Signal, une application sécurisée? Pas du tout…

Temps de lecture : 2 minutes

Après la vague de censure qui s’est abattue sur les réseaux sociaux, et notamment celle de Twitter, voilà qu’un nouveau scandale fait le buzz.  Whatsapp a modifié ses conditions générales, permettant le partage entre toutes les plateformes du groupe Facebook des données de l’application.

Les utilisateurs sont logiquement furieux, et je vois de plus en plus d’appels à quitter Facebook pour aller vers Signal, dont tout le monde, à commencer par les médias mainstream nous disent qu’elle est très sécurisée…

Qu’en est-il?

Ce serait plutôt le contraire, Signal est un appeau, et vous, vous êtes les canards.  Cet article est une brève, je n’ai pas l’intention de rentrer ici dans les détails, alors même que je l’avais déjà fait voici 5 ans, dans mon article intitulé Signal Private Messenger – Un cas d’école.  Je vous conseille de le lire même si je sais bien que les plus pressés d’entre vous ne prendront sans doute pas la peine de le faire.

Petit best of des mauvaises pratiques de Signal

  • La première chose qu’on vous demande, c’est votre numéro de téléphone.  En quoi est-ce qu’une application de messagerie instantanée via internet aurait besoin de ceci si ce n’était pour s’assurer de votre identité?  Signal nous précise que « les données demandées ne seront pas enregistrées ».  Oui mais alors pourquoi les demander? 
  • Signal possède la liste de tous les utilisateurs de l’application, ce qui n’était absolument pas le cas dans la première version de l’application.  C’est un danger de sécurité s’agissant d’une société de droit américain, susceptible d’être contrainte de divulguer cette information à la justice.
  • J’ai gardé le pire pour la fin : dans la version actuelle du programme, les notifications se font via le service « push » appelé Google Cloud Messaging.  En pratique, et parce que toute application utilisant ce service utilise une clé unique, Google sait à tout moment lequel de ses utilisateurs (parfaitement identifiés) a envoyé un message à tel autre (tout aussi bien identifié).  Même pas la peine pour la justice de demander les métadonnées à Signal, un coup de fil à Google suffit.

Oui mais E. Snowden conseille Signal!

C’est vrai, du coup, vous devriez peut-être vous poser la question de savoir qui est vraiment Edward Joseph Snowden?  Et vous pourriez bien tomber de l’armoire en réalisant à quel point on nous manipule, et surtout, qui nous manipule!

avatar

Philippe Huysmans

Webmaster du Vilain Petit Canard, citoyen de nationalité belge, né à Schaerbeek le 16.10.1966. Marié et père de deux enfants. Je vis en Belgique et j’exerce la profession d’Informaticien à Bruxelles. Mes articles

Vous aimerez aussi...

4 réponses

  1. Louis dit :

    A noter aussi que le fondateur de Signal se fait appeler Mosie Marlinspike alors qu’il s’appelle en réalité Matthew Rosenfeld.
    Comme Bronstein qui se faisait appeler Trosky.
    Quelqu’un qui prend un nom d’emprunt n’inspire guère confiance.

  2. Louis dit :

    Telegram est-il un moyen de communiquer préférable à Signal?

    Moxie* et non Mosie

    • baboolas dit :

      Probablement un mal pour un mal. Telegram a été créé par les fondateurs de VKontakte, le fessbouque russe et stocke également toutes les données y compris n°tel sur leurs serveurs.

      Quelques différences entre Telegram et Signal:

      – Telegram refuse, pour l’instant, systématiquement de communiquer les données aux gouvernements qui l’exigent (d’où, sans doute, l’exil de ses fondateurs). La méfiance des gouvernements, et le peu de pub voire le dénigrement comme « nid à terroristes » (et donc la promotion en faveur de Signal ces derniers mois devrait titiller toute personne saine d’esprit, voir p.ex https://joinup.ec.europa.eu/collection/open-source-observatory-osor/news/signal-messaging-service) viennent sans doute de là.

      – Les conversations de telegram ne sont pas cryptées par défault. Il faut spécifiquement créer un « secret chat » pour qu’elles le soient. Dans Signal, tout est crypté par défaut.

      – Telegram stocke toutes les données sur ses serveurs. Messages et media. Ceci facilite la synchro des conversations si vous utilisez différents appareils (p.ex un pc et un phone). Aussi pratique si vous paumez votre phone. Signal non.

      – L »app Telegram pour Android est disponible sur l’app store open source F-droid, qui garantit que l’application que vous utilisez est bien conforme au code source qui est publié. Signal publie le code de ses applications, mais celles-ci ne sont disponibles que sur Google Play ou l’AppStore, ce qui peut vouloir dire que l’app Signal pourrait contenir du code d’espionnage (pour faire simple) par exemple car personne ne peut garantir que l’app correspond au code qui est publié.

      Les seules alternatives viable anti-espionage par gouvernements (car à mon avis un hacker digne de ce nom se tape de vos données personnelles, alors qu’elles sont très intéressantes pour les pouvoirs en place) sont soit 1) un système complètement décentralisé et peer-to-peer qui ne dépend de personne (p.ex element.io) soit 2) un système dont vous maîtrisez tous les compsants (serveurs et clients) basé sur par exemple XMPP et d’autres protocoles et systèmes open-source (p.ex Jitsi meet ou Nextcloud Talk).

      Mais donc pour la facilité et pace que 90% des gens ne comprennent rien à ce charabia, je préfère Telegram car c’est pas une boîte américaine donc pas sujette à leurs mandats et vu leur position sur la vie privée (voir leur faq https://telegram.org/faq). Maintenant, Google se vantait aussi au départ de leur slogan « Don’t be evil », mais on voit bien ce que ça a donné….

      • Louis dit :

        Très intéressant. Merci.
        Certaines infos un peu pointues pour moi, mais je vais creuser.
        Sinon vous avez un avis sur Mumble.

Laisser un commentaire

Votre adresse e-mail ne sera pas publiée. Les champs obligatoires sont indiqués avec *