Dans le monde numérique daujourdhui, la sécurité des applications de messagerie est une préoccupation majeure pour les utilisateurs. Récemment, une lutte acharnée pour la suprématie en matière de sécurité a éclaté entre deux géants de la messagerie chiffrée : Telegram et Signal. Cette bataille a pris une tournure intense lorsque Telegram a lancé une campagne agressive pour discréditer Signal, le présentant comme une application peu sûre.La controverse a été alimentée par des commentaires de pe...
Faut pas éluder le propos parce que c’est l’autre malade qui le scande. On peut aussi avoir un avis objectif je pense.
C’est pas le serveur de Signal qui est proprio? Ca intègre le service de Google Push …
Personnellement ça m’inspire pas super confiance non plus.
Quitte a être secure je préfère autant du Fédéré avec OTR/PGP sur un serveur que je maitrise et que je déploie ou alors une app 100% P2P. Tout le reste en serveur centralisé ça vaut pas grand chose coté vie privée. Après c’est aussi une histoire de sémantique ou je ne fais pas de distinguo entre vie privée et sécurité c’est pas le cas de tout le monde et j’entends tout à fait.
Les paranos que je connais (et le gouvernement Fr quand il a voulu faire une messagerie secure) choisissent Matrix, un protocole complètement ouvert, fédéré et self-host. Ça vient avec ses propres problèmes mais c’est l’autre solution acceptable.
Perso je trouve que Signal et Matrix sont les deux meilleures solutions. Après, toutes les solutions chiffrées E2E restent au dessus de Telegram AMHA, ce qui inclue la plupart des messageries modernes (oui, même Facebook messenger). Telegram est contrôlé par un Russe qui vit à Dubai. Qui a eu des démêlées avec le Kremlin mais « les a résolues en faisant plier le gouvernement russe ». Mouais.
Je préfère XMPP le fonctionnement du serveur Matrix est très consommateur de ressources. Il charge au démarrage tous les salons quitte à mettre le serveur qui l’heberge à genoux. XMPP est beaucoup moins gourmand et facilement deployable.
Du coup comme un serveur Matrix c’est pas un petit serveur c’est en général un tiers de confiance et donc on revient au même problème selon moi. Donc je prvilégie un truc facile, sobre, deployable sans formation, pas forcément le truc le plus secure mais le truc le plus cohérent (pour moi).
Je connais pas du tout IRCv3 tu piques ma curiosité. XMPP si on se limite a XMPP ouais c’est assez désert mais bon ça peux s’interfacer avec pleins de trucs dont IRC. Après, ok je te rejoins sur le fait que si on commence à mettre des passerelles en place sur son serveur (Matrix, IRC, etc) au final on est plus du tout dans un truc simple.
C’est pas insurmontable mais tout de même très gourmand en ressources comparé a XMPP. Je te trouve dur avec les clients qu’est ce que tu leur reproche? Les plus avancés sont Gajim et Conversations. Si tu prends ceux-là en exemple quelle fonctionnalité essentielle te fais défaut?
Le « marché » de XMPP c’est les chats de groupes privés (famille, copains…) et les chats 1:1 en ce moment, juger le nombre d’utilisateur sur les (rares) groupes publics c’est pas très pertinent.
les clients sont pas au point
Les vieux et/ou techno-incultes de ma famille utilisent Conversations, Quicksy et Monal sans problème, ça va le FUD?
c’est pas non plus insurmontable d’installer une instance Matrix.
…ouaip d’ailleurs, les salons jlai.lu sont sur… matrix.org, la mega grosse instance sur laquelle tout est. En avoir rien à foutre de la consommation énergétique du bousin, c’est pas très XXIè siècle quand même.
Un serveur proprio ne change rien avec le chiffrement bout-à-bout et si tu peux avoir confiance dans le client (ce qui je crois est le cas de Signal ?). Google n’a pas accès au contenu des messages, ni même aux métadonnées; Google sait juste que tu utilises Signal.
Peut être mais quitte à choisir je préfère une solution que j’équilibre ou j’adapte même en choisissant de faire des erreurs que me reposer sur l’épaule d’un géant sans savoir où il va.
Il y a de gros warning à mon sens: Siège social US + Serveur proprio + Play Store + Annuaire centralisé + Obligation du mail ou N° de Téléphone. C’est certainement très secure, prouvé et tout ce qui s’en suis. Par contre sur toutes les autres solutions fédérées personne ne me demande tout ça.
Oui Signal partage moins de metadatas. Mais les metadatas que XMPP envoie sont essentielles et non invasives, de plus il est possible de choisir ses serveurs de confiance et de paramétrer ce que tu envoies.
https://xmpp.org/about/myths/
Une discussion intéressante sur Hacker News soulève également le problème du numéro de téléphone qui est un “lien fort” ce qui se révèle à mon sens + problématique que des metadatas essentielles et limitées dont le protocole a besoin pour fonctionner.
https://news.ycombinator.com/item?id=29871358
On va croire que je suis un pro XMPP à fond alors qu’en fait pas forcément je l’ai déployé par le passé mais actuellement j’ai quelques adresses XMPP et je vais être honnête je m’en sers pas des masses. En réalité ça me semble être une bonne solution à mi chemin pour le particulier un peu curieux qui s’intéresse à sa vie privée. C’est formateur, la communauté est sympa et ça permet en déployant et configurant facilement de comprendre certains concepts.
Les metadata essentielles c’est justement le plus confidentiel ! Savoir qui communique avec qui et quand, ça permet de recréer tout un arbre de relation, c’est ultra privé.
OTR c’est pas dépassé ? Pour info avec XMPP tu peux faire du GPG ou bien du OMEMO si tu veux être plus moderne (c’est le protocol E2EE de Signal, version XMPP).
Faut pas éluder le propos parce que c’est l’autre malade qui le scande. On peut aussi avoir un avis objectif je pense.
C’est pas le serveur de Signal qui est proprio? Ca intègre le service de Google Push … Personnellement ça m’inspire pas super confiance non plus.
Quitte a être secure je préfère autant du Fédéré avec OTR/PGP sur un serveur que je maitrise et que je déploie ou alors une app 100% P2P. Tout le reste en serveur centralisé ça vaut pas grand chose coté vie privée. Après c’est aussi une histoire de sémantique ou je ne fais pas de distinguo entre vie privée et sécurité c’est pas le cas de tout le monde et j’entends tout à fait.
Les paranos que je connais (et le gouvernement Fr quand il a voulu faire une messagerie secure) choisissent Matrix, un protocole complètement ouvert, fédéré et self-host. Ça vient avec ses propres problèmes mais c’est l’autre solution acceptable.
Perso je trouve que Signal et Matrix sont les deux meilleures solutions. Après, toutes les solutions chiffrées E2E restent au dessus de Telegram AMHA, ce qui inclue la plupart des messageries modernes (oui, même Facebook messenger). Telegram est contrôlé par un Russe qui vit à Dubai. Qui a eu des démêlées avec le Kremlin mais « les a résolues en faisant plier le gouvernement russe ». Mouais.
Je préfère XMPP le fonctionnement du serveur Matrix est très consommateur de ressources. Il charge au démarrage tous les salons quitte à mettre le serveur qui l’heberge à genoux. XMPP est beaucoup moins gourmand et facilement deployable.
Du coup comme un serveur Matrix c’est pas un petit serveur c’est en général un tiers de confiance et donc on revient au même problème selon moi. Donc je prvilégie un truc facile, sobre, deployable sans formation, pas forcément le truc le plus secure mais le truc le plus cohérent (pour moi).
Ou mais XMPP y a personne dessus et les clients sont pas au point malgré un protocole qui a des décennies. À ce stade autant utiliser IRCv3.
Et puis bon, y a des images docker, c’est pas non plus insurmontable d’installer une instance Matrix.
Toujours en attente des threads sur XMPP
Ok c’est vrai ça. On s’habitue à des situations délétères mais c’est pas une solution en effet. ;)
Je connais pas du tout IRCv3 tu piques ma curiosité. XMPP si on se limite a XMPP ouais c’est assez désert mais bon ça peux s’interfacer avec pleins de trucs dont IRC. Après, ok je te rejoins sur le fait que si on commence à mettre des passerelles en place sur son serveur (Matrix, IRC, etc) au final on est plus du tout dans un truc simple.
C’est pas insurmontable mais tout de même très gourmand en ressources comparé a XMPP. Je te trouve dur avec les clients qu’est ce que tu leur reproche? Les plus avancés sont Gajim et Conversations. Si tu prends ceux-là en exemple quelle fonctionnalité essentielle te fais défaut?
Le « marché » de XMPP c’est les chats de groupes privés (famille, copains…) et les chats 1:1 en ce moment, juger le nombre d’utilisateur sur les (rares) groupes publics c’est pas très pertinent.
Les vieux et/ou techno-incultes de ma famille utilisent Conversations, Quicksy et Monal sans problème, ça va le FUD?
…ouaip d’ailleurs, les salons jlai.lu sont sur… matrix.org, la mega grosse instance sur laquelle tout est. En avoir rien à foutre de la consommation énergétique du bousin, c’est pas très XXIè siècle quand même.
Un serveur proprio ne change rien avec le chiffrement bout-à-bout et si tu peux avoir confiance dans le client (ce qui je crois est le cas de Signal ?). Google n’a pas accès au contenu des messages, ni même aux métadonnées; Google sait juste que tu utilises Signal.
Peut être mais quitte à choisir je préfère une solution que j’équilibre ou j’adapte même en choisissant de faire des erreurs que me reposer sur l’épaule d’un géant sans savoir où il va.
Il y a de gros warning à mon sens: Siège social US + Serveur proprio + Play Store + Annuaire centralisé + Obligation du mail ou N° de Téléphone. C’est certainement très secure, prouvé et tout ce qui s’en suis. Par contre sur toutes les autres solutions fédérées personne ne me demande tout ça.
Signal limite les méta-données, pas les autres solutions car c’est impossible en fédéré
Oui Signal partage moins de metadatas. Mais les metadatas que XMPP envoie sont essentielles et non invasives, de plus il est possible de choisir ses serveurs de confiance et de paramétrer ce que tu envoies. https://xmpp.org/about/myths/
Une discussion intéressante sur Hacker News soulève également le problème du numéro de téléphone qui est un “lien fort” ce qui se révèle à mon sens + problématique que des metadatas essentielles et limitées dont le protocole a besoin pour fonctionner. https://news.ycombinator.com/item?id=29871358
On va croire que je suis un pro XMPP à fond alors qu’en fait pas forcément je l’ai déployé par le passé mais actuellement j’ai quelques adresses XMPP et je vais être honnête je m’en sers pas des masses. En réalité ça me semble être une bonne solution à mi chemin pour le particulier un peu curieux qui s’intéresse à sa vie privée. C’est formateur, la communauté est sympa et ça permet en déployant et configurant facilement de comprendre certains concepts.
Les metadata essentielles c’est justement le plus confidentiel ! Savoir qui communique avec qui et quand, ça permet de recréer tout un arbre de relation, c’est ultra privé.
https://signal.org/blog/the-ecosystem-is-moving/
(Je parlais juste du côté sécurité, il y a d’autres trucs comme ceux que tu cites qui me font dire que c’est pas la panacée non plus)
OTR c’est pas dépassé ? Pour info avec XMPP tu peux faire du GPG ou bien du OMEMO si tu veux être plus moderne (c’est le protocol E2EE de Signal, version XMPP).
Oui désolé je suis dépassé et ma langue a fourchée, OMEMO bien sûr! :)