euh affirmations gratuites là ? j’ai plusieurs amis qui bossent à l’ANSSI qui m’ont recommandé Olvid, et qui m’ont expliqué que justement le fait de ne pas être associé à ton numéro de téléphone permet davantage de sécurité
En quoi ne pas associer ton numéro améliore ta sécurité ? Et bon les arguments d’autorité tu peux les garder.
Le
03/01/2022 à
13h
52
(quote:1920609:127.0.0.1) Vu que c’est un système client/serveur, le serveur a forcément accès aux métadata pour faire correctement la distribution des messages :)
Ben justement, Signal arrive à les minimiser, ce qui est vraiment cool.
Le
03/01/2022 à
13h
52
fate1 a dit:
Si tu me cites, cite tout le message et pas seulement un bout sorti du contexte ;-) . J’utilise Signal pour discuter avec ma famille, ma vie privée et celle de ma famille est donc respectée. Et comme je ne discute pas de secret d’état avec ma famille le niveau de sécurité apporté par Signal me convient et ne me pousse pas à chercher des solutions encore plus sécurisées du style de Olvid. Mais ça ne me pousse pas à utiliser des appli type whatsapp ou messenger.
Je comprends ce que tu veux dire, mais avoir une sécurité maximum par défaut c’est normal (secret d’état ou pas). Pas sur que Olvid soit plus sécurisé que Signal en revanche.
Le
03/01/2022 à
12h
18
fate1 a dit:
Je ne discute pas non plus de secrets d’état avec ma famille.
Il faut arrêter avec ce genre d’affirmation. Tout le monde a droit à une vie privée, peut importe de quoi tu parles ou à qui. Et pour les messageries c’est un problème collectif et pas individuel. Évidemment que si Facebook ou le gouvernement avait accès qu’à tes conversations à toi, ça aurait pas grande valeur. En revanche le fait qu’ils aient accès à celles de tout le monde leur donne énormément de pouvoir : manipulation de l’opinion (faire élire qui ils veulent par exemple), prédiction d’une révolution (si la population ne peux plus se révolter, est-on encore libre ?), etc.
Le
03/01/2022 à
12h
05
(quote:1920546:127.0.0.1)
De plus, le principe du client Olvid c’est de ne pas faire confiance au serveur. Donc coté sécurité des données, c’est pas bien grave. Par contre, pour la disponibilité, ca serait mieux d’avoir d’autres implémentations du serveur.
quid des métadonnées ? Ça m’étonnerait fort qu’elle soient aussi sécurisées que sur Signal vu l’architecture de cette messagerie.
Le
03/01/2022 à
11h
18
On dirait un scam cette app.
jano31coa a dit:
j’utilise avec ma famille, c’est top gros avantage : pas besoin de l’associer à un numéro de tel
Et du coup, ça permet d’utiliser des mdp complètement à chier, et donc ça baisse ta sécurité.
Va peut être falloir un jour les stopper les milliardaires débiles et mégalo. Ce qu’ils font ne sert à rien. Musk est complètement ravagé par la connerie.
Ça serait pas plus simple d’interdire les crypto à un moment donné ? Je suis plutôt un enthousiaste de la technologie, mais là au bout d’un moment, à quoi ça sert ? À part aider à la criminalité et consommer une énergie folle, ça ne sert à rien.
Ben le plus important c’est les noeuds intermédiaires en fait. Les sites peuvent très bien héberger leur service via Tor, sans repasser sur le réseau classique. Pas forcément besoin de noeud de sortie.
(quote:1917134:dvr-x) Parce que tout le monde n’a pas ton usage ? Moi je ne comprends pas pourquoi tout le monde n’est pas sous vivaldi si je me base sur mon usage…
J’ai pas un usage classique d’un navigateur. Mais pour 99% des cas Firefox fait le boulot, en plus de rajouter quelques protections.
Le
08/12/2021 à
18h
31
(quote:1917142:ra-mon) Et Vivaldi ne contient pas de mouchard, évidemment. Puisque ses utilisateurs n’en veulent pas
mdr oui oui bien sûr.
Je teste Firefox et Chrome depuis leurs toutes premières versions et voit toujours pas trop de différences, fonctionnellement parlant…
Parce que tout le monde n’a pas, heureusement, les mêmes besoins que toi ?
Vu qu’il n’y a pas de différences fonctionnelles comme tu dis, 99% des usages courants sont couverts, juste que Firefox envoie pas ton historique à google.
Le
08/12/2021 à
16h
24
(reply:1917109:ra-mon)
Parce que tout le monde s’en fou des autres navigateurs, ils ont rien de particulier à part une interface personnalisable surcouche de chrome, et leurs mouchards maisons.
Firefox dépasse largement Chrome pour mon usage, je comprends même pas pourquoi tout le monde n’est pas dessus (en dehors évidemment des rares qui ont des problèmes avec, et pas avec Chrome, qui se retrouvent bizarrement tous sur les news firefox).
Le
08/12/2021 à
14h
13
Toujours des raleurs sur les news de Firefox. Yen a qui ont même le culot de gueuler que ça fonctionne mal sur une plateforme qui n’est plus supportée !
oui mais tes potes se parlent peut être entre eux.
Et non le chiffrement de bout en bout ne chiffre pas les méta-données. C’est pas possible de chiffrer les méta-données. Donc tu peux techniquement voir qui parle avec qui et quand. Et également avoir leurs ip.
Le
03/12/2021 à
16h
20
Oui, mais ce n’est pas un tiers qui a ces données. Si tu vas par là, toute personne qui dialogue avec moi a le contenu de la conversation hein. :o
Et niveau méta donnée, je vais te donner un scoop, j’ai même leur numéro de téléphone portable et leur adresse !!! Alors qu’il n’est pas dans matrix. xD
Ben pour eux si, c’est un tiers. Peut être qu’ils te font + confiance qu’à facebook, reste que tu peux savoir qui communique avec qui et quand. C’est très intrusif. Les gens ne sont pas sur ton réseau juste pour te parler à toi j’imagine.
Le
03/12/2021 à
16h
05
Pour gérer ça entre potes/famille etc. Perso c’est mon usage.
Mais oui ça reste trop confidentiel.
Après il y a des bridges vers les autres plateformes (telegram etc) mais c’est vraiment galère à mettre en place.
Oui donc tu as accès à toutes les méta-données de tes potes/famille. C’est pas très safe pour eux, sans te prêter de mauvaises intentions.
Le
03/12/2021 à
15h
45
Tu peux chiffrer de bout en bout, et tu peux te faire ton propre serveur matrix, tout en rejoignant les autres fédérations si besoin.
à part pour faire une messagerie d’entreprise, associative, je vois pas l’intérêt de matrix pour la messagerie perso.
Le
03/12/2021 à
13h
52
Merci, je me sens moins bête.
Après c’est pas parfait, on peut pas faire mieux techniquement sur les méta-données. Signal est la meilleure solution si on met le curseur et la priorité sur la confidentialité de ses échanges (et pour une messagerie personnelle, c’est la priorité).
Signal peu avoir : les ip et heures de connexions des utilisateurs, ils ont le numéro de téléphone qui a activé le compte utilisateur, et ils savent à quelle heure les utilisateurs reçoivent des messages. La fondation déclare effacer ces données et/ou ne pas les conserver. Ce sont des données techniques nécessaires au fonctionnement de la messagerie. Il déclarent conserver uniquement deux données sur les utilisateurs : le numéro et deux horodatages, le premier pour la création du compte, le second pour la dernière connexion au service. (cf https://www.nextinpact.com/article/23986/101651-signal-na-que-peu-metadonnees-a-offrir-au-fbi). Bien sûr on a pas à les croire sur parole, ni à leur faire confiance, justement. Mais au moins on sait à quoi s’en tenir.
En revanche, le modèle centralisé pose un problème d’indépendance. On est lié à la fondation Signal. Et les solutions décentralisées apportent une solution sur ce point. Après vu que Signal est opensource, on peut forker Signal en cas de problème avec eux (même si c’est pas trivial), mais ça implique de bouger les utilisateurs vers un nouveau service/application.
Le
03/12/2021 à
11h
49
Bah justement, relis mon message. Je te demande de m’expliquer justement, ce que tu n’as tjs pas fait préférant simplement rebondir par pur orgueil.
On dit pas que Session fait mieux, d’ailleurs je vois pas pourquoi tu parles de modèle décentralisé (le rapport avec les metadonnées ?), on dit que Session ne semble pas faire moins bien.
Désolé mais j’ai l’impression de me répéter. J’explique :
Déjà il faut comprendre ce qu’est une métadonnée. C’est en gros les fadettes, c’est à dire : qui et quand ils communiquent. Les modèles décentralisés émettent + de métadonnées par design. En effet, des métadonnées sont forcément émises entre les serveurs pour se synchroniser entre eux, donc les métadonnées sont multipliées. Avec un modèle centralisé, on minimise celles-ci à un seul acteur, et ça permet aussi comme le fait Signal, d’en effacer une partie. Ils arrivent à masquer l’émetteur du message, et laissent donc le minimum de métadonnées qui sont nécessaire techniquement.
Ils sont bien plus sécurisé et bien plus protecteurs des méta données. Je ne critique pas Signal qui reste un très bonne messagerie. Mais il ne faut pas non plus dire des conneries
Lol Session est sur un modèle décentralisé… Dire qu’il est plus protecteur sur les méta-données montre que vous ne comprenez pas techniquement comment ça fonctionne… Non Signal est bien plus protecteur sur les méta-données, et c’est impossible de faire mieux avec un modèle décentralisé… Faut pas dire n’importe quoi merci.
Le
02/12/2021 à
16h
06
La résistance au changement, m’en parle pas. J’ai des contacts qui cumulent Facebook messenger, whatsapp, snapshat, instagram & cie. Mais ne comprennent pas pourquoi ils devraient installer Signal…
Le
02/12/2021 à
15h
51
QTrEIX a dit:
un lambda n’en aurait pas forcément besoin, si on regarde surtout dans le cadre d’une utilisation simple, que Threema soit basé en Suisse me parait bien pour commencer.
Je ne comprends pas ce que tu veux dire. Comment ça un lambda n’en aurait pas besoin ? Absolument tout le monde en a besoin ! Et Signal répond à tous les besoins essentiels d’une messagerie, donc encourager son utilisation est essentiel.
Bien sûr il faut encourager la concurrence, et ne pas être dogmatique. C’est intéressant toutes ces solutions.
Cependant à l’heure actuelle, pour une messagerie perso, c’est incontestablement Signal qu’il faut recommander, et pas perdre les utilisateurs dans des millions de messageries. Signal fait le taff, et le fait très bien.
Le
02/12/2021 à
15h
48
Très jeune ? Ils ont démarré en 2013, je crois, donc pas tant que ça. Sinon je ne vois pas en quoi ce que tu cites n’aurait pas grand chose de sérieux
ÉDIT : 2012 en fait, soit 2 ans avant Signal, donc dire qu’ils surfent sur le sujet…
Du reste, c’est du chiffrement E2E qui a été audité plusieurs fois, même s’il n’est pas exempt de certains défauts. Qu’est-ce qu’il te fait dire qu’elle ne serait pas au niveau de Signal ?
Et, pour ce que ça vaut, elle fait partie des quatre seules applications de messagerie sécurisée recommandées par ce site
Threema me semble un projet très jeune. La structure du site, les sources, et le fait qu’il y ait un client web me fait dire que ça n’a pas grand chose de sérieux.
On dirait juste une énième application qui surfe sur le sujet. Et ça n’arrive pas au niveau de Signal en terme de sécurité.
Le
02/12/2021 à
13h
57
Tu peux utiliser le numéro de tel pro pour activer Signal sur ton smartphone personnel. Si jamais tu changes de numéro pro, c’est pas grave, c’est toujours toi qui a la main sur ton compte, et c’est verrouillé, tu peux ensuite changer le numéro de téléphone.
Le numéro de téléphone est là pour valider l’identité en premier lieu et éviter les mot de passes non sécurisés.
En revanche le fonctionnement de Signal veut que le compte maître soit sur un smartphone, et les clients complémentaires sur PC et autres device sont activés par le smartphone. C’est le smartphone le maître.
Le
02/12/2021 à
13h
34
Je comprends pas cet argument. Le numéro de téléphone est une fonctionnalité liée à la sécurité, pas une contrainte. Et tu peux utiliser Signal sur PC et tablettes.
Le
02/12/2021 à
13h
20
Xanatos a dit:
Oui Silence est “claqué” mais tout le monde n’a pas les même usages, ni la data qui va avec.
Ça je peux comprendre. Encore que en dehors des images/vidéos, Signal ne consomme rien, et pourrait tout à fait convenir avec des forfaits à 2€ et 50Mo de data par mois. Donc en vrai en France c’est pas trop une excuse.
Le
02/12/2021 à
13h
18
Je n’étais pas au courant de cette limitation concernant les mises à jour (j’active le wifi dés que je suis chez moi), merci pour la précision. J’imagine que cette limitation date de l’époque où tout le monde n’avais pas de forfait data avec X Go. Il y a plusieurs remontées sur le GitHub et le forum de Signal à ce sujet depuis des années mais ça n’a pas l’air d’être une priorité pour les développeurs.
J’imagine, le problème c’est que c’est pas réglable. Mais bon pour ma part je check directement la version de l’apk sur le site et je télécharge directement les maj.
Amusant je suis en train de passer de Silence à Signal avec un ami. Car Silence bien que parfait pour nos usages commence sérieusement à partir en vrille, nous perdons des messages, lancement difficile 1x sur 2, MMS échouent à l’envoi (lié à Auchan mobile, quand bien même).
En cherchant un peu, la demande de numéro de téléphone me semble justifiée et le croisement inter-contacts a lieu entièrement en méta-données, plusieurs articles expliquent le procédé. A l’inscription le gros recaptcha est ironique par contre…
Concernant les blobs Google, plusieurs sujets sont sur le github de Signal, on y apprend que depuis Signal possède un failover sur l’absence de google play service, ça passe en websocket
Ce qu’il reste: firebase cloud messaging (FCM) > notifications ? Maps > media cartes wallet > paiements vers ?
Certains forkent patchent de leur côté et de maintenir: GitHub
De manière globale avec toutes ces messageries mobile le POF reste les serveurs par lesquelles transitent les données et à part deltachat je ne vois pas de solution P2P qui s’affranchirait de cela.
J’utilise Signal depuis des années, et je n’ai aucun service Google sur mon téléphone.
Bref je connais le sujet, et Signal est excellent. Je ne vois pas l’intérêt de vouloir un fork. Et ceux qui en veulent un peuvent tout à fait le faire, mais sans passer par la marque et le réseau de la fondation. Bref ton message initial était pas pertinent, et la critique non plus.
sinon Silence c’est claqué, car toutes tes méta-données sont en clair pour les opérateurs réseaux…
fate1 a dit:
Et je rajouterai que si vous installez Signal via l’apk, il se met ensuite “automatiquement” à jour (faut valider l’installation de la mise à jour quand même) sans besoin d’aller re-télécharger l’apk à chaque nouvelle version.
Ouais, mais pour ça il faut activer le wifi, signal ne check pas les mises à jours sur le réseau mobile, et aucun moyen de régler ça, je ne sais pas pourquoi. Donc à vérifier régulièrement quand on a pas le wifi.
Le
02/12/2021 à
12h
08
Et moins “user friendly”. Ça paraît trivial, mais c’est un point suffisant pour empêcher l’adoption d’un outil, surtout à l’échelle du grand public.
Yes exactement. Et d’ailleurs il y a un énorme travail sur l’ergonomie pour favoriser les comportement sécurisés justement. Et le numéro de téléphone fait partie de cet ergonomie (pas de mot de passe mal sécurisé). J’aimerai bien qu’ils mettent un peu plus en avant le fait de «vérifier» ses contacts en revanche.
Le
02/12/2021 à
11h
51
mfaure a dit:
Les binaires de Signal ne sont distribués que par la Signal (l’entreprise). Toute tentative de build sur une autre plateforme que la leur a échoué (chercher “signal” dans le forum F-Droid pour s’en convaincre.
Le processus de build n’est donc pas transparent, c’est du logiciel libre dévoyé. (Cela revient à se proclamer bio, tout en refusant qu’un auditeur “AB” le vérifie.)
Sinon Element.io est transparent, gouverné par une fondation, et fonctionne bien :)
Source ?
Signal empêche juste d’utiliser son nom (sa marque) et son réseau aux clients non officiels et non validés par la fondation. Ce qui parrait être assez logique.
Et Element.io est beaucoup moins sécurisé et chie de la méta-donnée partout, contrairement à Signal. Donc c’est pas comparable.
Le
02/12/2021 à
11h
49
Le fait que Signal demande le numéro de téléphone est une sécurité supplémentaire…
Et Session & cie ne sont pas aussi sécurisés et protecteurs des méta-données que Signal.
Pour une utilisation de type messagerie perso, et petits groupes de discussion, Signal est au dessus de toute concurrence en terme de sécurité et de vie privée.
La question est de savoir si tu préfères un pays démocratique ou gouvernable. Par exemple pour la Belgique, la crise de gouvernance est la conséquence de divergence profondes dans la population. Donc c’est plutôt logique de ne pas avoir de gouvernement qui se forme tout de suite, ça n’aurait pas été démocratique (mon point de vue). Je vois pas le problème.
Le
09/11/2021 à
13h
49
(quote:1911886:127.0.0.1) En France, un parlement sans groupe majoritaire rend le pays ingouvernable (cf la IVème république).
La France n’a pas la culture du consensus, c’est donc impossible de construire une coalition. T’as qu’a voir le nombre de candidats d’une même famille/couleur politique sur la ligne de départ de l’élection présidentielle. L’intérêt individuel à moyen/long terme l’emporte sur l’intérêt collectif à court terme.
C’est pas en concentrant toujours plus les pouvoirs qu’on va la cultiver cette culture du consensus… Je ne vois absolument pas le problème d’avoir des assemblées hétérogènes, où le consensus est difficile à obtenir. Ça ne rend absolument pas le pays «ingouvernable». Prendre en exemple la IIIe ou IVe République alors que le contexte était radicalement différent semble être une fausse dichotomie. Pour ma part je serai pour une assemblée de représentants qui puissent avoir un réel contre pouvoir sur l’exécutif, et donc bloquer les choses car ça peut être pertinent.
Oui c’est compliqué les habitudes… Pourtant Signal est quasiment identique, c’est vraiment juste la résistance au changement. Et on passe pour le relou de service en insistant.
Le
04/11/2021 à
09h
58
Les données qu’a facebook sur ses utilisateurs sont beaucoup beaucoup plus importantes (dans les deux sens : en quantité et en intrusion dans la vie privée) que seulement avec qui et quand ils communiquent…
Je dis pas le contraire, je dis juste que avoir tes métadonnées et contenu de toute ta messagerie, c’est déjà énorme et assez inquiétant. Et même juste en utilisant la messagerie avec un bridge, on peut avoir :
heures d’activité
carnet d’adresse
pondération de ton cercle d’amis
contenu de tes messages
localisation (si pas de bridge)
Bref, tout ce qui est nécessaire pour assoir un parfait petit État autoritaire. Avec ceci tu peux contrôler toute une population.
Le
03/11/2021 à
16h
34
Euh… bon je pense que la discussion peut s’arrêter là si on est pas d’accord sur les proportions de données que tu “fuites” dans un cas par rapport à l’autre. Si on les liste je suis prêt à parier qu’on se retrouve avec une liste interminable d’une part vs 4-5 lignes de l’autre.
Comme tu le dis le recoupement, quand bien même tu te protèges, tes contacts remontes des données, c’est toute la chaine qui est à jeter.
Le fait d’avoir un bridge avec les services en question fait que les services en questions ne peuvent plus faire de recoupement entre les différents services (Meta ne peut pas faire le lien entre la conversation d’un “Pierre” sur messenger publié via un bridge matrix vs un “P.” sur une autre discussion Instagram) : ça devient nécessairement 2 personnes distinctes.
Et non partager ses métadonnées de conversation à une boite privée ça n’est pas acceptable du tout, et ça n’est pas «mieux» de pas donner sa localisation, ça n’a pas de sens.
Homme de paille, je n’ai jamais dit que c’était “acceptable”. C’est juste que la vie privée -comme tout- est histoire de compromis. Oui c’est pas acceptable. Non certains ne peuvent pas se permettre de l’éviter pour communiquer avec leurs proches. Même avec toute la mauvaise foi du monde, on ne peux pas dire que partager 3 types de données c’est tout pareil que d’en partager 50 différentes. Mais bon c’est là où je dis qu’on pourra pas se mettre d’accord si toi tu décides de considérer que c’est du “49 types de données” vs “50 types de données” là où mon diagnostic est qu’on passe plutôt vers 5 types de données en moins (genre -90% à la louche quoi).
Nan mais sur le principe ok, c’est moins de données, mais ça reste inutile pour moi. Ils ont déjà tellement de données sur toi avec tes contacts et ta messagerie + les recoupements avec tes contacts qui se protègent pas, etc. C’est peanuts comme protection. Savoir avec qui tu échanges et quand étant probablement les informations les plus privées (en dehors du contenu des échanges, auquel ils accèdent aussi vu que c’est pas chiffré…). Bref pour moi c’est parfaitement inutile.
Le
03/11/2021 à
15h
31
Tu fais depuis le début un sophisme de la solution (im)parfaite. Il est incontestable que la solution de prog-amateur limite déjà 10 fois plus le partage et la propagation de données persos aux services concernés. Et ce rien que par le fait de ne pas de posséder de comptes sur les-dites plateformes (ça doit bien dégager 90+% des données qu’ils soulèvent). D’autant plus quand on regarde les synergies qui permettent à des acteurs comme facebook de faire du recoupement de données, qui est là l’essentiel de ce qu’ils récupèrent Typiquement avec arbre des contacts d’un utilisateur donné recoupé entre ses comptes whatsapp, instagram, facebook, messenger + tout autre service connecté via facebook (disqus…).
Donc franchement, dans le cas -hautement probable et compréhensible- d’incapacité à quitter totalement ces plateformes parce qu’il y a un truc qui s’appelle des “proches” qui eux ne le veulent pas et restent à communiquer dessus, et bien la solution de prog-amateur est totalement recevable et sans aucun doute une des plus intéressantes dans le genre.
D’ailleurs je suis sûr qu’on peut gouaquer une partie des métadatas, typiquement sur l’IP qu’on donne (donc adios la localisation, qui est une des données les plus importantes encore une fois pour leurs croisements de données).
Tu es en train de comparer une bombe H de 100Mt à une bombe H de 99Mt, et tu me dis que l’une est moins dangereuse que l’autre pour nous, c’est ce niveau de comparaison…
Comme tu le dis le recoupement, quand bien même tu te protèges, tes contacts remontes des données, c’est toute la chaine qui est à jeter. Et non partager ses métadonnées de conversation à une boite privée ça n’est pas acceptable du tout, et ça n’est pas «mieux» de pas donner sa localisation, ça n’a pas de sens.
Le
03/11/2021 à
12h
04
(reply:1911181:prog-amateur)
La localisation n’est pas une métadonnée plus «critique» que les métadonnées de tes messages. Et la plupart du temps, on peut déterminer ta localisation avec ton IP. Personnellement je ne trouve pas que ça soit «mieux» pour tes métadonnées, c’est mieux de ne pas avoir une application spyware sur son téléphone, mais tu n’es pas spécialement mieux protégé.
Le mieux c’est de ne pas utiliser facebook.
Le
03/11/2021 à
11h
05
(quote:1911147:prog-amateur) Hello, d’un côté, je suis d’accord (lorsque tu converses avec un serveur public ou que tu fédères ton serveur par exemple), et de l’autre non : lorsque tu héberges un serveur tu peux également parler à quelqu’un qui héberge aussi son propre serveur pour lui ou un groupe en qui tu as confiance (amis, famille, etc.).
Si chacun a son serveur personnel fédéré, c’est les FAI qui ont donc accès à TOUTES les métadonnées…
Ensuite, avec un bridge Whatsapp par exemple comme l’a dit Guillaume_, tu minimises les données envoyées à Facebook parce l’application Whatsapp n’est pas installée sur ton smartphone donc l’entreprise n’a ni accès à ta localisation, ni accès à ton répertoire, ni accès à ton agenda, ni accès à ton surf web, etc.
Ok sur ce point, mais Facebook a quand même accès à toutes les métadonnées de tes messages.
Alors, oui, elle a accès à qui tu parles, à quel heure tu lui parles, à quelle fréquence tu lui parles, etc. mais cela, presque toutes les applis de messagerie ont ces infos. C’est en ce sens que je trouve l’idée du bridge utile, c’est un équilibre entre je donne quelques données, mais pas toutes et je peux parler à plusieurs plate-formes sans les avoir installées sur mon smartphone.
Euh non dans le cas présent, si tu utilises facebook (whatsapp) via un bridge facebook a accès à toutes tes métadonnées de messages (quand, qui…).
Le
03/11/2021 à
10h
22
Je ne maitrise pas assez le sujet pour dire si tu a tords ou raison, mais dans l’utilisation que j’en fait, uniquement en tant que bridge Messenger signal, et auto hébergé, je dirais que ca n’est pas un problème pour ma part.
Évidemment que j’ai raison… La décentralisation c’est étaler des métadonnées partout, c’est bien pour ça que Signal a choisi une architecture centralisée, pour qu’il n’y ai qu’un acteur ayant accès aux métadonnées, et ça leur permet de les minimiser.
Euh si tu héberges ton serveur, comment tu contactes les autres sur un différent serveur ? En donnant les métadonnées à un tiers qui n’est pas toi, donc tu n’es pas protégé.
Le
02/11/2021 à
22h
30
Bon sang, ça me fait plaisir de voir Matrix mentionné dans une discussion sur ce sujet ! Sécurisé, open source, décentralisé … techniquement, ce protocol a tout pour lui. Il lui manque juste de la simplicité (UI / UX, simplicité d’hebergement, …), et une visibilité du même ordre que ses concurrents. A cause de ça, il reste très confidentiel :-(.
non c’est de la merde pour les métadonnées et donc la confidentialité. Le modèle décentralisé est le pire.
2810 commentaires
La messagerie sécurisée Olvid passe en open source
03/01/2022
Le 04/01/2022 à 09h 11
En quoi ne pas associer ton numéro améliore ta sécurité ? Et bon les arguments d’autorité tu peux les garder.
Le 03/01/2022 à 13h 52
Ben justement, Signal arrive à les minimiser, ce qui est vraiment cool.
Le 03/01/2022 à 13h 52
Je comprends ce que tu veux dire, mais avoir une sécurité maximum par défaut c’est normal (secret d’état ou pas). Pas sur que Olvid soit plus sécurisé que Signal en revanche.
Le 03/01/2022 à 12h 18
Il faut arrêter avec ce genre d’affirmation. Tout le monde a droit à une vie privée, peut importe de quoi tu parles ou à qui. Et pour les messageries c’est un problème collectif et pas individuel. Évidemment que si Facebook ou le gouvernement avait accès qu’à tes conversations à toi, ça aurait pas grande valeur. En revanche le fait qu’ils aient accès à celles de tout le monde leur donne énormément de pouvoir : manipulation de l’opinion (faire élire qui ils veulent par exemple), prédiction d’une révolution (si la population ne peux plus se révolter, est-on encore libre ?), etc.
Le 03/01/2022 à 12h 05
quid des métadonnées ? Ça m’étonnerait fort qu’elle soient aussi sécurisées que sur Signal vu l’architecture de cette messagerie.
Le 03/01/2022 à 11h 18
On dirait un scam cette app.
Et du coup, ça permet d’utiliser des mdp complètement à chier, et donc ça baisse ta sécurité.
La Chine et l’Agence spatiale européenne se plaignent de SpaceX
04/01/2022
Le 04/01/2022 à 09h 09
Va peut être falloir un jour les stopper les milliardaires débiles et mégalo. Ce qu’ils font ne sert à rien. Musk est complètement ravagé par la connerie.
La Chine surveille aussi les réseaux sociaux occidentaux
03/01/2022
Le 03/01/2022 à 11h 19
Ce message est approuvé par le PCC
Intel va proposer un produit dédié aux crypto-monnaies
24/12/2021
Le 24/12/2021 à 13h 54
Ça serait pas plus simple d’interdire les crypto à un moment donné ? Je suis plutôt un enthousiaste de la technologie, mais là au bout d’un moment, à quoi ça sert ? À part aider à la criminalité et consommer une énergie folle, ça ne sert à rien.
Assange : la justice britannique rouvre la possibilité d’une extradition
10/12/2021
Le 11/12/2021 à 16h 12
J’ai comme un doute. Le Royaume-Uni c’est quand même le 51ème état des USA.
Le 10/12/2021 à 15h 04
Merci pour ce super article détaillé ! Et merci pour la transparence de son auteur !
Les anglais sont des enfoirés sinon. Cette histoire est un scandale, j’espère vraiment que Assange sera libre un jour… Un peu d’espoir…
Tor appelle à l’aide pour répondre à sa censure en Russie
09/12/2021
Le 09/12/2021 à 11h 00
Ben le plus important c’est les noeuds intermédiaires en fait. Les sites peuvent très bien héberger leur service via Tor, sans repasser sur le réseau classique. Pas forcément besoin de noeud de sortie.
Firefox 95 est disponible (même sur le Microsoft Store), avec RLBox
08/12/2021
Le 08/12/2021 à 18h 32
J’ai pas un usage classique d’un navigateur. Mais pour 99% des cas Firefox fait le boulot, en plus de rajouter quelques protections.
Le 08/12/2021 à 18h 31
mdr oui oui bien sûr.
Vu qu’il n’y a pas de différences fonctionnelles comme tu dis, 99% des usages courants sont couverts, juste que Firefox envoie pas ton historique à google.
Le 08/12/2021 à 16h 24
Parce que tout le monde s’en fou des autres navigateurs, ils ont rien de particulier à part une interface personnalisable surcouche de chrome, et leurs mouchards maisons.
Firefox dépasse largement Chrome pour mon usage, je comprends même pas pourquoi tout le monde n’est pas dessus (en dehors évidemment des rares qui ont des problèmes avec, et pas avec Chrome, qui se retrouvent bizarrement tous sur les news firefox).
Le 08/12/2021 à 14h 13
Toujours des raleurs sur les news de Firefox. Yen a qui ont même le culot de gueuler que ça fonctionne mal sur une plateforme qui n’est plus supportée !
Ça ose tout…
Signal lance un appel à soutiens et rappelle ses bonnes pratiques en matière d’abonnement
02/12/2021
Le 03/12/2021 à 16h 43
oui mais tes potes se parlent peut être entre eux.
Et non le chiffrement de bout en bout ne chiffre pas les méta-données. C’est pas possible de chiffrer les méta-données. Donc tu peux techniquement voir qui parle avec qui et quand. Et également avoir leurs ip.
Le 03/12/2021 à 16h 20
Ben pour eux si, c’est un tiers. Peut être qu’ils te font + confiance qu’à facebook, reste que tu peux savoir qui communique avec qui et quand. C’est très intrusif. Les gens ne sont pas sur ton réseau juste pour te parler à toi j’imagine.
Le 03/12/2021 à 16h 05
Oui donc tu as accès à toutes les méta-données de tes potes/famille. C’est pas très safe pour eux, sans te prêter de mauvaises intentions.
Le 03/12/2021 à 15h 45
à part pour faire une messagerie d’entreprise, associative, je vois pas l’intérêt de matrix pour la messagerie perso.
Le 03/12/2021 à 13h 52
Après c’est pas parfait, on peut pas faire mieux techniquement sur les méta-données.
Signal est la meilleure solution si on met le curseur et la priorité sur la confidentialité de ses échanges (et pour une messagerie personnelle, c’est la priorité).
Signal peu avoir : les ip et heures de connexions des utilisateurs, ils ont le numéro de téléphone qui a activé le compte utilisateur, et ils savent à quelle heure les utilisateurs reçoivent des messages. La fondation déclare effacer ces données et/ou ne pas les conserver. Ce sont des données techniques nécessaires au fonctionnement de la messagerie. Il déclarent conserver uniquement deux données sur les utilisateurs : le numéro et deux horodatages, le premier pour la création du compte, le second pour la dernière connexion au service. (cf https://www.nextinpact.com/article/23986/101651-signal-na-que-peu-metadonnees-a-offrir-au-fbi). Bien sûr on a pas à les croire sur parole, ni à leur faire confiance, justement. Mais au moins on sait à quoi s’en tenir.
En revanche, le modèle centralisé pose un problème d’indépendance. On est lié à la fondation Signal. Et les solutions décentralisées apportent une solution sur ce point. Après vu que Signal est opensource, on peut forker Signal en cas de problème avec eux (même si c’est pas trivial), mais ça implique de bouger les utilisateurs vers un nouveau service/application.
Le 03/12/2021 à 11h 49
Désolé mais j’ai l’impression de me répéter. J’explique :
Déjà il faut comprendre ce qu’est une métadonnée. C’est en gros les fadettes, c’est à dire : qui et quand ils communiquent. Les modèles décentralisés émettent + de métadonnées par design. En effet, des métadonnées sont forcément émises entre les serveurs pour se synchroniser entre eux, donc les métadonnées sont multipliées. Avec un modèle centralisé, on minimise celles-ci à un seul acteur, et ça permet aussi comme le fait Signal, d’en effacer une partie. Ils arrivent à masquer l’émetteur du message, et laissent donc le minimum de métadonnées qui sont nécessaire techniquement.
L’article qui explique pourquoi Signal a choisi le modèle centralisé explique bien la problématique :
https://signal.org/blog/the-ecosystem-is-moving/
Le 03/12/2021 à 11h 13
Lol Session est sur un modèle décentralisé… Dire qu’il est plus protecteur sur les méta-données montre que vous ne comprenez pas techniquement comment ça fonctionne… Non Signal est bien plus protecteur sur les méta-données, et c’est impossible de faire mieux avec un modèle décentralisé… Faut pas dire n’importe quoi merci.
Le 02/12/2021 à 16h 06
La résistance au changement, m’en parle pas. J’ai des contacts qui cumulent Facebook messenger, whatsapp, snapshat, instagram & cie. Mais ne comprennent pas pourquoi ils devraient installer Signal…
Le 02/12/2021 à 15h 51
Je ne comprends pas ce que tu veux dire. Comment ça un lambda n’en aurait pas besoin ? Absolument tout le monde en a besoin ! Et Signal répond à tous les besoins essentiels d’une messagerie, donc encourager son utilisation est essentiel.
Bien sûr il faut encourager la concurrence, et ne pas être dogmatique. C’est intéressant toutes ces solutions.
Cependant à l’heure actuelle, pour une messagerie perso, c’est incontestablement Signal qu’il faut recommander, et pas perdre les utilisateurs dans des millions de messageries. Signal fait le taff, et le fait très bien.
Le 02/12/2021 à 15h 48
Le fait qu’ils sont négatif à «Is the code open to independent review? » cf https://www.eff.org/fr/pages/secure-messaging-scorecard
Le 02/12/2021 à 14h 55
Threema me semble un projet très jeune. La structure du site, les sources, et le fait qu’il y ait un client web me fait dire que ça n’a pas grand chose de sérieux.
On dirait juste une énième application qui surfe sur le sujet. Et ça n’arrive pas au niveau de Signal en terme de sécurité.
Le 02/12/2021 à 13h 57
Tu peux utiliser le numéro de tel pro pour activer Signal sur ton smartphone personnel. Si jamais tu changes de numéro pro, c’est pas grave, c’est toujours toi qui a la main sur ton compte, et c’est verrouillé, tu peux ensuite changer le numéro de téléphone.
Le numéro de téléphone est là pour valider l’identité en premier lieu et éviter les mot de passes non sécurisés.
En revanche le fonctionnement de Signal veut que le compte maître soit sur un smartphone, et les clients complémentaires sur PC et autres device sont activés par le smartphone. C’est le smartphone le maître.
Le 02/12/2021 à 13h 34
Je comprends pas cet argument. Le numéro de téléphone est une fonctionnalité liée à la sécurité, pas une contrainte. Et tu peux utiliser Signal sur PC et tablettes.
Le 02/12/2021 à 13h 20
Ça je peux comprendre. Encore que en dehors des images/vidéos, Signal ne consomme rien, et pourrait tout à fait convenir avec des forfaits à 2€ et 50Mo de data par mois. Donc en vrai en France c’est pas trop une excuse.
Le 02/12/2021 à 13h 18
J’imagine, le problème c’est que c’est pas réglable. Mais bon pour ma part je check directement la version de l’apk sur le site et je télécharge directement les maj.
Le 02/12/2021 à 12h 45
J’utilise Signal depuis des années, et je n’ai aucun service Google sur mon téléphone.
Bref je connais le sujet, et Signal est excellent. Je ne vois pas l’intérêt de vouloir un fork. Et ceux qui en veulent un peuvent tout à fait le faire, mais sans passer par la marque et le réseau de la fondation. Bref ton message initial était pas pertinent, et la critique non plus.
sinon Silence c’est claqué, car toutes tes méta-données sont en clair pour les opérateurs réseaux…
Ouais, mais pour ça il faut activer le wifi, signal ne check pas les mises à jours sur le réseau mobile, et aucun moyen de régler ça, je ne sais pas pourquoi. Donc à vérifier régulièrement quand on a pas le wifi.
Le 02/12/2021 à 12h 08
Yes exactement. Et d’ailleurs il y a un énorme travail sur l’ergonomie pour favoriser les comportement sécurisés justement. Et le numéro de téléphone fait partie de cet ergonomie (pas de mot de passe mal sécurisé). J’aimerai bien qu’ils mettent un peu plus en avant le fait de «vérifier» ses contacts en revanche.
Le 02/12/2021 à 11h 51
Source ?
Signal empêche juste d’utiliser son nom (sa marque) et son réseau aux clients non officiels et non validés par la fondation. Ce qui parrait être assez logique.
Et Element.io est beaucoup moins sécurisé et chie de la méta-donnée partout, contrairement à Signal. Donc c’est pas comparable.
Le 02/12/2021 à 11h 49
Le fait que Signal demande le numéro de téléphone est une sécurité supplémentaire…
Et Session & cie ne sont pas aussi sécurisés et protecteurs des méta-données que Signal.
Pour une utilisation de type messagerie perso, et petits groupes de discussion, Signal est au dessus de toute concurrence en terme de sécurité et de vie privée.
Une coalition attaque Microsoft sur le terrain de la concurrence, réclamant des règles du jeu équitable
29/11/2021
Le 29/11/2021 à 09h 17
Ça fait longtemps que MS aurait du se faire scier en plusieurs morceaux. Antitrust il faut l’appliquer à un moment.
« *Confidentialité non incluse » : Mozilla publie son guide d’achat pour les fêtes de fin d’année
22/11/2021
Le 22/11/2021 à 13h 37
L’usage du téléphone portable, bientôt circonstance aggravante en cas d’homicide routier ?
17/11/2021
Le 17/11/2021 à 10h 59
idem…
YouTube cache le décompte des « je n’aime pas », le bouton reste en place
12/11/2021
Le 12/11/2021 à 09h 31
Si ils étaient cohérent ils supprimeraient aussi le like qui engendre un biais de confirmation
Le projet de loi Vigilance sanitaire adoptée par l’Assemblée nationale, le Conseil constitutionnel déjà saisi
08/11/2021
Le 09/11/2021 à 14h 14
La question est de savoir si tu préfères un pays démocratique ou gouvernable. Par exemple pour la Belgique, la crise de gouvernance est la conséquence de divergence profondes dans la population. Donc c’est plutôt logique de ne pas avoir de gouvernement qui se forme tout de suite, ça n’aurait pas été démocratique (mon point de vue). Je vois pas le problème.
Le 09/11/2021 à 13h 49
C’est pas en concentrant toujours plus les pouvoirs qu’on va la cultiver cette culture du consensus…
Je ne vois absolument pas le problème d’avoir des assemblées hétérogènes, où le consensus est difficile à obtenir. Ça ne rend absolument pas le pays «ingouvernable». Prendre en exemple la IIIe ou IVe République alors que le contexte était radicalement différent semble être une fausse dichotomie. Pour ma part je serai pour une assemblée de représentants qui puissent avoir un réel contre pouvoir sur l’exécutif, et donc bloquer les choses car ça peut être pertinent.
Stadia bouge encore et détaille ses nouveautés d’octobre
05/11/2021
Le 05/11/2021 à 09h 16
Il est pas encore fermé ce service ?
Signal rappelle à la Justice qu’elle ne sait toujours rien de ses utilisateurs
02/11/2021
Le 04/11/2021 à 12h 55
Oui c’est compliqué les habitudes… Pourtant Signal est quasiment identique, c’est vraiment juste la résistance au changement. Et on passe pour le relou de service en insistant.
Le 04/11/2021 à 09h 58
Je dis pas le contraire, je dis juste que avoir tes métadonnées et contenu de toute ta messagerie, c’est déjà énorme et assez inquiétant. Et même juste en utilisant la messagerie avec un bridge, on peut avoir :
Bref, tout ce qui est nécessaire pour assoir un parfait petit État autoritaire. Avec ceci tu peux contrôler toute une population.
Le 03/11/2021 à 16h 34
Nan mais sur le principe ok, c’est moins de données, mais ça reste inutile pour moi. Ils ont déjà tellement de données sur toi avec tes contacts et ta messagerie + les recoupements avec tes contacts qui se protègent pas, etc. C’est peanuts comme protection. Savoir avec qui tu échanges et quand étant probablement les informations les plus privées (en dehors du contenu des échanges, auquel ils accèdent aussi vu que c’est pas chiffré…). Bref pour moi c’est parfaitement inutile.
Le 03/11/2021 à 15h 31
Tu es en train de comparer une bombe H de 100Mt à une bombe H de 99Mt, et tu me dis que l’une est moins dangereuse que l’autre pour nous, c’est ce niveau de comparaison…
Comme tu le dis le recoupement, quand bien même tu te protèges, tes contacts remontes des données, c’est toute la chaine qui est à jeter. Et non partager ses métadonnées de conversation à une boite privée ça n’est pas acceptable du tout, et ça n’est pas «mieux» de pas donner sa localisation, ça n’a pas de sens.
Le 03/11/2021 à 12h 04
La localisation n’est pas une métadonnée plus «critique» que les métadonnées de tes messages. Et la plupart du temps, on peut déterminer ta localisation avec ton IP. Personnellement je ne trouve pas que ça soit «mieux» pour tes métadonnées, c’est mieux de ne pas avoir une application spyware sur son téléphone, mais tu n’es pas spécialement mieux protégé.
Le mieux c’est de ne pas utiliser facebook.
Le 03/11/2021 à 11h 05
Si chacun a son serveur personnel fédéré, c’est les FAI qui ont donc accès à TOUTES les métadonnées…
Ok sur ce point, mais Facebook a quand même accès à toutes les métadonnées de tes messages.
Euh non dans le cas présent, si tu utilises facebook (whatsapp) via un bridge facebook a accès à toutes tes métadonnées de messages (quand, qui…).
Le 03/11/2021 à 10h 22
Évidemment que j’ai raison… La décentralisation c’est étaler des métadonnées partout, c’est bien pour ça que Signal a choisi une architecture centralisée, pour qu’il n’y ai qu’un acteur ayant accès aux métadonnées, et ça leur permet de les minimiser.
Lire ceci:
https://signal.org/blog/the-ecosystem-is-moving/
Euh si tu héberges ton serveur, comment tu contactes les autres sur un différent serveur ? En donnant les métadonnées à un tiers qui n’est pas toi, donc tu n’es pas protégé.
Le 02/11/2021 à 22h 30
non c’est de la merde pour les métadonnées et donc la confidentialité. Le modèle décentralisé est le pire.