 03/12/2021 à 08h56
Je reconnais qu’il sont pas très connu. En tout cas leur lightpaper est super bien fait :)
https://getsession.org/lightpaper/pdf
Le 03/12/2021 à 08h58
Sur quoi tu te bases pour dire que Session n’est pas aussi protecteur des métadonnées ?
Après une rapide recherche je ne trouve rien qui aille dans ton sens au contraire même : https://restoreprivacy.com/secure-encrypted-messaging-apps/session/#:~:text=The%20Session%20messenger%20is%20a%20fork%20of%20Signal%2C,more%20secure%20and%20private%20than%20its%20cousin%2C%20Signal.
Le 03/12/2021 à 08h58
https://getsession.org/lightpaper/pdf
Ils expliquent tout
Ils sont bien plus sécurisé et bien plus protecteurs des méta données. Je ne critique pas Signal qui reste un très bonne messagerie. Mais il ne faut pas non plus dire des conneries
Le 03/12/2021 à 11h13
Lol Session est sur un modèle décentralisé… Dire qu’il est plus protecteur sur les méta-données montre que vous ne comprenez pas techniquement comment ça fonctionne… Non Signal est bien plus protecteur sur les méta-données, et c’est impossible de faire mieux avec un modèle décentralisé… Faut pas dire n’importe quoi merci.
Le 03/12/2021 à 11h21
Bah justement, relis mon message. Je te demande de m’expliquer justement, ce que tu n’as tjs pas fait préférant simplement rebondir par pur orgueil.
On dit pas que Session fait mieux, d’ailleurs je vois pas pourquoi tu parles de modèle décentralisé (le rapport avec les metadonnées ?), on dit que Session ne semble pas faire moins bien.
Le 03/12/2021 à 11h49
Désolé mais j’ai l’impression de me répéter. J’explique :
Déjà il faut comprendre ce qu’est une métadonnée. C’est en gros les fadettes, c’est à dire : qui et quand ils communiquent. Les modèles décentralisés émettent + de métadonnées par design. En effet, des métadonnées sont forcément émises entre les serveurs pour se synchroniser entre eux, donc les métadonnées sont multipliées. Avec un modèle centralisé, on minimise celles-ci à un seul acteur, et ça permet aussi comme le fait Signal, d’en effacer une partie. Ils arrivent à masquer l’émetteur du message, et laissent donc le minimum de métadonnées qui sont nécessaire techniquement.
L’article qui explique pourquoi Signal a choisi le modèle centralisé explique bien la problématique :
https://signal.org/blog/the-ecosystem-is-moving/
Le 03/12/2021 à 13h21
Merci, je me sens moins bête.
Le 03/12/2021 à 13h52
Après c’est pas parfait, on peut pas faire mieux techniquement sur les méta-données.
Signal est la meilleure solution si on met le curseur et la priorité sur la confidentialité de ses échanges (et pour une messagerie personnelle, c’est la priorité).
Signal peu avoir : les ip et heures de connexions des utilisateurs, ils ont le numéro de téléphone qui a activé le compte utilisateur, et ils savent à quelle heure les utilisateurs reçoivent des messages. La fondation déclare effacer ces données et/ou ne pas les conserver. Ce sont des données techniques nécessaires au fonctionnement de la messagerie. Il déclarent conserver uniquement deux données sur les utilisateurs : le numéro et deux horodatages, le premier pour la création du compte, le second pour la dernière connexion au service. (cf https://www.nextinpact.com/article/23986/101651-signal-na-que-peu-metadonnees-a-offrir-au-fbi). Bien sûr on a pas à les croire sur parole, ni à leur faire confiance, justement. Mais au moins on sait à quoi s’en tenir.
En revanche, le modèle centralisé pose un problème d’indépendance. On est lié à la fondation Signal. Et les solutions décentralisées apportent une solution sur ce point. Après vu que Signal est opensource, on peut forker Signal en cas de problème avec eux (même si c’est pas trivial), mais ça implique de bouger les utilisateurs vers un nouveau service/application.
Le 03/12/2021 à 16h41
En l’occurrence vu que je n’ai que mes potes si.
Et avec le chiffrement de bout en bout, pas sûr que je puisse voir qui et quand.
Le 03/12/2021 à 16h43
oui mais tes potes se parlent peut être entre eux.
Et non le chiffrement de bout en bout ne chiffre pas les méta-données. C’est pas possible de chiffrer les méta-données. Donc tu peux techniquement voir qui parle avec qui et quand. Et également avoir leurs ip.
Le 03/12/2021 à 19h26
Nope, aux dernières nouvelles, il y a une option automatiquement cochée sur la version apple de signal qui permet au journal d’appel des iphone de récupérer les infos des appels signal. Ensuite le journal d’apple est souvent joyeusement récupéré par tout un tas d’applications.
Évidemment, quand vous arrivez à convaincre quelqu’un qui n’est pas vraiment au point avec ces problèmes de sécurité, il ne décochera jamais ça et tous les utilisateurs d’iphone qui ont laissé l’option sont des vraies passoires des métadonnées de tout le monde. Même de ceux qui sont sous android à partir du moment ou ces derniers contactent un utilisateur iphone.