Fil d’info

Qu’est-ce qu’on connaît de Signal ?

Dijoncter, le site dijonnais du réseau Mutu publiait au mois de décembre un article sur Signal. L’occasion de le publier par ici, quelques jours après le lancement du canal Signal de IAATA.

Signal est une bonne application de messagerie si on la compare avec des monstres comme Telegram ou Whatsapp qui appartient à Facebook. Comme tout ce qui est bon ou mauvais, il faut savoir comment et quand l’utiliser. On entend dire qu’utiliser Signal est « securisé », mais qu’est-ce que ça veut dire et quel niveau de confiance peut-on lui donner ?

PNG - 66.3 ko

Signal [1]], c’est une application de code source ouvert (OpenSource) [2], ça veut dire que le code pour le faire fonctionner est disponible pour tout le monde, de façon à ce que les gens qui comprennent le code puissent voir comment c’est fait. S’il y a des erreurs ou des changements que des gens veulent faire, cette appli peut être transformée.

Signal propose deux types de messagerie :

  • une messagerie classique de SMS sans aucun chiffrement des messages
  • une messagerie entre gens qui utilisent Signal, avec un chiffrement de bout en bout [3] des messages, en utilisant les données d’internet. Ça veut dire que les messages sont fermés à clé et que seules les personnes qui ont cette clé peuvent l’ouvrir. En théorie, ces messages ne peuvent pas être vus par des tierces personnes. MAIS pour être sûres de ça il faudra faire quelques vérifications :

* Être sûre que l’application que tu as téléchargé a bien la signature des personnes qui l’ont crée. Que personne ne l’a prise et modifiée avant que tu ne la télécharges, avec par exemple l’ordre d’envoyer une copie de tous les messages sur un autre serveur pour les intercepter.
Normalement si tu as téléchargé l’application dans un site officiel comme les boutiques de google ou apple, tu peux avoir confiance dans le fait que personne d’autre n’a touché le code avec des intentions maléfiques.
Si tu préferes tu pourras aussi la télécharger depuis le site de Signal (https://signal.org/android/apk), puis demander à une geek de vérifier la signature, ou télécharger Signal depuis différents ordis et différentes connexions à différents moments (mais pas trop écartées pour que les versions téléchargées soient les mêmes, genre 2 jours max) et s’assurer que les fichiers sont identiques (à minima, exactement la même taille). Ensuite Signal proposera des mises à jour de temps en temps quand on se connecte via Wi-Fi. De plus, il suffit de faire la vérification de la signature une seule fois : lorsqu’on téléchargera une mise à jour et qu’on l’installera sur le téléphone, il râlera si la signature a changé.

* Le protocole de chiffrement de Signal c’est assez sympa, car les clés de chiffrements sont générées par ton application et pas dans les serveurs (les machines centrales de Signal), et sauvegardées sur le portable, donc seront accessibles seulement depuis le portable [4]. Mais, mais, mais, il faut vérifier que les communications sont bien avec les bonnes personnes, en vérifiant le numéro de sécurité dans les paramètres de chaque conversation. La clé de chiffrement a un code de numéros spécifiques pour chaque conversation, donc pour être sûre que tu communiques avec Anna il faudra vérifier que votre numéro de code de conversation est bien le même. S’il est différent ça veut dire que peut-être il y a une 3ème personne en train d’interférer dans votre communication. C’est connu comme l’attaque de l’humain du milieu [5].

PNG - 193.2 ko

Signal n’est pas parfait notamment parce qu’on l’utilise sur les portables, et qu’on ne peut pas donner notre confiance totale aux portables ; par rapport à Signal il faut savoir que :

* Le numéro de téléphone de la carte SIM est impérativement nécessaire pour commencer à utiliser cette application, et la plupart du temps il est lié à un contrat avec ton fournisseur d’abonnement téléphonique qui a demandé à vérifier ton identité réelle. De la même manière que les gens avec qui tu communiques sur Signal ont des cartes SIM liées à leur vrai état civil.

* C’est possible de bloquer l’inscription avec un numéro NIP, ça veut dire « numéro d’identification personnel ». Si on met en place un NIP (ça se fait dans les paramètres de Signal), ça fait que si une personne essaie de créer un compte signal avec le même numéro que nous sur un nouveau périphérique (ordinateurs ou portables), Signal lui demandera le NIP. Avec cette opération tu seras presque sûre que personne d’autre n’arrivera à utiliser ton identité pour installer Signal sur son portable.
Par exemple, ça permet d’éviter que les flics demandent une copie de ta carte SIM à l’entreprise téléphonique, installent Signal en utilisant ton numéro téléphone, et que tous tes messages (entrants et sortants) de Signal arrivent sur le portable des flics en temps réel.

* Les informations comme la date et l’heure d’envoi et qui a reçu le message, sont des infos qui restent dans le serveur mais les administratrices de Signal disent qu’elles ne sont pas gardées longtemps [6].

* Signal protège bien les messages et les appels, comme aussi les pièces jointes (photos, documents, message d’audio... ) mais elles sont plus vulnérables aux attaques car elles peuvent être gardés sur le portable et eux peuvent être plus facilement attaqués [7]

PNG - 283.5 ko

Une fois qu’on connaît tous les problèmes et tous les avantages de Signal, il faut qu’on se pose quelques questions avant de l’utiliser. C’est à toi et tes contacts de réfléchir et de choisir :

1. Quelles informations sont sensibles ?
2. De qui on se protège, c’est qui notre ennemi ?
3. Quelles informations doivent être à tout prix cachées aux ennemis ?
4. Quels sont les problèmes si ces informations arrivent aux ennemis ?

Basiquement, aucune communication « sensible » ne doit être sur un téléphone portable, car les portables sont plus facilement liés à une identité réelle, et sont plus facilement contrôlables [8].

Si tu utilises déjà Signal, c’est important de savoir que les versions plus anciennes de Signal-4.47.7 ont eu un gros gros problème de sécurité [9]. C’est possible d’accéder au micro sans que la personne le sache et d’écouter tout autour du portable comme si c’était un appel. En fait les méchants ont réussi à contrôler les appels sans que Signal te prévienne, et ont eu un accès total au micro. Donc si tu veux pas qu’ils écoutent tes blagues géniales, fais une mise à jour de Signal.

Pour l’actualiser, soit tu utilises ta boutique d’applications google ou apple, soit tu utilises le site officiel de Signal et tu télécharges la nouvelle version de Signal. C’est toujours important de maintenir à jour nos applications et nos systèmes d’exploitation. Si elles sont bien à jour ce sera plus difficile d’être attaquée, chaque erreur sera reparée à chaque version, donc ce sera plus difficile pour les attaquantes.

Bonne communication à toutes.

Notes

Proposer un complément d'info

modération a priori

Ce forum est modéré a priori : votre contribution n’apparaîtra qu’après avoir été validée par un-e administratrice/administrateur du site. Nous rappelons que les compléments d’information n’ont pas vocation à être des lieux de débat. Ne seront publiées que des informations factuelles.

Votre message

  • Pour créer des paragraphes, laissez simplement des lignes vides.

Qui êtes-vous ?

  • Votre email, facultatif (si vous souhaitez pouvoir être contacté-e par l'équipe de Iaata)

Publiez !

Comment publier sur IAATA?

IAATA est ouvert à la publication. La proposition d’article se fait à travers l’interface privée du site. Quelques infos rapides pour comprendre comment y accéder et procéder ! Si vous rencontrez le moindre problème, n’hésitez pas à nous contacter.