PROJET AUTOBLOG


shaarli-Liens en vrac de sebsauvage

Site original : shaarli-Liens en vrac de sebsauvage

⇐ retour index

Applications de messagerie chiffrée: Pourquoi je recommande Signal et non Telegram

mardi 22 décembre 2015 à 10:29
Telegram fait la une, ces derniers temps, et gagne en popularité (http://www.numerama.com/tech/135415-whatsapp-bloque-au-bresil-telegram-gagne-15-millions-dutilisateurs.html).
Pourtant, si je devais vous recommander une application de communication chiffrée, ce serait plutôt Signal.

Je ferai abstraction des très nombreuses critiques concernant la crypto de Telegram (car ils prennent grand soin de répondre à chaque point levé), et je pense qu'ils ont de bonnes intentions, mais il reste un problème à mes yeux: Ils ont la possibilité de déchiffrer vos messages. Dit autrement: ce n'est pas du chiffrement de bout en bout par défaut, sauf si vous utilisez la fonction «Secret chat». C'est d'ailleurs grâce à cela que Telegram peut aussi exister aussi en version "web" et "desktop" (ce qui n'est pas le cas de Signal).
https://telegram.org/faq#q-so-how-do-you-encrypt-data
https://telegram.org/faq#q-how-are-secret-chats-different
(D'ailleurs, c'est visible ici: https://www.eff.org/secure-messaging-scorecard)

Donc ça me met un peu mal à l'aise. Non que le logiciel soit de mauvaise qualité, mais les utilisateurs penseront être en train de discuter en toute confidentialité alors que ce n'est pas le cas.
(Même si la société Telegram est allemande, donc a priori un peu moins sujette aux demandes abusives qu'une société américaine.)

Signal est lui, par défaut, chiffré de bout en bout.
Une fois installé, il s'intègre à Android: quand vous sélectionnez un contact, vous pouvez passer un appel normal, un appel chiffré ou envoyer un message chiffré.
En plus de la messagerie chiffrée, il peut optionnellement aussi prendre en charge vos SMS, même s'il ne fait plus de chiffrement des SMS (comme SMSSecure le fait: http://sebsauvage.net/bon-android/?d=2015/09/16/19/35/06).

Pourtant Signal a aussi ses problèmes.
- Tout comme Telegram, si pas de WiFi/3G à portée, alors pas d'échange de message possible.
- Tout comme Telegram, Signal exige l'entrée de votre numéro de téléphone. Utilisation donc a priori impossible sur tablette (et bien entendu sur desktop).
- Les messages sont bien chiffrés de bout en bout, mais le développeur utilise les services GooglePlay (GCM: Google Cloud Messaging) pour les transférer d'un téléphone à l'autre. (Telegram passe par ses propres serveurs.)
- Conséquence: Distribution impossible de l'application sur F-Droid.

On est donc encore loin d'une situation idéale. Pourtant Signal me semble encore pour le moment un meilleur choix que Telegram en tant que messagerie chiffrée simple d'emploi.

Concernant le code de Signal, je suis tombé sur divers articles de cryptographes et développeurs qui ont examiné le code source, et qui sont visiblement restés pantois face à la qualité du code et au soin apporté à la sécurité. C'est plutôt bon signe. Le code de Signal a déjà largement été passé en revue.

Il reste bien sûr encore d'autres pistes à explorer: ChatSecure (OTR+XMPP, capable de se connecter au serveur XMPP de votre choix en sus, et même passer par TOR), SilentCircle (que je n'ai pas regardé).


Voici les applications pour smartphones ayant reçu les meilleures notes de l'EFF.
 - Signal : https://play.google.com/store/apps/details?id=org.thoughtcrime.securesms
 - Telegram (en mode «Secret chat») : https://play.google.com/store/apps/details?id=org.telegram.messenger
 - ChatSecure : https://play.google.com/store/apps/details?id=info.guardianproject.otr.app.im
 - SilentCircle : https://play.google.com/store/apps/details?id=com.silentcircle.silentphone

A noter également:
- Signal : à but non lucratif basée au États-Unis : https://whispersystems.org/
- Telegram : société à responsabilités limitée, sur le sol allemand : http://telegram.org/
- ChatSecure : opensource. Tenu par un collectif international : https://guardianproject.info/
- SilentCircle : société commerciale (Suisse) fondée entre autre par l'auteur de PGP : https://www.silentcircle.com/

Tous sont à sources ouverts (ce qui est une condition sine qua none pour la sécurité).

Mon regret: Tous passent par des serveurs tiers (même si ChatSecure vous permet d'utiliser le serveur XMPP de votre choix).  A quand une messagerie qui utilise la DHT (comme le fait RetroShare) ?  Est-ce seulement viable en 3G ?


EDIT: Oh là... gros changements prévus côté ChatSecure (refonte du coeur de l'appli + sortie d'une version simplifiée Zom), et aussi l'implémentation d'un des protocoles de Signal.
Voir: https://chatsecure.org/blog/chatsecure-core/
et : https://chatsecure.org/blog/chatsecure-conversations-zom/
Ça vaut peut-être le coup d'attendre la nouvelle version.

EDIT: sur le même sujet: https://recode.net/2015/12/21/is-your-messaging-app-encrypted/
(Permalink)

Bio Menace sur GOG.com

mardi 22 décembre 2015 à 06:50
Encore un jeu gratuit sur GOG.  :)
(Permalink)

Filebin.net - Online storage at your fingertips

lundi 21 décembre 2015 à 13:59
Si vous avez besoin de transférer un fichier à quelqu'un et que vous n'avez pas de cloud perso, filebin.net marche très bien.
Interface propre, pas de limite de taille, conservé 30 jours par défaut, page d'admin pour supprimer des fichiers ou changer la date d'expiration (1 semaine à 1 an). Possibilité de mettre le lien en lecture/écriture: ceux qui ont le lien peuvent aussi uploader des fichiers.
La raison pour laquelle je signale ça, c'est que ce service marche bien aussi avec les navigateurs mobiles (vous pouvez par exemple envoyer le lien par SMS quand les attachements mail ne suffisent pas).
C'est un service simple, efficace et qui ne fait pas chier.
(Bien sûr, pour la confidentialité, pensez à chiffrer vos fichiers si besoin.)
(Permalink)

Virtual Machine (VM), Windows Virtual PC & BrowserStack : Microsoft Edge Dev

lundi 21 décembre 2015 à 13:53
Lien pour téléchager des machines virtuelles Windows (de XP à Windows 10) légales.  (Oui, légales: Ces machines expirent au bout 90 jours.)
Pratique pour tester rapidement quelque chose sous Windows dans VirtualBox.
(Permalink)

De la démocratie et des systèmes de vote - LinuxFr.org

lundi 21 décembre 2015 à 09:38
(via http://orangina-rouge.org/shaarli/?Z0PU2A)
(Permalink)

Un jour autrement | What a wonderful world

lundi 21 décembre 2015 à 09:10
On a tous besoin d'amour, de tendresse, d'attention.  Passez de bonnes fêtes.
(Permalink)

Le CiNéMa Club

lundi 21 décembre 2015 à 08:57
En dehors du fait qu'il y a du javascript qui plante et qu'il faut couper votre bloqueur de pub pour voir le site, voici un site qui propose un film gratuit par semaine. C'est une sorte de "CinéClub" gratuit.
Article sur ce site: http://cheekmagazine.fr/culture/marie-louise-khondji-cinema-club-gratuit-en-ligne/
(Permalink)

FireCode

lundi 21 décembre 2015 à 08:52
Encore une police de caractères spéciale pour développeurs, mais cette fois avec des ligatures.
Je suis en train de me demander si les ligatures sont vraiment pertinentes pour un développeur ?
Par exemple le comptage du nombre de # successifs devient plus difficile au premier coup d’œil.
Mouais, à voir...
(Permalink)

A la loupe : Le site Wikistrike.com | La vérité perdue

lundi 21 décembre 2015 à 08:51
Je me met ça de côté. Méfiez-vous du site Wikistrike.
(via http://lehollandaisvolant.net/?id=20151220105928)
(Permalink)

Sida : comment ils ont piégé les conspirationnistes | La vérité perdue

lundi 21 décembre 2015 à 08:40
à voir.
(via http://www.mypersonnaldata.eu/shaarli/?AYHH7Q)
(Permalink)

Liste - Le PS en actes

lundi 21 décembre 2015 à 08:34
Gouvernement « de gauche » ???  Mon cul...
Bref, ce gouvernement pue. Et fortement.
(via http://sammyfisherjr.net/Shaarli/?lhsDJQ)

EDIT: Et dans le même genre: http://el-pourrito.blogspot.fr/2015/12/mesdames-et-messieurs-la-gauche.html (via http://www.mypersonnaldata.eu/shaarli/?ZYPFmw)
(Permalink)

http://readityourself.net/

samedi 19 décembre 2015 à 23:23
Aaaahh!!!... j'avais paumé l'URL de ce service.
Collez l'URL d'une page, et il vous donne la version "propre", sans bandeaux, publicités et autres merde, prêt à imprimer (ou sauvegarder).
(Permalink)

à la une - Accès limité - e-alsace

samedi 19 décembre 2015 à 19:06
« En choisissant de s’allier avec Apple, la Bibliothèque nationale de France (BnF) met à disposition du public 10 000 livres libres de droits numérisés au format ePub. »
Apple ? La même société qui interdit qu'on utilise le mot "libre" quand on publie un livre chez elle ? (http://www.numerama.com/magazine/23939-sur-itunes-un-auteur-ne-peut-pas-dire-son-livre-libre-maj.html)
La BnF a de la merde dans les yeux.
(Permalink)

La Guerre de la Crypto n’aura pas lieu, mais ça risque de piquer quand même : Reflets

samedi 19 décembre 2015 à 09:57
(Permalink)

Je ne publierai plus chez toi (lettre ouverte à Apple) | Framablog

vendredi 18 décembre 2015 à 22:04
(Permalink)

Christine Boutin condamnée à 5 000 euros d’amende pour avoir qualifié l’homosexualité d’« abomination »

vendredi 18 décembre 2015 à 21:53
Ah c'est bien ! Mais c'est une goutte d'eau dans le torrent d'insanité que débitent les politiques et médias sur les diverses minorités (ethniques, religieuses, culturelles, sociales...).
(Permalink)

La SNCF empêche l'achat de billets de trains TER sous Linux - Tech - Numerama

vendredi 18 décembre 2015 à 21:51
Grosse bande de boulets. Quel chef de projet informatique a pu penser qu'en 2016 ce genre de chose était encore acceptable ?
(Permalink)

Twitter s'enfonce en bourse faute de vision convaincante - Business - Numerama

vendredi 18 décembre 2015 à 20:26
Et je pense qu'il faut s'attendre à un peu plus de merde dans vos timelines... :-/
(Permalink)

Windows – Comment bloquer les mises à jour automatiques «

vendredi 18 décembre 2015 à 20:24
Sous le coude pour les utilisateurs de Windows: http://www.site2unblock.com/win-updates-disabler/
(Permalink)

Blackberry s'oppose au chiffrement de bout en bout - Business - Numerama

vendredi 18 décembre 2015 à 11:03
Il suffit de retirer « de bout en bout ». Blackberry s'oppose au chiffrement tout court.
Si c'est censé être chiffré entre Alice et Bob, et que quelqu'un au milieu peu déchiffrer, alors la sécurité ne vaut *rien*.
Au moins je sais que je n'achèterai jamais de produits Blackberry.
(Permalink)