Signal rappelle à la Justice qu’elle ne sait toujours rien de ses utilisateurs
Le 02 novembre 2021 à 09h15
1 min
Droit
Droit
Signal vient de rendre publics les échanges qu'elle a eu avec la Justice américaine au sujet de deux des utilisateurs de sa messagerie chiffrée de bout en bout. Ils confirment qu'elle n'a pu leur transmettre que les seuls horodatages de création du compte, et de dernière connexion.
« Comme d'habitude, nous n'avons rien pu fournir. Il est impossible de remettre des données auxquelles nous n'avons jamais eu accès en premier lieu. Signal n'a pas accès à vos messages ; votre liste de discussion ; vos groupes ; vos contacts; vos autocollants ; votre nom de profil ou avatar ; ou même les GIF que vous recherchez », explique la messagerie.
Si l'une des requêtes date de début octobre, la seconde remonte à août 2020, mais n'avait pu être rendue publique plus tôt, une ordonnance de non-divulgation ayant été prolongée quatre fois depuis lors.
Depuis 2016, c'est la quatrième demande de divulgation gouvernementale qu'elle révèle de la sorte, mais également la troisième en 2021.
Le 02 novembre 2021 à 09h15
Commentaires (39)
Vous devez être abonné pour pouvoir commenter.
Déjà abonné ? Se connecter
Abonnez-vousLe 02/11/2021 à 11h14
Si seulement plus de gens étaient sur Signal au lieu d’être sur la version spyware…
Le 02/11/2021 à 11h59
Tu parles de WhatsApp ou de Telegram ?
Le 02/11/2021 à 12h29
Le 02/11/2021 à 14h20
J’ai commencé sur WhatsApp en 2012. Je suis passé sur Signal et sur Telegram en 2020 au moment du premier confinement. Mais j’ai encore quelques contacts sur WhatsApp que je n’arrive pas à faire migrer, notamment parce qu’eux aussi ont des groupes sur WhatsApp
Le 02/11/2021 à 16h41
Pour pallier ce problème j’ai monté une instance Matrix-synapse sur mon serveur, avec des bridges vers Messenger & Signal. Comme ca je peux continuer a discuter avec les gens qui n’ont pas quitté Facebook, sans avoir l’intrusion de FB.
Le 02/11/2021 à 19h30
J’imagine que ça nécessite tout de même d’avoir un compte whatsapp ?
Le 03/11/2021 à 09h10
Pour bridge WhatsApp c’est un peu plus compliqué (en attendant un WhatsApp web standalone qui est dans les tuyaux depuis 3ans) il faut une machine virtuelle qui fait tourner une instance de WhatsApp
Le 02/11/2021 à 20h34
Bon sang, ça me fait plaisir de voir Matrix mentionné dans une discussion sur ce sujet !
Sécurisé, open source, décentralisé … techniquement, ce protocol a tout pour lui. Il lui manque juste de la simplicité (UI / UX, simplicité d’hebergement, …), et une visibilité du même ordre que ses concurrents. A cause de ça, il reste très confidentiel :-(.
Le 02/11/2021 à 22h30
non c’est de la merde pour les métadonnées et donc la confidentialité. Le modèle décentralisé est le pire.
Le 03/11/2021 à 01h01
j’avais compris que si tu hébergeais ton propre serveur, un peu comme
Le 03/11/2021 à 09h12
Je ne maitrise pas assez le sujet pour dire si tu a tords ou raison, mais dans l’utilisation que j’en fait, uniquement en tant que bridge Messenger signal, et auto hébergé, je dirais que ca n’est pas un problème pour ma part.
Le 03/11/2021 à 10h22
Évidemment que j’ai raison… La décentralisation c’est étaler des métadonnées partout, c’est bien pour ça que Signal a choisi une architecture centralisée, pour qu’il n’y ai qu’un acteur ayant accès aux métadonnées, et ça leur permet de les minimiser.
Lire ceci:
https://signal.org/blog/the-ecosystem-is-moving/
Euh si tu héberges ton serveur, comment tu contactes les autres sur un différent serveur ? En donnant les métadonnées à un tiers qui n’est pas toi, donc tu n’es pas protégé.
Le 03/11/2021 à 07h33
Merci pour l’astuce.
Il faut vraiment que je me le monte ce serveur avec proxmox et tout plein de VM (reverse proxy, Nextcloud, Matrix …)
Le 02/11/2021 à 12h51
Patience, les criminels vont finir pas comprendre qu’il faut utiliser Signal.
Le monde sera alors beaucoup plus sûr.
enfin… heu…
Le 02/11/2021 à 13h39
Ils l’ont déjà compris, Clinton, Trump, Macron & cie l’utilisent.
Le 02/11/2021 à 16h50
Oui franchement les gens ne comprennent pas l’intérêt de passer sur Signal, c’est pareil, j’ai rien à cacher bla bla ….
Le 02/11/2021 à 17h02
Ca m’étonne que vous n’ayez pas relayé le troll de compèt’ qu’a fait Signal au FBI… Parce qu’en fait, ils savent deux choses sur chaque utilisateur: la date et l’heure à laquelle il a créé son compte, et la date et l’heure de sa dernière connexion. Et quand le FBI a demandé tout ce qu’ils savaient d’un utilisateur en particulier, ils leur ont transmis ces deux dates… en format Unix, c’est à dire en nombre de secondes écoulées depuis le 1er janvier 1970 à minuit.
L’histoire ne dit pas si le gars du FBI a apprécié la blague.
Le 02/11/2021 à 19h29
En quoi est-ce un troll ? C’est un format de date comme un autre.
Le 03/11/2021 à 10h48
Hello, d’un côté, je suis d’accord (lorsque tu converses avec un serveur public ou que tu fédères ton serveur par exemple), et de l’autre non : lorsque tu héberges un serveur tu peux également parler à quelqu’un qui héberge aussi son propre serveur pour lui ou un groupe en qui tu as confiance (amis, famille, etc.).
Ensuite, avec un bridge Whatsapp par exemple comme l’a dit Guillaume_, tu minimises les données envoyées à Facebook parce l’application Whatsapp n’est pas installée sur ton smartphone donc l’entreprise n’a ni accès à ta localisation, ni accès à ton répertoire, ni accès à ton agenda, ni accès à ton surf web, etc.
Alors, oui, elle a accès à qui tu parles, à quel heure tu lui parles, à quelle fréquence tu lui parles, etc. mais cela, presque toutes les applis de messagerie ont ces infos. C’est en ce sens que je trouve l’idée du bridge utile, c’est un équilibre entre je donne quelques données, mais pas toutes et je peux parler à plusieurs plate-formes sans les avoir installées sur mon smartphone.
Corrige(z)-moi si je me trompe.
Le 03/11/2021 à 11h05
Si chacun a son serveur personnel fédéré, c’est les FAI qui ont donc accès à TOUTES les métadonnées…
Ok sur ce point, mais Facebook a quand même accès à toutes les métadonnées de tes messages.
Euh non dans le cas présent, si tu utilises facebook (whatsapp) via un bridge facebook a accès à toutes tes métadonnées de messages (quand, qui…).
Le 03/11/2021 à 11h55
Oui c’est bien ce que je te dis, on est d’accord. Les métadonnées sont liées aux messages (date, heure, IP, etc.), mais pas liée aux autres métadonnées type localisation (ou alors ça reste celle du serveur), répertoire entier du téléphone (hors contacts Whatsapp), etc.
C’est en ce sens que je parle d’équilibre.
Signal est une appli tip-top, mais sans accuser quoi que ce soit, il y a des choses qui me poussent à me poser des questions sur l’application. Session me parait plus fiable dans son fonctionnement chiffré en mode “presque peer-to-peer” : si j’ai bien compris l’avantage du peer-to-peer (on envoie le message à très peu de personnes), tout en ayant résolu l’inconvénient du peer-to-peer lorsque tu es hors ligne (les “très peu de personnes” conservent ton message chiffré le temps que tu te reconnectes).
Le 03/11/2021 à 12h04
La localisation n’est pas une métadonnée plus «critique» que les métadonnées de tes messages. Et la plupart du temps, on peut déterminer ta localisation avec ton IP. Personnellement je ne trouve pas que ça soit «mieux» pour tes métadonnées, c’est mieux de ne pas avoir une application spyware sur son téléphone, mais tu n’es pas spécialement mieux protégé.
Le mieux c’est de ne pas utiliser facebook.
Le 03/11/2021 à 15h07
Tu fais depuis le début un sophisme de la solution (im)parfaite.
Il est incontestable que la solution de prog-amateur limite déjà 10 fois plus le partage et la propagation de données persos aux services concernés. Et ce rien que par le fait de ne pas de posséder de comptes sur les-dites plateformes (ça doit bien dégager 90+% des données qu’ils soulèvent). D’autant plus quand on regarde les synergies qui permettent à des acteurs comme facebook de faire du recoupement de données, qui est là l’essentiel de ce qu’ils récupèrent Typiquement avec arbre des contacts d’un utilisateur donné recoupé entre ses comptes whatsapp, instagram, facebook, messenger + tout autre service connecté via facebook (disqus…).
Donc franchement, dans le cas -hautement probable et compréhensible- d’incapacité à quitter totalement ces plateformes parce qu’il y a un truc qui s’appelle des “proches” qui eux ne le veulent pas et restent à communiquer dessus, et bien la solution de prog-amateur est totalement recevable et sans aucun doute une des plus intéressantes dans le genre.
D’ailleurs je suis sûr qu’on peut gouaquer une partie des métadatas, typiquement sur l’IP qu’on donne (donc adios la localisation, qui est une des données les plus importantes encore une fois pour leurs croisements de données).
Le 03/11/2021 à 15h31
Tu es en train de comparer une bombe H de 100Mt à une bombe H de 99Mt, et tu me dis que l’une est moins dangereuse que l’autre pour nous, c’est ce niveau de comparaison…
Comme tu le dis le recoupement, quand bien même tu te protèges, tes contacts remontes des données, c’est toute la chaine qui est à jeter. Et non partager ses métadonnées de conversation à une boite privée ça n’est pas acceptable du tout, et ça n’est pas «mieux» de pas donner sa localisation, ça n’a pas de sens.
Le 03/11/2021 à 16h26
Euh… bon je pense que la discussion peut s’arrêter là si on est pas d’accord sur les proportions de données que tu “fuites” dans un cas par rapport à l’autre.
Si on les liste je suis prêt à parier qu’on se retrouve avec une liste interminable d’une part vs 4-5 lignes de l’autre.
Le fait d’avoir un bridge avec les services en question fait que les services en questions ne peuvent plus faire de recoupement entre les différents services (Meta ne peut pas faire le lien entre la conversation d’un “Pierre” sur messenger publié via un bridge matrix vs un “P.” sur une autre discussion Instagram) : ça devient nécessairement 2 personnes distinctes.
Homme de paille, je n’ai jamais dit que c’était “acceptable”. C’est juste que la vie privée -comme tout- est histoire de compromis. Oui c’est pas acceptable. Non certains ne peuvent pas se permettre de l’éviter pour communiquer avec leurs proches.
Même avec toute la mauvaise foi du monde, on ne peux pas dire que partager 3 types de données c’est tout pareil que d’en partager 50 différentes. Mais bon c’est là où je dis qu’on pourra pas se mettre d’accord si toi tu décides de considérer que c’est du “49 types de données” vs “50 types de données” là où mon diagnostic est qu’on passe plutôt vers 5 types de données en moins (genre -90% à la louche quoi).
Le 03/11/2021 à 16h34
Nan mais sur le principe ok, c’est moins de données, mais ça reste inutile pour moi. Ils ont déjà tellement de données sur toi avec tes contacts et ta messagerie + les recoupements avec tes contacts qui se protègent pas, etc. C’est peanuts comme protection. Savoir avec qui tu échanges et quand étant probablement les informations les plus privées (en dehors du contenu des échanges, auquel ils accèdent aussi vu que c’est pas chiffré…). Bref pour moi c’est parfaitement inutile.
Le 03/11/2021 à 17h06
Je pense que ça résume bien notre désaccord sur les données que ça représente. Et les considérations sur “ce qu’ils possèdent déjà” (qui peut-être hyper variable d’une personne à l’autre… j’ose espérer).
Probablement un côté optimiste de ma part, et éventuellement un côté trop pessimiste/fataliste de la tienne (je coupe la poire en deux j’espère que ça te va ahah).
Merci de l’échange, libre aux autres de s’en faire une opinion. :)
Le 04/11/2021 à 09h36
Les données qu’a facebook sur ses utilisateurs sont beaucoup beaucoup plus importantes (dans les deux sens : en quantité et en intrusion dans la vie privée) que seulement avec qui et quand ils communiquent…
Le 04/11/2021 à 09h58
Je dis pas le contraire, je dis juste que avoir tes métadonnées et contenu de toute ta messagerie, c’est déjà énorme et assez inquiétant. Et même juste en utilisant la messagerie avec un bridge, on peut avoir :
Bref, tout ce qui est nécessaire pour assoir un parfait petit État autoritaire. Avec ceci tu peux contrôler toute une population.
Le 04/11/2021 à 14h43
Merci, c’est ça que je voulais dire
Le 04/11/2021 à 10h57
Moi ça fait des années que j’utilise Matrix / Element (qui s’appelait Vector puis Riot) auto hébergé sur un RPi 2 puis un RPi3 avec Web UI et serveur sur la même machine et ça marche super bien. Ça faisait des années auparavant que je cherchais une solution de chat perso auto hébergé sympa avec une persistance des données correctes et une appli mobile fonctionnelle.
Maintenant le produit a bien évolué. Il reste encore des choses à faire pour arriver au niveau de certains des concurrents. J’utilise pas mal les bridges faits par Mautrix (https://github.com/mautrix et doc dispo ici : https://docs.mau.fi/bridges) WA/Signal et go-neb en combinaison avec RSS-Bridge (https://github.com/RSS-Bridge/rss-bridge) pour poster dans des rooms dédiées des infos provenant de flux RSS
J’essaie de faire migrer tout le monde sur Signal mais c’est pas évident car WA est encore trop bien implanté dans la tête des gens. WA jouit de sa présence sur le marché depuis le début et les gens par soucis de facilité et de non prise de tête restent sur WA….
Des mentalités à faire évoluer.
Le 04/11/2021 à 12h55
Oui c’est compliqué les habitudes… Pourtant Signal est quasiment identique, c’est vraiment juste la résistance au changement. Et on passe pour le relou de service en insistant.
Le 04/11/2021 à 16h03
Juste pour cloturer le débat que j’ai ouvert par inadvertance, je ne dit pas que c’est la solution idéal loin de la. Et c’est evident que la seul solution est de bannir Facebook & co. J’ai reussi a faire migrer ma famille proche sur signal, mais il reste des personnes notamment famille eloigné qui ne sont contactable que par messenger.
D’ou l’idée de passer par un matrix(element) auto herbergé, qui me permet de bouter facebook hors de mon téléphone, maintenant je ne lui transmet que ce que je veux lui transmettre (message, ip du serveur, photos que j’envoi) et ca n’est plus facebook qui aspire contact, photos, localisation etc.
Voila, bisous
Le 04/11/2021 à 16h09
Tu fait du Whatsapp vers element vers signal ? ou Whatsapp et signal vers element ?
Le 05/11/2021 à 09h41
Ca fait un moment que je me pose la question concernant ces ponts matrix -> WA/Signal/Telegram. Dans le cas d’un matrix auto hébergé, le pont est lui aussi auto hébergé ou c’est un service externe (et donc les messages transitent par ce service) ?
Le 05/11/2021 à 14h51
Le pont est sur la meme machine que le matrix, aucun service externe
Le 07/11/2021 à 17h56
Merci pour l’info ;-)
Le 07/11/2021 à 22h48
Je fais du Whatsapp vers Element et vice versa. Idem pour signal, je fais vers Element et vice versa.
Par contre, je n’ai pas encore testé Whatsapp vers element vers signal
.
Il faudrait que je teste un jour !
Le 07/11/2021 à 22h49
Clairement !