sebsauvage.net

Ce site n'est pas le site officiel.
C'est un blog automatisé qui réplique les articles automatiquement

Applications de messagerie chiffrée: Pourquoi je recommande Signal et non Telegram

Tuesday 22 December 2015 at 10:29

Telegram fait la une, ces derniers temps, et gagne en popularité (http://www.numerama.com/tech/135415-whatsapp-bloque-au-bresil-telegram-gagne-15-millions-dutilisateurs.html).
Pourtant, si je devais vous recommander une application de communication chiffrée, ce serait plutôt Signal.

Je ferai abstraction des très nombreuses critiques concernant la crypto de Telegram (car ils prennent grand soin de répondre à chaque point levé), et je pense qu'ils ont de bonnes intentions, mais il reste un problème à mes yeux: Ils ont la possibilité de déchiffrer vos messages. Dit autrement: ce n'est pas du chiffrement de bout en bout par défaut, sauf si vous utilisez la fonction «Secret chat». C'est d'ailleurs grâce à cela que Telegram peut aussi exister aussi en version "web" et "desktop" (ce qui n'est pas le cas de Signal).
https://telegram.org/faq#q-so-how-do-you-encrypt-data
https://telegram.org/faq#q-how-are-secret-chats-different
(D'ailleurs, c'est visible ici: https://www.eff.org/secure-messaging-scorecard)

Donc ça me met un peu mal à l'aise. Non que le logiciel soit de mauvaise qualité, mais les utilisateurs penseront être en train de discuter en toute confidentialité alors que ce n'est pas le cas.
(Même si la société Telegram est allemande, donc a priori un peu moins sujette aux demandes abusives qu'une société américaine.)

Signal est lui, par défaut, chiffré de bout en bout.
Une fois installé, il s'intègre à Android: quand vous sélectionnez un contact, vous pouvez passer un appel normal, un appel chiffré ou envoyer un message chiffré.
En plus de la messagerie chiffrée, il peut optionnellement aussi prendre en charge vos SMS, même s'il ne fait plus de chiffrement des SMS (comme SMSSecure le fait: http://sebsauvage.net/bon-android/?d=2015/09/16/19/35/06).

Pourtant Signal a aussi ses problèmes.
- Tout comme Telegram, si pas de WiFi/3G à portée, alors pas d'échange de message possible.
- Tout comme Telegram, Signal exige l'entrée de votre numéro de téléphone. Utilisation donc a priori impossible sur tablette (et bien entendu sur desktop).
- Les messages sont bien chiffrés de bout en bout, mais le développeur utilise les services GooglePlay (GCM: Google Cloud Messaging) pour les transférer d'un téléphone à l'autre. (Telegram passe par ses propres serveurs.)
- Conséquence: Distribution impossible de l'application sur F-Droid.

On est donc encore loin d'une situation idéale. Pourtant Signal me semble encore pour le moment un meilleur choix que Telegram en tant que messagerie chiffrée simple d'emploi.

Concernant le code de Signal, je suis tombé sur divers articles de cryptographes et développeurs qui ont examiné le code source, et qui sont visiblement restés pantois face à la qualité du code et au soin apporté à la sécurité. C'est plutôt bon signe. Le code de Signal a déjà largement été passé en revue.

Il reste bien sûr encore d'autres pistes à explorer: ChatSecure (OTR+XMPP, capable de se connecter au serveur XMPP de votre choix en sus, et même passer par TOR), SilentCircle (que je n'ai pas regardé).


Voici les applications pour smartphones ayant reçu les meilleures notes de l'EFF.
 - Signal : https://play.google.com/store/apps/details?id=org.thoughtcrime.securesms
 - Telegram (en mode «Secret chat») : https://play.google.com/store/apps/details?id=org.telegram.messenger
 - ChatSecure : https://play.google.com/store/apps/details?id=info.guardianproject.otr.app.im
 - SilentCircle : https://play.google.com/store/apps/details?id=com.silentcircle.silentphone

A noter également:
- Signal : à but non lucratif basée au États-Unis : https://whispersystems.org/
- Telegram : société à responsabilités limitée, sur le sol allemand : http://telegram.org/
- ChatSecure : opensource. Tenu par un collectif international : https://guardianproject.info/
- SilentCircle : société commerciale (Suisse) fondée entre autre par l'auteur de PGP : https://www.silentcircle.com/

Tous sont à sources ouverts (ce qui est une condition sine qua none pour la sécurité).

Mon regret: Tous passent par des serveurs tiers (même si ChatSecure vous permet d'utiliser le serveur XMPP de votre choix).  A quand une messagerie qui utilise la DHT (comme le fait RetroShare) ?  Est-ce seulement viable en 3G ?


EDIT: Oh là... gros changements prévus côté ChatSecure (refonte du coeur de l'appli + sortie d'une version simplifiée Zom), et aussi l'implémentation d'un des protocoles de Signal.
Voir: https://chatsecure.org/blog/chatsecure-core/
et : https://chatsecure.org/blog/chatsecure-conversations-zom/
Ça vaut peut-être le coup d'attendre la nouvelle version.

EDIT: sur le même sujet: https://recode.net/2015/12/21/is-your-messaging-app-encrypted/
(Permalink)

Source: http://sebsauvage.net/links/?Q3BMhg


Bio Menace sur GOG.com

Tuesday 22 December 2015 at 06:50

Encore un jeu gratuit sur GOG.  :)
(Permalink)

Source: https://www.gog.com/game/bio_menace


Filebin.net - Online storage at your fingertips

Monday 21 December 2015 at 13:59

Si vous avez besoin de transférer un fichier à quelqu'un et que vous n'avez pas de cloud perso, filebin.net marche très bien.
Interface propre, pas de limite de taille, conservé 30 jours par défaut, page d'admin pour supprimer des fichiers ou changer la date d'expiration (1 semaine à 1 an). Possibilité de mettre le lien en lecture/écriture: ceux qui ont le lien peuvent aussi uploader des fichiers.
La raison pour laquelle je signale ça, c'est que ce service marche bien aussi avec les navigateurs mobiles (vous pouvez par exemple envoyer le lien par SMS quand les attachements mail ne suffisent pas).
C'est un service simple, efficace et qui ne fait pas chier.
(Bien sûr, pour la confidentialité, pensez à chiffrer vos fichiers si besoin.)
(Permalink)

Source: http://filebin.net/


Virtual Machine (VM), Windows Virtual PC & BrowserStack : Microsoft Edge Dev

Monday 21 December 2015 at 13:53

Lien pour téléchager des machines virtuelles Windows (de XP à Windows 10) légales.  (Oui, légales: Ces machines expirent au bout 90 jours.)
Pratique pour tester rapidement quelque chose sous Windows dans VirtualBox.
(Permalink)

Source: https://dev.windows.com/en-us/microsoft-edge/tools/vms/mac/


De la démocratie et des systèmes de vote - LinuxFr.org

Monday 21 December 2015 at 09:38

(via http://orangina-rouge.org/shaarli/?Z0PU2A)
(Permalink)

Source: https://linuxfr.org/users/liorel/journaux/de-la-democratie-et-des-systemes-de-vote


Un jour autrement | What a wonderful world

Monday 21 December 2015 at 09:10

On a tous besoin d'amour, de tendresse, d'attention.  Passez de bonnes fêtes.
(Permalink)

Source: http://zepworld.blog.lemonde.fr/2015/12/21/un-jour-autrement/


Le CiNéMa Club

Monday 21 December 2015 at 08:57

En dehors du fait qu'il y a du javascript qui plante et qu'il faut couper votre bloqueur de pub pour voir le site, voici un site qui propose un film gratuit par semaine. C'est une sorte de "CinéClub" gratuit.
Article sur ce site: http://cheekmagazine.fr/culture/marie-louise-khondji-cinema-club-gratuit-en-ligne/
(Permalink)

Source: http://www.lecinemaclub.com/?lang=fr


FireCode

Monday 21 December 2015 at 08:52

Encore une police de caractères spéciale pour développeurs, mais cette fois avec des ligatures.
Je suis en train de me demander si les ligatures sont vraiment pertinentes pour un développeur ?
Par exemple le comptage du nombre de # successifs devient plus difficile au premier coup d’œil.
Mouais, à voir...
(Permalink)

Source: https://github.com/tonsky/FiraCode


A la loupe : Le site Wikistrike.com | La vérité perdue

Monday 21 December 2015 at 08:51

Je me met ça de côté. Méfiez-vous du site Wikistrike.
(via http://lehollandaisvolant.net/?id=20151220105928)
(Permalink)

Source: https://veriteperdue.wordpress.com/2015/05/24/a-la-loupe-le-site-wikistrike-com/


Sida : comment ils ont piégé les conspirationnistes | La vérité perdue

Monday 21 December 2015 at 08:40

à voir.
(via http://www.mypersonnaldata.eu/shaarli/?AYHH7Q)
(Permalink)

Source: https://veriteperdue.wordpress.com/2015/12/14/sida-complotistes-conspirationnistes/