Qu’est-ce qu’on connaît de Signal ?

Publié le 15/12/2019 | Mise à jour le 12/02/2022

Signal est une bonne application de messagerie si on la compare avec des monstres comme Telegram ou Whatsapp qui appartient à Facebook. Comme tout ce qui est bon ou mauvais, il faut savoir comment et quand l’utiliser. On entend dire qu’utiliser Signal est « securisé », mais qu’est-ce que ça veut dire et quel niveau de confiance peut-on lui donner ? [Mise à jour le 21 décembre]

Signal [1], c’est une application de code source ouvert (OpenSource) [2], ça veut dire que le code pour le faire fonctionner est disponible pour tout le monde, de façon à ce que les gens qui comprennent le code puissent voir comment c’est fait. S’il y a des erreurs ou des changements que des gens veulent faire, cette appli peut être transformée.

Signal propose deux types de messagerie :

une messagerie classique de SMS sans aucun chiffrement des messages
une messagerie entre gens qui utilisent Signal, avec un chiffrement de bout en bout [3] des messages, en utilisant les données d’internet. Ça veut dire que les messages sont fermés à clé et que seules les personnes qui ont cette clé peuvent l’ouvrir. En théorie, ces messages ne peuvent pas être vus par des tierces personnes. MAIS pour être sûres de ça il faudra faire quelques vérifications :

* Être sûre que l’application que tu as téléchargé a bien la signature des personnes qui l’ont crée. Que personne ne l’a prise et modifiée avant que tu ne la télécharges, avec par exemple l’ordre d’envoyer une copie de tous les messages sur un autre serveur pour les intercepter.
Normalement si tu as téléchargé l’application dans un site officiel comme les boutiques de google ou apple, tu peux avoir confiance dans le fait que personne d’autre n’a touché le code avec des intentions maléfiques.
Si tu préferes tu pourras aussi la télécharger depuis le site de Signal (https://signal.org/android/apk), puis demander à une geek de vérifier la signature, ou télécharger Signal depuis différents ordis et différentes connexions à différents moments (mais pas trop écartées pour que les versions téléchargées soient les mêmes, genre 2 jours max) et s’assurer que les fichiers sont identiques (à minima, exactement la même taille). Ensuite Signal proposera des mises à jour de temps en temps quand on se connecte via Wi-Fi. De plus, il suffit de faire la vérification de la signature une seule fois : lorsqu’on téléchargera une mise à jour et qu’on l’installera sur le téléphone, il râlera si la signature a changé.

* Le protocole de chiffrement de Signal c’est assez sympa, car les clés de chiffrements sont générées par ton application et pas dans les serveurs (les machines centrales de Signal), et sauvegardées sur le portable, donc seront accessibles seulement depuis le portable [4]. Mais, mais, mais, il faut vérifier que les communications sont bien avec les bonnes personnes, en vérifiant le numéro de sécurité dans les paramètres de chaque conversation. La clé de chiffrement a un code de numéros spécifiques pour chaque conversation, donc pour être sûre que tu communiques avec Anna il faudra vérifier que votre numéro de code de conversation est bien le même. S’il est différent ça veut dire que peut-être il y a une 3ème personne en train d’interférer dans votre communication. C’est connu comme l’attaque de l’humain du milieu [5].

Signal n’est pas parfait notamment parce qu’on l’utilise sur les portables, et qu’on ne peut pas donner notre confiance totale aux portables ; par rapport à Signal il faut savoir que :

* Le numéro de téléphone de la carte SIM est impérativement nécessaire pour commencer à utiliser cette application, et la plupart du temps il est lié à un contrat avec ton fournisseur d’abonnement téléphonique qui a demandé à vérifier ton identité réelle. De la même manière que les gens avec qui tu communiques sur Signal ont des cartes SIM liées à leur vrai état civil.

* C’est possible de bloquer l’inscription avec un numéro NIP, ça veut dire « numéro d’identification personnel ». Si on met en place un NIP (ça se fait dans les paramètres de Signal), ça fait que si une personne essaie de créer un compte signal avec le même numéro que nous sur un nouveau périphérique (ordinateurs ou portables), Signal lui demandera le NIP. Avec cette opération tu seras presque sûre que personne d’autre n’arrivera à utiliser ton identité pour installer Signal sur son portable.
Par exemple, ça permet d’éviter que les flics demandent une copie de ta carte SIM à l’entreprise téléphonique, installent Signal en utilisant ton numéro téléphone, et que tous tes messages (entrants et sortants) de Signal arrivent sur le portable des flics en temps réel.

* Les informations comme la date et l’heure d’envoi et qui a reçu le message, sont des infos qui restent dans le serveur mais les administratrices de Signal disent qu’elles ne sont pas gardées longtemps [6].

* Signal protège bien les messages et les appels, comme aussi les pièces jointes (photos, documents, message d’audio... ) mais elles sont plus vulnérables aux attaques car elles peuvent être gardés sur le portable et eux peuvent être plus facilement attaqués [7]

Une fois qu’on connaît tous les problèmes et tous les avantages de Signal, il faut qu’on se pose quelques questions avant de l’utiliser. C’est à toi et tes contacts de réfléchir et de choisir :

1. Quelles informations sont sensibles ?
2. De qui on se protège, c’est qui notre ennemi ?
3. Quelles informations doivent être à tout prix cachées aux ennemis ?
4. Quels sont les problèmes si ces informations arrivent aux ennemis ?

Basiquement, aucune communication « sensible » ne doit être sur un téléphone portable, car les portables sont plus facilement liés à une identité réelle, et sont plus facilement contrôlables [8].

Si tu utilises déjà Signal, c’est important de savoir que les versions plus anciennes de Signal-4.47.7 ont eu un gros gros problème de sécurité [9]. C’est possible d’accéder au micro sans que la personne le sache et d’écouter tout autour du portable comme si c’était un appel. En fait les méchants ont réussi à contrôler les appels sans que Signal te prévienne, et ont eu un accès total au micro. Donc si tu veux pas qu’ils écoutent tes blagues géniales, fais une mise à jour de Signal.

Pour l’actualiser, soit tu utilises ta boutique d’applications google ou apple, soit tu utilises le site officiel de Signal et tu télécharges la nouvelle version de Signal. C’est toujours important de maintenir à jour nos applications et nos systèmes d’exploitation. Si elles sont bien à jour ce sera plus difficile d’être attaquée, chaque erreur sera reparée à chaque version, donc ce sera plus difficile pour les attaquantes.

Bonne communication à toutes.

Notes

[1] https://signal.org/fr/

[2] https://fr.wikipedia.org/wiki/Open_source4

[3] https://fr.wikipedia.org/wiki/Chiffrement_de_bout_en_bout

[4] https://medium.com/@justinomora/demystifying-the-signal-protocol-for-end-to-end-encryption-e2ee-ad6a567e6cb4 <<en anglais

[5] https://fr.wikipedia.org/wiki/Attaque_de_l%27homme_du_milieu

[6] https://en.wikipedia.org/wiki/Signal_%28software%29#Metadata

[7] https://blog.elcomsoft.com/2019/08/how-to-extract-and-decrypt-signal-conversation-history-from-the-iphone/ <<en anglais

[8] Voir l’article https://dijoncter.info/les-flics-d-ile-de-france-ont-maintenant-une-machine-pour-aspirer-l-ensemble-1486

[9] https://gizmodo.com/signal-users-on-android-need-to-update-right-now-1838842882 <<en anglais

Compléments d'info à l'article

Proposer un complément d'info

modération a priori

Ce forum est modéré a priori : votre contribution n’apparaîtra qu’après avoir été validée par un administrateur du site.

Qui êtes-vous ?

Votre nom Se connecter

Votre adresse email

Je veux recevoir la Newsletter

Votre message

Titre (obligatoire)

Texte de votre message (obligatoire)

Pour créer des paragraphes, laissez simplement des lignes vides.

Lien hypertexte

(Si votre message se réfère à un article publié sur le Web, ou à une page fournissant plus d’informations, vous pouvez indiquer ci-après le titre de la page et son adresse.)

Titre

Lien hypertexte

Ajouter un document

Extensions autorisées : toutes

Le 18 décembre 2019 à 00:49, par gagz #
Salut,

* Le numéro de téléphone de la carte SIM est impérativement nécessaire pour commencer à utiliser cette application, et il est lié à notre identité réelle. De la même manière que les gens avec qui tu communiques sur Signal ont des cartes SIM liées à leur vrai état civil.

Bin pas forcément. Plein de gens ont des cartes sim pas liées à leur état civil. Envoyer des fausses infos marche pour quasi tous les opérateurs à part sfr/bouygues/orange. Beaucoup de gens font ça !
Aussi, on peut utiliser n’importe quel numéro auquel on a accès pour créer un compte signal. Même un fixe, même une cabine, même un numéro random trouvé sur internet (mais alors, penser au NIP :p).

* C’est possible de bloquer l’inscription avec un numéro NIP, ce code sera demandé chaque fois que Signal est installé sur un nouveau périphérique (ordinateurs ou portables). Avec cette opération tu seras presque sûre que personne d’autre n’arrivera à utiliser ton identité pour installer Signal sur son portable.
Par exemple, ça permet d’éviter que les flics demandent une copie de ta carte SIM à l’entreprise téléphonique, installent Signal en utilisant les identifiants de ton numéro téléphone, et que tous tes messages (entrants et sortants) de Signal arrivent sur le portable des flics en temps réel.

Cette partie pourrait être plus claire !
NIP ça veut dire « numéro d’identification personnel », c’est la version francophone de PIN (comme un code PIN). Si on met en place un NIP (ça se fait dans les paramètres de Signal), ça fait que si une personne essaie de créer un compte signal avec le même numéro que nous, Signal lui demandera le NIP. Une personne peut avoir le même numéro que nous dans plusieurs situations : les keufs demandent (jamais entendu parler, mais c’est techniquement possible), on perd notre numéro, un bug de l’opérateur fait que plusieurs personnes ont le même numéro (déjà vu !).
Du coup il ne s’agit pas d’identité, mais de numéro de téléphone, et c’est très important !

* Les informations de qui envoie un message, à qui et à quel moment, sont des infos qui restent dans le serveur mais les administratrices de Signal disent qu’elles ne sont pas gardées pour longtemps [7].

Ça a changé en octobre 2018 : https://arstechnica.com/information-technology/2018/10/new-signal-privacy-feature-removes-sender-id-from-metadata/
Depuis, signal voit uniquement l’heure et la date d’envoi et de réception (pas l’heure de lecture), et le numéro de destination du message. Le numéro de l’expéditeurice n’est visible que sur le téléphone des destinataires.

* Signal protège bien les messages et les appels, mais les pièves jointes sont plus vulnérables aux attaques (photos, documents, message d’audio... ) [8]

J’ai l’impression que vous vous basez sur cette partie :

The encryption key is generated the first time the user signs in to Signal on the device. […] Without that key one can only extract attachments (pictures, documents, voice messages etc.)

Avez-vous trouvé d’autres sources ? De ma compréhension, Signal chiffre tout dans la base SQLite (avec sqlcipher), donc il ne devrait pas y avoir de différence entre les types de messages. Par contre, l’article parle plus probablement des pièces jointes qu’on sauvegarde dans le téléphone (par exemple une photo reçue par signal, qu’on veut mettre dans le dossier Images du tél).

Pour l’actualiser, soit tu utilises ta boutique d’applications google ou apple, soit tu utilises le site officiel de F-Droid et tu télécharges la nouvelle version de Signal.

Ah, je pense que vous avez pas dû essayer avec f-droid :)
Signal n’est pas dans f-droid. Du coup pour les personnes sous Android n’utilisant pas le Play Store, je vois deux possibilités :

Ajouter les dépots de Langis dans f-droid, et utiliser Langis (hm, à l’heure où j’écris le site est down, mais bon : http://langis.cloudfrancois.fr/)
Télécharger Signal depuis le site de Signal (https://signal.org/android/apk), puis demander à un·e geek de vérifier la signature, ou télécharger Signal depuis différents ordis et différentes à différents moments (mais pas trop écartées pour que les versions téléchargées soient les mêmes, genre 2 jours maax) et s’assurer que les fichiers sont identiques (à minima, exactement la même taille). Ensuite Signal proposera des mises à jour de temps en temps quand on se connecte via Wi-Fi. De plus, il suffit de faire la vérification de la signature une seule fois : lorsqu’on téléchargera une mise à jour et qu’on l’installera sur le téléphone, il râlera si la signature a changé.

PS : je suis intéressée pour écrire un truc plus complet sur les téléphones, hésitez pas à me joindre pour faire ça à plusieurs.

Articles de la même thématique : Surveillance informatique

VSA et Jeux Olympiques : Coup d’envoi pour les entreprises de surveillance

Après des mois d’attente, les entreprises chargées de mettre en place la vidéosurveillance algorithmique dans le cadre de la loi Jeux Olympiques ont été désignées. Sans grande surprise, il s’agit de sociétés s’étant insérées depuis plusieurs années dans le marché de cette technologie ou entretenant de bonnes relations avec l’État. Les « expérimentations » vont donc commencer très prochainement. Nous les attendons au tournant.

21/02/2024

Au dernier salon MILIPOL, déploiement techno-sécuritaire en vue des JO 2024

Du 14 au 17 novembre 2023 s’est tenu comme chaque année le salon MILIPOL, l’événement mondial de la sûreté et de la sécurité intérieure des États. Un compte-rendu (un peu tardif) publié initialement sur le site de Halte au contrôle numérique.

15/02/2024

La Quadrature du Net - De nouveaux combats pour 2024

Appel à don en soutien à la Quadrature du Net

15/01/2024

Articles de la même thématique : Communications sécurisées

Affaire du « 8 décembre » : le droit au chiffrement et à la vie privée en procès

Un article de la Quadrature du Net qui fait le point sur le procès de l’affaire du 8 décembre. L’un des aspects inquiétants de ce procès : la criminalisation de la sécurité numérique. Les audiences se tiennent du 3 au 27 octobre au tribunal de Paris.

03/10/2023

Fadettes, UFED et données de connexion : les techniques d’investigations numériques de la police

Le site Paris Luttes Info se penche sur la sécurité numérique et les techniques d’investigation de la police

25/11/2022

Guide de survie en protection numérique à l’usage des militant·es

Quelles sont les principales menaces numériques et comment s’en protéger ? Comment fonctionne la surveillance numérique ? Que penser de Signal ? Des mails ? Des smartphones ? Comment gérer ses mots de passes ? Que faire des réseaux sociaux ? Comment utiliser son ordinateur ? Ce guide de survie tente de présenter de manière synthétique des éléments de réponses à toutes ces questions.

03/02/2021

À LA UNE

Rassemblement contre Total Énergies

[Brazey en Plaine] Des enseignants du collège G. Brassens prennent position contre le choc des savoirs

Rassemblement contre un licenciement au restaurant l'Edito

Derniers articles

Tuto Scribus : quelques bases pour créer une affiche ou un tract

Scribus, c’est un logiciel de mise en page libre, qui permet de réaliser des affiches, des tracts, des brochures, des magazines ou même des livres ! Tout un tas de choses qui gagnent à être réalisés par le plus grand nombre de personnes pour que les productions reflettent la diversité politique de celles et ceux qui les réalisent !

21/11/2023

Quelques bonnes pratiques des pads

Conseils d’utilisation des pads, outils numériques permettant de travailler collectivement à l’écriture de textes.

16/03/2022

TutoRadio : Se fabriquer une clé TAILS

Une clé TAILS, c’est pas un gadget qu’on voit dans les séries d’espionnage, c’est un outil bien pratique et pas compliqué à utiliser au quotidien qui permet à tout un chacun.e d’aller sur n’importe quel ordinateur sans laisser de traces !

07/02/2021

Guide de survie en protection numérique à l’usage des militant·es

03/02/2021

Mise à jour 2021 du TuTORiel Tails

Tails est un système d’exploitation qui tient sur une clef USB fait pour faire de la sécurité informatique et qui regroupe des logiciels pour se protéger un minimum de la surveillance. Une mise à jour vient d’être proposée à une brochure publiée il y a un an pour aider à utiliser cet outil.

27/01/2021

Loi Avia : comment continuer de consulter vos sites préférés en cas de blocage ?

Adoptée en dernière lecture mercredi 13 mai par l’assemblée nationale, la loi Avia obligera bientôt les sites internet à supprimer dans les 24h (1h pour ce qui concerne la pédopornographie et le terrorisme) certains contenus jugés illicites, sous peine de lourdes amendes voire de déréférencement sur les moteurs de recherche. On vous explique comment contourner cette censure qui ne dit pas son nom.

17/05/2020

Entretien avec LEAP, un projet d’accès chiffré à internet.

On démêle l’internet, les grandes entreprises du web qui vivent de l’exploitation de nos données. Comment peut-on surfer sans tout leur donner ? On en parle avec les gens de LEAP qui nous expliquent comment fonctionne leur projet, en expliquant le chiffrement, le serveur, le VPN, le Riseup VPN, en réfléchissant à qui on fait confiance et pourquoi.

18/04/2020

Utiliser Tails - Petit manuel

Brochure d’un petit tutoriel pour utiliser le système d’exploitation qui tient sur une clef USB - TAILS. Utile pour ce qui touche à la sécurité informatique et relativement simple d’usage.

28/08/2019

Guide de la cybersécurité pour les LGBTQI+

Une étude a été menée auprès de plus de 695 LGBTQ [1] du monde entier à propos de leurs expériences en ligne, lorsqu’ils parlent de leur orientation sexuelle et de leur identité de genre. Les résultats, référencés dans cet article, soulignent les challenges uniques rencontrés par la communauté LGBTQ.

24/06/2019

Flouter et supprimer les informations de vos photos et vidéos avec un smartphone

Un tuto pour dégager les traces laissées derrière soi quand on prend des photos et vidéos avec son smartphone

10/09/2018

Qu’est-ce qu’on connaît de Signal ?

Notes

Compléments d'info à l'article

Articles de la même thématique : Surveillance informatique

Articles de la même thématique : Communications sécurisées

NEWSLETTER

Chaque semaine, une sélection des derniers articles publiés