Depuis très récemment, Signal ne dépend plus de Google. C'est l'occasion de s'interroger sur le logiciel à utiliser pour chiffrer mes communications émises/reçues avec mon 06.
Signal
- + Signal gère les appels vocaux chiffrés, les messages textes chiffrés et les SMS/MMS non chiffrés ;
- + Signal est disponible sur IOS et Android ;
- +/- Les messages textes et les appels chiffrés sont échangés via les données mobiles. J'ai un forfait Free à 2 € (qui convient très bien à mes usages) avec 50 Mo de données mobiles, qui peut se consommer très vite genre un oubli d'allumer le Wi-Fi pour télécharger une mise à jour ou chercher une info sur des sites web lourds quand je n'ai pas d'autres accès à Internet sous la main. Je fais quoi pour communiquer quand j'ai épuisé mon forfait ? Je paye plus en faisant du hors forfait ? Alors que j'ai des SMS "illimités" en parallèle ? C'est du consumérisme forcené un peu idiot, non ? Je dialogue en clair ? Donc aucun intérêt d'utiliser le chiffrement…
- - Toutes les communications de Signal transitent par une même infrastructure technique, celle de l'éditeur de Signal, Open Whisper Systems. On a donc un point central qu'il suffit d'espionner ou de démanteler pour semer la zizanie. Pas top du tout. Sur Internet, on se doit de construire des infrastructures acentrées. Contrairement à SIlence, on ajoute un acteur en plus capable d'espionner, un peu comme utiliser une carte bancaire est pratique mais ajoute une myriade d'acteurs dans la boucle (la banque, le réseau Visa ou MasterCard, etc.), acteurs que l'on n'a pas avec de l'argent liquide. Il faut bien comprendre que, par cette position centrale, Signal peut altérer la communication et notamment l'échange des clés de chiffrement, donc qu'il peut très bien transmettre une clé de chiffrement dont il a le contrôle afin de lire les communications avant de les transmettre au⋅à⋅la destinataire légitime. Certes, on arrive là à une problématique qui dépasse le modèle de menaces de beaucoup de monde, moi y compris ;
- - Signal n'est pas disponible sur F-Droid (logithèque alternative à Google Play qui diffuse uniquement des logiciels libres) qui est la seule logithèque que j'utilise donc mises à jour manuelles donc "compliquées" et j'oublierai de le faire, ce qui peut être très compromettant si des failles de sécurité sont corrigées. Il s'agit d'un choix délibéré de l'éditeur : demander à installer des logiciels depuis des sources inconnues (autre que le Store pré-défini), c'est ouvrir une grande porte vers l'installation de logiciels véreux par des utilisateur⋅rice⋅s novices. Cette argumentation se tient, mais je suis un utilisateur conscient de ce qu'il fait donc je m'en moque ;
- - Lors de son premier démarrage, Signal me force à m'enregistrer : « Vérifier votre numéro de téléphone pour vous connecter avec Signal. Signal facilite la communication en utilisant votre numéro de téléphone et votre carnet d'adresses. Les amis et les contacts qui savent déjà comment vous contacter par téléphone pourront facilement entrer en contact avec vous via Signal. L'inscription transmet certaines informations de contact au serveur. Ces informations ne sont pas enregistrées. ». Ouais, boarf, balourder mon 06 et mon carnet d'adresses à l'éditeur de Signal ne me botte pas des masses, surtout que le « certaines informations » est flou alors que la loi informatique et libertés (et le futur règlement européen sur les données personnelles) impose un consentement explicite éclairé, chose que je ne peux pas avoir avec si peu d'infos. C'est ce point (cumulé avec infrastructure centralisée et mise à jour manuelle) qui m'a fait reculer et ne pas utiliser Signal.
Silence
- - Silence gère uniquement des SMS/MMS chiffrés et des SMS/MMS non chiffrés. Point d'appels vocaux chiffrés. Je n'ai pas besoin de cette fonctionnalité à l'heure actuelle ;
- - Silence est uniquement disponible sur Android. Je m'en fiche, je n'ai pas de matos Apple. Je ne ressens de toute façon pas une envie de chiffrer nos communications chez le peu d'utilisateur⋅rice⋅s d'Apple que je connais ;
- +/- Les SMS/MMS sont échangés comme tout SMS/MMS donc si t'as un forfait SMS/MMS "illimités", c'est inclus dedans ;
- +/- Les communications transitent par les opérateurs télécoms habituels. Seuls les opérateurs de l'émmeteur⋅rice et du⋅de⋅la destinataire savent qui parle avec qui, quand, à quelle fréquence, quelle volumétrie d'échange, etc. On est sur une infrastructure acentrée malheureusement contrôlée à 100 % par de gros acteurs économiques en situation d'oligopole, mais pas de point central. La question est donc de savoir par qui tu as envie d'être possiblement espionné : ton opérateur télécoms avec qui tu as un contrat ou une entité étasunienne avec laquelle tu n'as aucun contrat ? Tu peux supposer qu'Open Whisper Systemes ne lâchera pas facilement face aux autorités (et ça semble être plutôt vrai jusqu'à aujourd'hui), mais tu n'en sais rien. La presse a déjà documenté que les opérateurs télécoms français collaborent sans se poser de questions. D'un autre côté, les opérateurs télécoms sont un poil plus surveillés par la presse et par les associations de défense des consommateur⋅rice⋅s que Open Whisper Systems d'où ça augmente la probabilité d'apprendre qu'un truc crade est fait sur le réseau. Les communications avec l'infrastructure technique de Signal, basée aux USA, sont soumises à la loi française concernant la Surveillance Internationale, qui protège bien moins le⋅a citoyen⋅ne que le reste du cadre légal français. De plus, avec Silence, il n'y a pas de point central qui peut altérer les communications. Certes, on est ici dans un modèle de menaces plus exigeant que ce que la plupart d'entre nous avons besoin ;
- + Silence est disponible sur F-Droid ;
- + Silence ne demande pas à exporter quoi que ce soit vers une infrastructure centralisée ;
- +/- Un des développeurs principaux fréquente les mêmes salons de discussions IRC que moi et parle ma langue natale, donc on peut supposer un contact facilité.
Cumul
Notons qu'il est parfaitement possible d'utiliser plusieurs applications en même temps : Signal + Silence ou Silence + appli SMS/MMS par défaut ou Signal + appli SMS/MMS par défaut. C'est très utile quand on a un nombre similaire de contacts qui utilisent Signal et un nombre de contacts qui utilisent Silence : on peut dialoguer chiffré avec chaque communauté. Pour cela, il suffit de définir l'une des applications comme étant le logiciel par défaut pour la gestion des SMS/MMS et pas l'autre. Ainsi, Signal recevra les messages Signal et Silence les SMS/MMS chiffrés et non chiffrés, par exemple. Ça marche aussi avec Silence + l'appli SMS/MMS par défaut : dans ce cas, les deux logiciels recevront les SMS/MMS entrants (et notifieront l'utilisateur⋅rice) mais seul Silence saura déchiffrer les SMS/MMS chiffrés.
Conclusion
Tu l'as compris : j'utilise désormais un logiciel pour chiffrer mes communications textes et il s'agit de Silence.