Signal explique avoir été victime d'une censure en Égypte et aux Émirats arabes unis. L'éditeur de l'application a trouvé un moyen de la contourner, et propose des mises à jour de ses applications pour Android et iOS.
Signal est une application de messagerie chiffrée disponible sur Android et iOS. Elle a le vent en poupe ces derniers temps, notamment grâce à la médiatisation de l'affaire Snowden et à son utilisation par le lanceur d'alerte. Au cours des dernières semaines, elle a eu droit à plusieurs mises à jour, notamment avec la suppression automatique des messages et une vérification simplifiée des conversations sécurisées.
Censuré dans certains pays, Signal déploie des contre-mesures
Mais Signal ne plait visiblement pas à tout le monde. L'application affirme avoir été bloquée en Égypte, notamment. Open Whisper Systems, l'éditeur du service, expliquait alors qu'une mise à jour permettant de « contourner la censure » serait prochainement mise en place. C'est désormais le cas.
We'll begin deploying censorship circumvention in Signal over the next several weeks. Until then, Tor or a VPN can be used to access Signal.
— Open Whisper Systems (@whispersystems) 19 décembre 2016
Dans un billet de blog, l'équipe d'Open Whisper Systems s'explique. Pour une application comme Signal, l'objectif est de ne laisser qu'une seule option à un gouvernement qui souhaite bloquer son utilisation : couper complètement l'accès à Internet. Pour cela, Signal utilise une technique déjà éprouvée, le « domain fronting ».
Le principe est simple. En apparence, le service semble communiquer avec un serveur qui n'est pas bloqué (et difficilement blocable), alors qu'en réalité il s'adresse à un autre serveur, l'adresse réellement visée étant « cachée ». Tous les détails sont disponibles par ici. Cette technique est par exemple utilisée par Tor.
Quand Signal fait croire qu'il s'agit d'une requête vers Google.com
Avec la dernière mise à jour sur Android, les utilisateurs qui ont un numéro de téléphone provenant d'Égypte et des Émirats arabes unis ont le « domain fronting » activé automatiquement. Open Whisper Systems explique que, « lorsque ces utilisateurs envoient un message Signal, il ressemblera à une demande HTTPS normale vers www.google.com. Pour bloquer les messages de Signal, ces pays devraient également bloquer entièrement google.com ».
Et il ne s'agit que d'un exemple et il est possible de passer par d'autres serveurs comme ceux d'Amazon, d'Azure, de CloudFlare, d'Akamai, etc. Les prochaines mises à jour de Signal intégreront un système de détection et de contournement automatique de la censure.
Cette fonctionnalité est dès à présent disponible sur Android et iOS. Sachez enfin que les notes de versions de l'application 3.25.3 sur Android indiquent quelques nouveautés supplémentaires, mais bien plus légères cette fois-ci : la possibilité d'ajouter des autocollants et des griffonnages sur les images, de nouveaux emojis, des miniatures pour les vidéos, etc.
