Le 05/01/2022 à 02h 31

Ya pas non plus d’annuaire sur Signal ;) En revanche on peut utiliser son numéro de téléphone, c’est plus pratique.

Y a forcément un annuaire quelque part si on est obligé de communiquer son numéro dès l’installation pour pouvoir commencer à s’en servir. Ce qui n’était pas le cas de son ancêtre TextSecure qui chiffrait les SMS. Donc s’ils ont un annuaire des utilisateurs, ou s’ils le peuvent, alors ils peuvent impersonnifier tout utilisateur et donc tout déchiffrer. CQFD. Et donc c’est pas du tout plus pratique. C’est juste une énorme faille de sécurité possible puisqu’on reste contraints de faire confiance aux opérateurs de ces messageries ou en la sécurité de leurs systèmes. C’est chaud. Je préfère un système qui ne force personne à lui faire confiance et qui déploie des preuves et technologies pour arriver à ce que ça se passe entre nous les utilisateurs et uniquement entre nous et que personne d’autre n’ait quelconque pouvoir de connaitre nos échanges ou pire.

Le 05/01/2022 à 02h 10

J’ai vérifié. L’utilisateur ne choisit pas du tout, jamais, un mot de passe, ni même sa clé de sauvegarde. Elle est générée aléatoirement par l’app sur son appareil et uniquement là. Et l’app l’affiche une fois et une seule fois et il doit la noter. Sinon il devra en générer une autre pour les prochaines sauvegardes et pour pouvoir restaurer la plus récente. Il n’y a donc aucune erreur possible de la part de l’utilisateur. Sauf d’ensuite copier cette clé sur un support numérique connecté ou subtilisable, ou pire dans le cloud. Ce serait sa seule “erreur”. Mais c’est indépendant de l’app. qui en prévient et n’y peut rien. On fait tellement pire ailleurs. Et le mieux est donc de la noter sur un papier une fois pour toute. D’autant que cette clé est valable aussi longtemps qu’on ne la change pas. A travers les restaurations de ces sauvegardes chiffrées qui ne seront déchiffrables qu’avec cette clé.
Ils semblent donc avoir fait très fort et très propre sur ce point aussi.
Après, on peut toujours aller discuter des courbes elliptiques choisies pour ces tirages aléatoires dans la génération de cette clé par l’app. Mais ça tombe bien encore car c’est super documenté dans leurs specs techniques publiées dans leur page sur leur techno et ça semble aussi avoir été revu et validé pas un ponte reconnu de l’association internationale de la recherche en cryptographie. Reste à lire tout ça…

Le 05/01/2022 à 00h 38

Exact. Et quelques précisions trouvées dans leur Aide-FAQ https://olvid.io/faq/fr/ qu’il faut lire. Mais c’est fourni. Donc…
Il n’y a pas de compte sur Olvid.
Source : https://olvid.io/faq/creez-votre-identite-Olvid/#il-nexiste-pas-de-compte-olvid

Ce n’est pas un mot de passe de compte mais une clé de chiffrement générée sur demande de l’utilisateur et dans l’app uniquement, pour la sauvegarde de son “identité Olvid et de ses contacts, groupes, paramètres et licence” en vue de les transférer sur un nouvel appareil. Les messages eux ne sont pas sauvegardés. Et cette sauvegarde est à activer par chaque utilisateur (opt-in) et il la stocke où il veut. Et Olvid ne connait pas cette clé puisqu’elle ne reste affichable qu’à l’utilisateur.
Source : https://olvid.io/faq/a-propos-de-la-sauvegarde/

L’entropie de cette clé est de 160 bits.
Source : https://olvid.io/faq/a-propos-de-la-sauvegarde/#la-sauvegarde-est-elle-s%C3%A9curis%C3%A9e. Mais un simple calcul le démontre.
En d’autres termes, sa robustesse ne serait brisé de façon certaine qu’après 2 puissance 160 tentatives lors d’une attaque par force brute. Je vous laisse calculer combien ça fait. Puisque “l’ajout d’un bit d’entropie à un mot de passe double le nombre de tentatives requises, ce qui rend la tâche de l’attaquant deux fois plus difficile.” Selon wikipedia : https://fr.wikipedia.org/wiki/Robustesse_d%27un_mot_de_passe

Avec cette app, on est très très loin d’une sécurité par mot de passe ou par détention d’un numéro de téléphone qui est toujours connu de l’opérateur mobile déjà, des annuaires et de tous ceux qui l’ont aussi dans leur carnet d’adresse et le divulguent allègrement en y donnant accès à des apps. Et donc aussi connu des opérateurs de ces apps, et donc aussi dépendant de la vulnérabilité de leurs serveurs par des attaquants. Sans parler des possibilités d’usurper un numéro mobile mais c’est une autre histoire, ou pire, de simplement connaitre son existence et pire encore, son détenteur. Voir Pegasus. Et d’ailleurs ils en parlent aussi : https://olvid.io/news/fr/pegasus.html