Examen des signaux

Signal

ProPrivacy.com But
9 sur 10

Sommaire

Le messager de signal est largement considéré comme le moyen le plus sûr et le plus privé de communiquer à distance jamais conçu. Fruit de la légende de la confidentialité Moxie Marlinspike, Signal remplace votre application de messagerie SMS par défaut, la rendant presque transparente à utiliser.

Qu'est-ce que le signal?

Signal est principalement une application de messagerie sécurisée et open source qui remplace votre téléphone Android ou l'application SMS habituelle de votre iPhone. Les messages vers et en provenance d'autres utilisateurs de Signal sont envoyés sur Internet et protégés par un cryptage de bout en bout très puissant.

Utilisez Tor. Utilisez Signal. https://t.co/NSY36coKXJ

- Edward Snowden (@Snowden) 13 décembre 2017

Les messages vers et depuis des contacts non-Signal sont envoyés à l'aide de la messagerie texte SMS standard et ne sont pas sécurisés. Lorsque vous envoyez un SMS non sécurisé, vous êtes averti qu'il n'est pas sécurisé et vous êtes invité à inviter votre contact à utiliser Signal.

Cette configuration garantit que Signal est transparent à utiliser lors de l'envoi de messages texte à d'autres utilisateurs de Signal et à des non-utilisateurs. Parce qu'il est conçu pour remplacer votre client SMS habituel, Signal nécessite que vous vous inscriviez avec un numéro de téléphone valide. Je discuterai de cette question un peu plus tard.

La beauté de ce système est que Signal est presque transparent lors de l'utilisation, ce qui devrait permettre de convaincre plus facilement amis, famille et collègues d'utiliser l'application!

En plus de la messagerie texte et SMS, Signal prend également en charge les appels vocaux et vidéo sécurisés (VoIP) entre les utilisateurs. Bien que principalement une application mobile, une version de bureau existe également.

Le signal est-il open source?

Un logiciel open source est un logiciel dont le code source a été rendu public par son détenteur des droits d'auteur. Cela signifie qu'il peut faire l'objet d'un audit indépendant pour détecter les erreurs et s'assurer qu'il ne fait pas quelque chose qu'il ne devrait pas faire. Le signal a été entièrement audité de manière indépendante en 2016 et s'est révélé cryptographiquement sécurisé.

Avec le code source fermé, il n'y a aucun moyen de savoir ce que le code fait réellement, et le code source fermé ne peut donc pas être fiable pour sécuriser vos communications. Pour cette raison, vous ne devez faire confiance qu'aux applications open source telles que Signal pour garder vos communications sécurisées et privées. Pour plus de discussion sur ce sujet, veuillez consulter Pourquoi l'open source est si important.

Signal utilise un chiffrement de bout en bout

Tous les messages Signal sécurisés sont cryptés sur votre téléphone avant d'être envoyés et ne peuvent être décryptés que par le ou les destinataires prévus..

Cela élimine le besoin de faire confiance à un tiers pour protéger vos données, et aucun tiers ne peut accéder aux messages en transit. Le seul moyen pour un adversaire d'accéder aux messages envoyés par Signal est s'il a un accès physique direct à votre téléphone ou au téléphone du destinataire.

Même dans ce cas, Signal inclut l'option de crypter tous les messages stockés, ce qui rend impossible leur accès à moins que le propriétaire du téléphone ne puisse être contraint de révéler son code d'accès..

N'oubliez pas que les messages envoyés aux utilisateurs non-Signal ne sont pas sécurisés!

Signal Private Messenger est-il sécurisé?

Les messages Secure Signal sont chiffrés à l'aide du protocole Signal, qui est sans doute le protocole de messagerie texte le plus sécurisé jamais développé. Il fusionne le protocole d'accord de clé Extended Diffie-Hellman étendu (X3DH), l'algorithme Double Ratchet, les pré-clés et utilise Curve25519, AES-256 et HMAC-SHA256 comme primitives cryptographiques.

Une grande ventilation de ce que tout cela signifie est disponible ici, et comme indiqué précédemment, un audit formel a révélé que le protocole Signal est cryptographiquement solide.

Depuis mars 2017, les appels vocaux et vidéo de Signal sont cryptés à l'aide du même protocole de signal qui sécurise les messages texte.

Fonctions de sécurité supplémentaires

Les messages et les notifications peuvent être verrouillés avec une phrase secrète, et vous pouvez choisir d'utiliser un «clavier de navigation privée» qui n'apprendra pas de votre saisie. Signal comporte également des messages disparaissant, ce qui est similaire à la fonctionnalité de définition de Snapchat.

Fonctions de sécurité du signal

Surtout, Signal fournit un mécanisme pour vérifier l'identité de vos contacts. Chaque conversation a un numéro de sécurité unique (empreinte digitale) que vous pouvez comparer avec les autres participants et marquer comme vérifié lorsque vous êtes sûr de leur identité.

Problèmes avec Signal Private Messenger

Les décisions de conception suivantes de Signal ont fait l'objet de critiques, bien que Signal ait mis longtemps à y répondre.

Découverte contact

Afin de remplacer de façon transparente le messager SMS de votre téléphone par l'application Signal, Signal utilise de vrais numéros de téléphone pour faire correspondre les contacts. Ceci est considéré par certains comme un risque de confidentialité, qui préférerait un système de découverte de contacts basé sur des adresses e-mail ou des noms d'utilisateur anonymes.

Il existe cependant deux facteurs atténuants très forts en faveur de Signal sur cette question:

  1. Signal ne peut pas voir vos contacts et votre liste de contacts n'est accessible à personne d'autre que vous.
  2. Vous pouvez vous inscrire en utilisant un téléphone jetable «brûleur» ou une carte SIM. Une fois enregistrée, l'application Signal n'a pas besoin de s'exécuter sur le téléphone sur lequel elle était enregistrée..

Services Google Play

Jusqu'à l'année dernière, Signal pour Android n'était disponible que sur le Google Play Store et nécessitait donc les services Google Play pour fonctionner. Bien que Moxie Marlinspike ait vigoureusement défendu cette décision, beaucoup l'ont considérée comme un problème de sécurité majeur, car ce logiciel propriétaire donne à Google la possibilité d'effectuer une surveillance approfondie de bas niveau sur les appareils des utilisateurs..

Signal recommande toujours de télécharger l'application via le Google Play Store, mais il est désormais également possible de télécharger un fichier .apk gratuit de Google directement depuis le site officiel.

Le signal conserve-t-il les métadonnées

Le protocole de signal n'empêche pas une entreprise de conserver des informations sur le moment et avec qui les utilisateurs communiquent. La seule information de métadonnées que Signal conserve elle-même est «la date et l'heure auxquelles un utilisateur s'est enregistré auprès de Signal et la dernière date de connexion d'un utilisateur au service Signal». Cette affirmation a été prouvée par un tribunal..

Cependant, d'autres sociétés qui ont incorporé le protocole de signal dans leurs produits peuvent ne pas avoir une attitude aussi robuste envers la confidentialité des utilisateurs.

Le financement

Comme avec d'autres projets de confidentialité open source de haut niveau tels que LEAP (qui est utilisé pour exécuter RiseUp.net), WikiLeaks-like GlobaLeaks (approuvé par des développeurs Tor tels que Jacob Applebaum), le Guardian Project (fabricants de ChatSecure et Orbot), et le projet Tor lui-même, la société mère de Signal, Whisper Systems, reçoit une aide financière généreuse de la part d'agences financées par le gouvernement américain.

De nombreux activistes de la protection de la vie privée et développeurs open source soutiennent que de bons mathématiques sont de bonnes mathématiques, peu importe d'où vient le financement, et que le financement nécessaire pour développer des systèmes sécurisés est autrement très difficile à trouver..

Cette question de financement a cependant conduit certains à remettre en cause l'intégrité de telles revendications. Pour une excellente discussion sur ce sujet, veuillez consulter la vie privée sur Internet, financée par des fantômes: une brève histoire du BBG par Yasha Levine.

Malgré ces préoccupations (qui affectent presque tous les grands projets de sécurité open source), Signal semble être parmi les applications les plus sécurisées actuellement disponibles. Vous payez votre argent (ou pas dans ce cas), et vous tentez votre chance…

Le processeur en bande de base

À l'intérieur de chaque téléphone mobile jamais construit se trouve une puce propriétaire à source fermée appelée processeur de bande de base. Étant donné la nature de ce que l'on sait peu sur cette puce à source fermée, il y a tout lieu de croire qu'elle pourrait permettre aux fournisseurs de services mobiles de contourner tout cryptage utilisé par n'importe quelle application exécutée sur un téléphone mobile..

Ils pourraient facilement accéder à tout le contenu d'un téléphone en texte clair et en temps réel par le simple moyen d'y accéder au moment où il devient crypté / décrypté.

Ou du moins, c'est la théorie. Aucune preuve de ce qui s'est réellement produit n'a jamais été rapportée. Il convient de souligner qu’aucun de ces problèmes n’est imputable à Signal et qu’il s’agit d’une faille potentielle dans tous les logiciels de sécurité mobile..

Il convient également de souligner qu'un adversaire utilisant de telles méthodes pour espionner les communications cryptées des utilisateurs de smartphones devrait être très puissant (par exemple, la NSA), et devrait presque certainement cibler spécifiquement le téléphone d'un individu connu (donc pas d'espionnage général).

Blocage

En réponse au blocage de l'Égypte en décembre 2016, Signal a introduit le fronting de domaine. Cela permet aux utilisateurs de Signal dans certains pays de contourner la censure en donnant l'impression qu'ils se connectent à un autre service Internet.

La façade de domaine est actuellement activée par défaut en Égypte, aux Émirats arabes unis, à Oman et au Qatar, de sorte que les utilisateurs de ces pays peuvent accéder à Signal normalement..

Malheureusement, les utilisateurs en Iran ne sont pas aussi chanceux. La fonctionnalité de fronting de domaine de Signal repose sur le service Google App Engine qui n'est pas disponible en Iran en raison de la conformité de Google aux sanctions américaines.

Comment utiliser le signal

Lorsque vous installez Signal, il remplace votre messager SMS par défaut. Par défaut, tous vos anciens messages et l'historique des messages sont importés, et Signal utilise votre liste de contacts de numérotation par défaut.

En cours d'utilisation, il agit exactement comme votre messager SMS habituel lorsqu'il traite avec des utilisateurs non-Signal, à l'exception de l'affichage d'une option pour les inviter à Signal. Comme d'habitude, les messages SM coûtent chaque fois que votre fournisseur de services mobiles et votre plan de paiement spécifient.

Comment utiliser le signal

Lorsque vous envoyez un message à d'autres utilisateurs de Signal, vous en êtes averti et les messages sont cryptés en toute sécurité. Vous pouvez également démarrer une conversation vocale, vidéo ou en groupe avec eux. Les conversations Secure Signal sont transmises sur Internet et (à l'exception des frais de bande passante de votre FAI ou de votre opérateur de téléphonie mobile qui pourraient s'appliquer) sont gratuits..

Autres applications utilisant le protocole de signal

Grâce à sa formidable réputation de cryptage sécurisé de bout en bout, un certain nombre d'autres applications de messagerie de haut niveau utilisent désormais également le protocole de signal. Cela inclut WhatsApp, Facebook Messenger et Skype.

D'une manière générale, cela peut être considéré comme un avantage majeur pour la confidentialité, car il offre une messagerie sécurisée de bout en bout à des millions d'utilisateurs ordinaires qui ne se soucieraient pas autrement des problèmes de confidentialité.

Cependant, sachez que bien qu'elles utilisent le même protocole de signal sous-jacent, ces applications tierces ne sont pas aussi sécurisées ou privées que l'utilisation de l'application Signal elle-même. Ceci est dû au fait:

  • Ces applications sont fermées, il n'y a donc aucun moyen de savoir avec certitude ce qu'elles font. C'est probablement peu probable, mais ils pourraient, par exemple, renvoyer une copie de vos clés de chiffrement à Facebook ou Microsoft.
  • Comme déjà indiqué, bien que les entreprises ne puissent pas connaître le contenu de vos communications lorsqu'elles sont cryptées avec le protocole Signal, elles peuvent collecter les métadonnées qui leur sont liées (qui, quand, où). Et avouons-le, Facebook (qui possède également WhatsApp) et Microsoft sont connus pour être un anathème à la confidentialité.

Cela dit, vous avez probablement beaucoup d'amis qui utilisent déjà WhatsApp, Facebook Messenger et Skype, il est donc plus probable de chiffrer leurs messages à l'aide de ces applications…

Signal Private Messenger: Conclusion

Signal a révolutionné le chat privé en introduisant une messagerie cryptée de bout en bout hautement sécurisée, aussi simple et transparente à utiliser que l'envoi de SMS réguliers. Son utilisation de vrais numéros de téléphone pour la découverte des contacts en inquiète certains, mais cela est fortement atténué par.

Tout simplement, si vous voulez des conversations privées sécurisées, alors il n'y a pas de réelle concurrence pour Signal.

Brayan Jackson
Brayan Jackson Administrator
Sorry! The Author has not filled his profile.
follow me