Qu’est-ce qu’on connaît de Signal ?

Signal est une bonne application de messagerie si on la compare avec des monstres comme Telegram ou Whatsapp qui appartient à Facebook. Comme tout ce qui est bon ou mauvais, il faut savoir comment et quand l’utiliser. On entend dire qu’utiliser Signal est « securisé », mais qu’est-ce que ça veut dire et quel niveau de confiance peut-on lui donner ? [Mise à jour le 21 décembre]

JPEG - 8.5 ko

Signal [1], c’est une application de code source ouvert (OpenSource) [2], ça veut dire que le code pour le faire fonctionner est disponible pour tout le monde, de façon à ce que les gens qui comprennent le code puissent voir comment c’est fait. S’il y a des erreurs ou des changements que des gens veulent faire, cette appli peut être transformée.

Signal propose deux types de messagerie :

  • une messagerie classique de SMS sans aucun chiffrement des messages
  • une messagerie entre gens qui utilisent Signal, avec un chiffrement de bout en bout [3] des messages, en utilisant les données d’internet. Ça veut dire que les messages sont fermés à clé et que seules les personnes qui ont cette clé peuvent l’ouvrir. En théorie, ces messages ne peuvent pas être vus par des tierces personnes. MAIS pour être sûres de ça il faudra faire quelques vérifications :

* Être sûre que l’application que tu as téléchargé a bien la signature des personnes qui l’ont crée. Que personne ne l’a prise et modifiée avant que tu ne la télécharges, avec par exemple l’ordre d’envoyer une copie de tous les messages sur un autre serveur pour les intercepter.
Normalement si tu as téléchargé l’application dans un site officiel comme les boutiques de google ou apple, tu peux avoir confiance dans le fait que personne d’autre n’a touché le code avec des intentions maléfiques.
Si tu préferes tu pourras aussi la télécharger depuis le site de Signal (https://signal.org/android/apk), puis demander à une geek de vérifier la signature, ou télécharger Signal depuis différents ordis et différentes connexions à différents moments (mais pas trop écartées pour que les versions téléchargées soient les mêmes, genre 2 jours max) et s’assurer que les fichiers sont identiques (à minima, exactement la même taille). Ensuite Signal proposera des mises à jour de temps en temps quand on se connecte via Wi-Fi. De plus, il suffit de faire la vérification de la signature une seule fois : lorsqu’on téléchargera une mise à jour et qu’on l’installera sur le téléphone, il râlera si la signature a changé.

* Le protocole de chiffrement de Signal c’est assez sympa, car les clés de chiffrements sont générées par ton application et pas dans les serveurs (les machines centrales de Signal), et sauvegardées sur le portable, donc seront accessibles seulement depuis le portable [4]. Mais, mais, mais, il faut vérifier que les communications sont bien avec les bonnes personnes, en vérifiant le numéro de sécurité dans les paramètres de chaque conversation. La clé de chiffrement a un code de numéros spécifiques pour chaque conversation, donc pour être sûre que tu communiques avec Anna il faudra vérifier que votre numéro de code de conversation est bien le même. S’il est différent ça veut dire que peut-être il y a une 3ème personne en train d’interférer dans votre communication. C’est connu comme l’attaque de l’humain du milieu [5].

PNG - 33.6 ko

Signal n’est pas parfait notamment parce qu’on l’utilise sur les portables, et qu’on ne peut pas donner notre confiance totale aux portables ; par rapport à Signal il faut savoir que :

* Le numéro de téléphone de la carte SIM est impérativement nécessaire pour commencer à utiliser cette application, et la plupart du temps il est lié à un contrat avec ton fournisseur d’abonnement téléphonique qui a demandé à vérifier ton identité réelle. De la même manière que les gens avec qui tu communiques sur Signal ont des cartes SIM liées à leur vrai état civil.

* C’est possible de bloquer l’inscription avec un numéro NIP, ça veut dire « numéro d’identification personnel ». Si on met en place un NIP (ça se fait dans les paramètres de Signal), ça fait que si une personne essaie de créer un compte signal avec le même numéro que nous sur un nouveau périphérique (ordinateurs ou portables), Signal lui demandera le NIP. Avec cette opération tu seras presque sûre que personne d’autre n’arrivera à utiliser ton identité pour installer Signal sur son portable.
Par exemple, ça permet d’éviter que les flics demandent une copie de ta carte SIM à l’entreprise téléphonique, installent Signal en utilisant ton numéro téléphone, et que tous tes messages (entrants et sortants) de Signal arrivent sur le portable des flics en temps réel.

* Les informations comme la date et l’heure d’envoi et qui a reçu le message, sont des infos qui restent dans le serveur mais les administratrices de Signal disent qu’elles ne sont pas gardées longtemps [6].

* Signal protège bien les messages et les appels, comme aussi les pièces jointes (photos, documents, message d’audio... ) mais elles sont plus vulnérables aux attaques car elles peuvent être gardés sur le portable et eux peuvent être plus facilement attaqués [7]

JPEG - 38.1 ko

Une fois qu’on connaît tous les problèmes et tous les avantages de Signal, il faut qu’on se pose quelques questions avant de l’utiliser. C’est à toi et tes contacts de réfléchir et de choisir :

1. Quelles informations sont sensibles ?
2. De qui on se protège, c’est qui notre ennemi ?
3. Quelles informations doivent être à tout prix cachées aux ennemis ?
4. Quels sont les problèmes si ces informations arrivent aux ennemis ?

Basiquement, aucune communication « sensible » ne doit être sur un téléphone portable, car les portables sont plus facilement liés à une identité réelle, et sont plus facilement contrôlables [8].

Si tu utilises déjà Signal, c’est important de savoir que les versions plus anciennes de Signal-4.47.7 ont eu un gros gros problème de sécurité  [9]. C’est possible d’accéder au micro sans que la personne le sache et d’écouter tout autour du portable comme si c’était un appel. En fait les méchants ont réussi à contrôler les appels sans que Signal te prévienne, et ont eu un accès total au micro. Donc si tu veux pas qu’ils écoutent tes blagues géniales, fais une mise à jour de Signal.

Pour l’actualiser, soit tu utilises ta boutique d’applications google ou apple, soit tu utilises le site officiel de Signal et tu télécharges la nouvelle version de Signal. C’est toujours important de maintenir à jour nos applications et nos systèmes d’exploitation. Si elles sont bien à jour ce sera plus difficile d’être attaquée, chaque erreur sera reparée à chaque version, donc ce sera plus difficile pour les attaquantes.

Bonne communication à toutes.



Proposer un complément d'info

modération a priori

Ce forum est modéré a priori : votre contribution n’apparaîtra qu’après avoir été validée par un administrateur du site.

Qui êtes-vous ?
Se connecter
Votre message

Pour créer des paragraphes, laissez simplement des lignes vides.

Lien hypertexte

(Si votre message se réfère à un article publié sur le Web, ou à une page fournissant plus d’informations, vous pouvez indiquer ci-après le titre de la page et son adresse.)

Ajouter un document

  • Le 18 décembre 2019 à 00:49, par gagz

    Salut,

    * Le numéro de téléphone de la carte SIM est impérativement nécessaire pour commencer à utiliser cette application, et il est lié à notre identité réelle. De la même manière que les gens avec qui tu communiques sur Signal ont des cartes SIM liées à leur vrai état civil.

    Bin pas forcément. Plein de gens ont des cartes sim pas liées à leur état civil. Envoyer des fausses infos marche pour quasi tous les opérateurs à part sfr/bouygues/orange. Beaucoup de gens font ça !
    Aussi, on peut utiliser n’importe quel numéro auquel on a accès pour créer un compte signal. Même un fixe, même une cabine, même un numéro random trouvé sur internet (mais alors, penser au NIP :p).

    * C’est possible de bloquer l’inscription avec un numéro NIP, ce code sera demandé chaque fois que Signal est installé sur un nouveau périphérique (ordinateurs ou portables). Avec cette opération tu seras presque sûre que personne d’autre n’arrivera à utiliser ton identité pour installer Signal sur son portable.
    Par exemple, ça permet d’éviter que les flics demandent une copie de ta carte SIM à l’entreprise téléphonique, installent Signal en utilisant les identifiants de ton numéro téléphone, et que tous tes messages (entrants et sortants) de Signal arrivent sur le portable des flics en temps réel.

    Cette partie pourrait être plus claire !
    NIP ça veut dire « numéro d’identification personnel », c’est la version francophone de PIN (comme un code PIN). Si on met en place un NIP (ça se fait dans les paramètres de Signal), ça fait que si une personne essaie de créer un compte signal avec le même numéro que nous, Signal lui demandera le NIP. Une personne peut avoir le même numéro que nous dans plusieurs situations : les keufs demandent (jamais entendu parler, mais c’est techniquement possible), on perd notre numéro, un bug de l’opérateur fait que plusieurs personnes ont le même numéro (déjà vu !).
    Du coup il ne s’agit pas d’identité, mais de numéro de téléphone, et c’est très important !

    * Les informations de qui envoie un message, à qui et à quel moment, sont des infos qui restent dans le serveur mais les administratrices de Signal disent qu’elles ne sont pas gardées pour longtemps [7].

    Ça a changé en octobre 2018 : https://arstechnica.com/information-technology/2018/10/new-signal-privacy-feature-removes-sender-id-from-metadata/
    Depuis, signal voit uniquement l’heure et la date d’envoi et de réception (pas l’heure de lecture), et le numéro de destination du message. Le numéro de l’expéditeurice n’est visible que sur le téléphone des destinataires.

    * Signal protège bien les messages et les appels, mais les pièves jointes sont plus vulnérables aux attaques (photos, documents, message d’audio... ) [8]

    J’ai l’impression que vous vous basez sur cette partie :

    The encryption key is generated the first time the user signs in to Signal on the device. […] Without that key one can only extract attachments (pictures, documents, voice messages etc.)

    Avez-vous trouvé d’autres sources ? De ma compréhension, Signal chiffre tout dans la base SQLite (avec sqlcipher), donc il ne devrait pas y avoir de différence entre les types de messages. Par contre, l’article parle plus probablement des pièces jointes qu’on sauvegarde dans le téléphone (par exemple une photo reçue par signal, qu’on veut mettre dans le dossier Images du tél).

    Pour l’actualiser, soit tu utilises ta boutique d’applications google ou apple, soit tu utilises le site officiel de F-Droid et tu télécharges la nouvelle version de Signal.

    Ah, je pense que vous avez pas dû essayer avec f-droid :)
    Signal n’est pas dans f-droid. Du coup pour les personnes sous Android n’utilisant pas le Play Store, je vois deux possibilités :

    • Ajouter les dépots de Langis dans f-droid, et utiliser Langis (hm, à l’heure où j’écris le site est down, mais bon : http://langis.cloudfrancois.fr/)
    • Télécharger Signal depuis le site de Signal (https://signal.org/android/apk), puis demander à un·e geek de vérifier la signature, ou télécharger Signal depuis différents ordis et différentes à différents moments (mais pas trop écartées pour que les versions téléchargées soient les mêmes, genre 2 jours maax) et s’assurer que les fichiers sont identiques (à minima, exactement la même taille). Ensuite Signal proposera des mises à jour de temps en temps quand on se connecte via Wi-Fi. De plus, il suffit de faire la vérification de la signature une seule fois : lorsqu’on téléchargera une mise à jour et qu’on l’installera sur le téléphone, il râlera si la signature a changé.

    PS : je suis intéressée pour écrire un truc plus complet sur les téléphones, hésitez pas à me joindre pour faire ça à plusieurs.

Articles de la même thématique : Communications sécurisées

Entretien avec LEAP, un projet d’accès chiffré à internet.

On démêle l’internet, les grandes entreprises du web qui vivent de l’exploitation de nos données. Comment peut-on surfer sans tout leur donner ? On en parle avec les gens de LEAP qui nous expliquent comment fonctionne leur projet, en expliquant le chiffrement, le serveur, le VPN, le Riseup VPN, en réfléchissant à qui on fait confiance et pourquoi.

Mémoires vives de Edward Snowden - Lecture et discussion

Présentation et discussion à propos de la surveillance d’Internet, à partir de lectures d’extrait de la biographie d’Edward Snowden. Le mercredi 22 janvier à l’Espace autogéré des Tanneries.

Pour vivre heureu·ses, vivons caché·es

L’association Coagul propose deux évenements autour de la surveillance informatique et des moyens de sécuriser nos usages d’internet, les 18 et 19 octobre.

Articles de la même thématique : Surveillance informatique

La Gazette des confiné·es #14 - Censure du web, éducation numérique et manifs empêchées

Resterons-nous libres de vous informer encore longtemps ? Cette quatorzième Gazette s’ouvre par la fin. La fin du parcours législatif de la loi Avia, promesse de censure et d’arbitraire. On s’interroge. Est-il permis d’évoquer les sabotages d’antennes et de câbles attribués à l’« ultragauche » par les renseignements ? D’afficher les startuppers pour qui l’école numérique est une promesse d’argent ? De critiquer la collapsologie ainsi que Martin Hirsh et ses errements ? Ou serons-nous rattrapés par les chaussettes à clous pour crime de pensée ? Les manifestant·es du 11 mai l’ont appris à leurs dépens. L’ambiance est policière.

La Gazette des confiné·es #12 - Autonomie alimentaire, contrôle de l’info et carte tricolore

Sauver les apparences quand les faits vous échappent, c’est ce à quoi s’emploient Philippe, Borne et Véran. Sommés par le château de remettre tout en marche, ils occupent sans compter presque tous nos écrans. « Masques et tests manquent ? C’est bien embarrassant. Vite ! publions une carte des départements. Génératrice de stress, c’est l’intention qui compte. Croyez-nous sur parole, elle sera prête à temps. Comme nous aimons la presse, se trouvent à notre adresse les meilleurs « fact-checking » sur le confinement. Cette sélection vous choque ? Vous la dites orientée ? Montrez-nous vos papiers ! Quittez Bure prestement ! »

Du développement d’internet aux dispositifs de surveillance dans l’émission Mayday

Mayday, un programme de radio canut propose 2 émissions revenant sur l’histoire d’internet, notre rapport aux écrans et aux flux d’informations. L’occasion aussi de faire le point sur les différents dispositifs de contrôle qui se déploient d’autant plus vite que la pandémie progresse. Retrouvez aussi les héros du CSOUFLE notre dernière fiction radiophonique.