WhatsApp a communiqué pour rassurer : le récent changement de sa politique de confidentialité n’a rien à voir avec les conversations privées. Alors que de nombreux utilisateurs s’en vont vers Signal et Telegram, la filiale de Facebook l’assure, rien n’a changé. Ou presque.
Si vous utilisez Signal ou Telegram, vous l’avez peut-être constaté ces derniers jours en ouvrant ces applications : un arrivage frais de nouvelles personnes. Que s’est-il passé ? Dans un contexte déjà sensible pour Facebook, l’entreprise a communiqué pour annoncer que les conditions d’utilisation de WhatsApp changeaient.
Comme nous l’avons déjà indiqué, les modifications ont trait à la manière dont la messagerie communique avec les entreprises, Facebook souhaitant clairement renforcer ce segment. En outre, les utilisateurs européens ne sont pas concernés, même si une notification est apparue quand même sur votre écran. Au sein des frontières européennes, les conditions restent les mêmes que depuis plusieurs années.
Un ensemble de facteurs a cependant provoqué un début d’hémorragie des utilisateurs, propulsant Signal et Telegram en tête des téléchargements gratuits sur Android comme sur iOS, au-delà d’applications extrêmement populaires comme Tik-Tok, YouTube, Instagram, Snapchat ou encore Netflix.
Et il y a des conséquences, tant pour Facebook que chez d’autres entreprises, certaines n’ayant pas manqué de réagir à leur manière.
Une conjonction de facteurs
L’exercice de communication de WhatsApp s’est d’abord déroulé dans un contexte spécifique. Des deux côtés de l’Atlantique, la tension monte contre les GAFAM. En Europe, les yeux sont tournés vers les Digital Services Act (DSA) et Digital Market Act (DMA), deux règlements présentés mi-décembre par les commissaires Thierry Breton (au Marché Intérieur) et Margrethe Vestager (à la Concurrence). « Nous allons réguler l'espace numérique », affirmait ainsi Thierry Breton aux Echos.
Aux États-Unis aussi le ton monte. De manière beaucoup plus diffuse certes, mais une prise de conscience bipartisane s’installe durablement au Congrès. Pour preuve, le fameux rapport établi par une sous-commission de la Chambre des représentants, aux conclusions radicales : les GAFA présentent de nombreux comportements problématiques, et le cadre doit être copieusement durci pour en réguler l’activité. Le rapport allait même jusqu’à proposer le démantèlement pour séparer des activités dont les connexions aujourd’hui sont dénoncées, comme la place de marché d’Amazon, sur laquelle l’entreprise est elle-même présente.
Depuis le 1er janvier, Apple a également activé les fiches d’informations sur la vie privée pour les applications de son App Store. Depuis, une information a beaucoup circulé : une comparaison des données aspirées par quatre applications. On peut y voir Signal n’en réclamer aucune, iMessage quelques-unes, WhatsApp nettement plus et Messenger en avaler une quantité phénoménale.
Certes WhatsApp n’est pas Messenger, loin de là. S’il fallait rappeler une seule différence, ce serait le chiffrement de bout en bout : Facebook peut lire les messages de Messenger, pas ceux de WhatsApp. En tout cas pour le moment.
Il y a, plus globalement, une sensibilisation à la vie privée qui progresse. Une avancée lente et laborieuse, mais une prise de conscience croissante quand même : le seul fait qu’un service soit gratuit n’est plus le seul critère à prendre en compte. Ce, même si les autres problématiques paraissent toujours aussi nébuleuses chez certaines catégories d’utilisateurs, notamment les plus jeunes.
Cette prise de conscience est due, au moins en partie, à Facebook. Les multiples scandales des trois dernières années, Cambridge/Analytica en tête, ont pris une telle ampleur – notamment par leur proximité – qu’ils ont débordé dans la presse plus généraliste. Netflix s’est même emparé de l’affaire Cambridge/Analytica pour en faire un documentaire (The Great Hack).
WhatsApp clarifie sa position
Il y a quelques jours, WhatsApp a donc publié un message pour avertir les utilisateurs de la plupart des régions du monde que les conditions d’utilisation allaient changer. Des informations vont être partagées avec Facebook, alors même qu’un réglage permettait jusqu’à présent de bloquer ce transfert. Le refus de ces conditions d’utilisation entrainera l’impossibilité d’utiliser le service à compter du 8 février.
Les boucliers se sont rapidement levés, dénonçant une pratique d’autant plus visible que le contexte l’exposait comme une « goutte de trop ». Dans les jours qui ont suivi, le nombre d’inscriptions à Signal et Telegram a grimpé en flèche. WhatsApp a donc fini par réagir.
Dans une page dédiée (et via un tweet), la filiale de Facebook tient donc à rappeler ses fondamentaux :
- Ni WhatsApp ni Facebook ne peuvent lire les messages ou écouter les appels sur WhatsApp, dans quelque contexte que ce soit. Conséquence du chiffrement E2E que WhatsApp s’engage à ne jamais affaiblir.
- L’historique des destinataires de messages ou d’appels n’est pas conservé : « conserver ces données pour deux milliards d’utilisateurs serait un risque à la fois pour la confidentialité et la sécurité ».
- La localisation partagée dans une conversation n’est visible ni de WhatsApp ni de Facebook.
- Les contacts ne sont pas partagés avec Facebook.
WhatsApp ajoute que l’on peut télécharger un rapport de compte à tout moment. Il s’agira d’une collection des informations que le service engrange. Chiffrement de bout en bout oblige, le contenu de messages n’y apparait pas.
La filiale précise, « pour encore plus de confidentialité », que l’on peut paramétrer les discussions pour que les messages envoyés s’effacent d’eux-mêmes au bout d’un certain temps. La formulation est étrange : pourquoi parler de confidentialité supplémentaire si le chiffrement garantit qu’aucun tiers ne lira les échanges ? À moins que WhatsApp évoque les destinataires de l’utilisateur.
Le cœur du message est cependant que les nouvelles conditions ne s’appliquent que si une personne contacte une entreprise via WhatsApp. Une fonction que l’éditeur a certes renforcée ces deux dernières années – notamment en permettant l’affichage de catalogues interactifs – mais qui reste optionnelle. Il le répète : rien ne change dans un cadre d’usage privé.
Mais alors, qu’est-ce qui a vraiment changé ?
En pratique, pas grand-chose, et en Europe, rien. Sur le Vieux Continent, les utilisateurs sont protégés par le RGPD. En outre, WhatsApp avait changé ses conditions d’utilisation en Europe début 2018, après avoir écopé d’une amende européenne de 110 millions d’euros en mai 2017 pour avoir fourni des « renseignements dénaturés » lors du rachat de WhatsApp, puis d’une mise en demeure de la CNIL en décembre de la même année.
Rappelons d’abord qu’en 2016, Facebook avait annoncé que certaines informations périphériques de WhatsApp allaient dorénavant tomber dans l’escarcelle des informations servant à personnaliser la publicité sur le réseau social.
Dans le sillage de l’annonce, 30 jours étaient laissés aux utilisateurs pour cocher une option empêchant cette utilisation des données. Cette différence est capitale : Facebook collectait quand même les données, mais ne les utilisait pas pour ses publicités.
Le 8 février, le blocage optionnel perdra son effet, et les données ainsi récupérées pourront donc être utilisées. Pour l’immense majorité des utilisateurs, la bascule n’aura pas d’effet, car l’option n’avait été que peu mise en avant en 2016, et beaucoup ignoraient son existence. En outre, toutes les personnes arrivées sur WhatsApp après cette date ne l’ont jamais connue, et leurs données sont utilisées depuis plusieurs années.
Qu’il s’agisse de l’option ou du changement annoncé la semaine dernière, on est donc dans un défaut de communication. Quand de telles modifications sont faites sur un service, toute personne devrait être à même de comprendre les enjeux sans avoir fait d’études en informatique ou en droit. Le rattrapage récent de WhatsApp est précisément ce qui aurait dû être publié d’emblée.
C’est d’ailleurs l’avis de l’Electronic Frontier Foundation : « La bonne nouvelle est que, globalement, cette mise à jour ne fait aucun changement extrême dans la manière dont WhatsApp partage ses données avec sa société mère Facebook. La mauvaise nouvelle est que ces changements extrêmes ont en fait eu lieu il y a quatre ans ». La fondation estime que la réaction actuelle est due en grande partie à la découverte de ce changement par les utilisateurs.
Même avis chez Proton, où on regrette l’évolution du service, qui « complète le glissement de WhatsApp d’un service de messagerie relativement privé à un simple morceau du panoptique de Facebook, ce que les détracteurs ont anticipé depuis que Facebook a racheté l’entreprise en 2014. Ce changement signifie que les plus de deux milliards d’utilisateurs de Facebook devront fournir leurs données personnelles à la même entreprise célèbre pour son dédain pour la vie privée ». Proton compte la totalité des utilisateurs de WhatsApp même si, encore une fois, les Européens ne sont pas concernés.
Les beaux jours de Signal et Telegram
Plusieurs jours après l’annonce initiale de WhatsApp, le soufflé ne retombe toujours pas. Les deux concurrents de WhatsApp que sont Signal et Telegram ont eu largement de quoi se réjouir, tant leur nombre de téléchargements a augmenté.
Chez Signal, on publiait cette nuit des chiffres éloquents : sur le Play Store de Google, la base installée est passée de plus de 10 millions à plus de 50 millions. On est évidemment loin du 1,5 milliard d’utilisateurs de WhatsApp, mais cet appel d’air pourrait enfler, au fur et à mesure que l’application pénètre des marchés dans lesquels elle n’avait pas pris, notamment le Brésil, où WhatsApp règne en maitre. En outre, il ne s’agit que des seuls téléchargements pour Android, le chiffre n’est pas donné sur l’App Store d’iOS.
Il faut dire que Signal a bénéficié de jolis petits coups d’accélérateurs de personnalités bien en vue. À commencer par Elon Musk, qui le 7 janvier a publié un tweet aussi lapidaire qu’efficace : « Use Signal ». Et pourtant, le message n’a pas été compris de tout le monde : des investisseurs ont acheté massivement des actions de Signal Advanced, dont l’action est passée de 60 cents le 4 janvier à 70,85 dollars deux jours plus tard. L’entreprise, spécialisée dans la fabrication de composants, avait rapporté n’avoir généré aucun chiffre d’affaires en 2015 et 2016. En quelques jours, sa valeur a dépassé les 3 milliards de dollars.
Jack Dorsey, cofondateur et PDG de Twitter, a publié le 10 janvier une capture de Signal en première position dans le classement des applications gratuites sur l’App Store. Il s’en réjouissait manifestement, puisque l’image était accompagnée d’un cœur rouge.
Chez Telegram, on annonce l’arrivée de 25 millions de nouveaux utilisateurs en à peine 24 heures après l’annonce de WhatsApp, lui faisant dépasser la barre des 500 millions d’utilisateurs en fin de semaine dernière. 38 % des arrivants venaient d’Asie, 27 % d’Europe, 21 % d’Amérique latine et 8 % du Moyen-Orient et d’Afrique du Nord.
Ce qui fait dire à Pavel Durov, fondateur de Telegram : « Les gens ne veulent plus échanger leur vie privée contre des services gratuits. Ils ne veulent plus être tenus en otages par des monopoles technologiques qui ont l’air de penser qu’ils peuvent n’importe quoi, tant que leurs applications ont une masse critique d’utilisateurs ».
Contrairement à Signal, Telegram ne chiffre pas « par défaut »
Si la communication de Telegram est très clairement orientée vers la vie privée et la liberté – Durov a réaffirmé par exemple que la société n’avait jamais transmis la moindre donnée à un tiers, et on se souvient des tensions en Russie – il ne faut pas oublier que l’application ne fait pas jeu égal avec Signal. Les conversations dans Telegram ne sont en effet pas chiffrées de bout en bout par défaut. Elles ne le sont que sur celles déclarées comme « échanges secrets », qui ne peuvent d’ailleurs plus être synchronisés entre les appareils.
En outre, Telegram collecte plus de données, déploie moins de fonctionnalités de sécurité et, surtout, son algorithme de chiffrement est exotique, contrairement à celui de Signal, qui fait consensus auprès des experts en cryptographie et en sécurité informatique (voir aussi ce comparatif pour plus de précisions sur les différentes messageries). Le fait que les applications soient open source n’y change rien.
Citons une autre différence capitale entre Signal et Telegram : le premier est géré par une fondation à but non lucratif, l’autre par une entreprise qui cherche désormais à monétiser son application. Elle évoquait récemment comment elle pourrait y parvenir, en fournissant par exemple des fonctions premium aux entreprises et surtout en insérant des publicités dans les canaux de conversation. Les discussions classiques et en groupes ne seraient pas concernées, mais certains y voient un pas dans la mauvaise direction.
D’autres ont essayé également d’avancer leurs billes pour profiter de cette ambiance échaudée. C’est le cas de Microsoft, qui le 9 janvier a publié un tweet pour rebondir : « Skype respecte votre vie privée. Nous nous engageons à garder vos données personnelles privées et à ne pas les vendre à des tiers ».
Mais il faut rappeler – et c’est un point capital – que Skype n’a ni les conditions d’utilisation de Telegram ni le chiffrement de bout en bout de Signal. Le fait de préserver les données personnelles et de ne pas les revendre ne signifie pas pour autant que le service peut se hisser aux côtés des plateformes de communication les plus vertueuses.
La Turquie attaque, l’Inde proteste et l’Italie fronce les sourcils
La Turquie, de son côté, a lancé une enquête contre Facebook et WhatsApp au sujet des nouveaux termes de ses conditions d’utilisation, via son organe de lutte contre les monopoles. Le même régulateur a annoncé, selon Bloomberg, que la mise en application de ces conditions était bloquée jusqu’à nouvel ordre.
Les intentions de la Turquie ne sont toutefois pas claires. Le président du pays, Recep Tayyip Erdoğan, a une position tranchée sur les messageries, réseaux sociaux et autres plateformes d’échanges. En juillet dernier, il déclarait aux membres de son parti que la guerre était déclarée à des services comme YouTube, Twitter et Netflix pour « éradiquer l’immoralité » qu’il y estime rampante.
En Inde, une pétition a été déposée devant la Haute Cour de Dehli, demandant que le gouvernement se penche sur la question, pour empêcher tout partage des données de WhatsApp avec un tiers, même s’il s’agit de Facebook (ce que fait pourtant l’application depuis des années). Selon le Times of India, le gouvernement indien est déjà en train d’examiner la situation : « Nous rassemblons des détails », a ainsi indiqué une source. L’Inde est actuellement le plus gros marché de WhatsApp avec plus de 400 millions d’utilisateurs.
Même en Europe, alors que les utilisateurs ne sont pas concernés, les sourcils se froncent. En Italie, le GPDP a ainsi annoncé avoir contacté l’European Data Protection Board (EDPB) pour transmettre ses inquiétudes au sujet des nouvelles conditions. La CNIL italienne explique sur son site qu’en l’état actuel, les utilisateurs ne peuvent comprendre les changements introduits par les nouvelles conditions, pas plus que les traitements de données personnelles qui auront lieu après le 8 février. Indélicatesse face au RGPD, qui impose que les finalités des traitements soient clairement exposées afin que l’utilisateur puisse donner un consentement éclairé.
S’agit-il d’un mouvement pérenne ?
Difficile pour l’instant de le dire. Bien que le contexte aille progressivement vers une sensibilisation des populations aux questions de vie privée, ce combat est bien loin d’être gagné. Plusieurs facteurs jouent, dont le principal est l’inertie.
Comment ne pas penser aux premières révélations d’Edward Snowden en 2013 ? En dépit de nombreuses informations « chocs », les habitudes ont peu évolué chez le grand public, en dépit de ses propres recommandations déjà à l’époque d’utiliser Signal.
L’inertie joue à plein régime, tout particulièrement parce qu’une fois les conversations enclenchées – surtout en groupes – il devient difficile de faire déménager sa famille, ses amis et le reste de ses relations, personnelles ou professionnelles. Signal a cela dit expliqué sur Twitter comment faire migrer des groupes vers sa propre messagerie :
A lot of people have been asking how to move their group chats from other apps to Signal, and Signal group links are a great way to get started. Drop a group link into your former chat app of choice like you're dropping the mic on the way out. pic.twitter.com/q49DeZufBG
— Signal (@signalapp) January 7, 2021
Car c’est la grande force de WhatsApp, disponible à peu près partout et moins rattaché à Facebook que Messenger. Cette (très relative) indépendance lui permet notamment de proposer des inscriptions ne réclamant pas de compte Facebook. Comme d’autres messageries, le numéro de téléphone suffit. Et avec une telle base d’utilisateurs, quand « tout le monde est dessus », il n’est pas si simple de trancher les liens établis, tout en perdant l’historique des échanges.
Certains mettent également en garde contre le prosélytisme qui pourrait s’emparer soudain d’une partie de ceux qui attendaient depuis longtemps que le vent tourne. C’est le cas de Thomas Fourmeux qui, dans un billet de blog, demande aux « rabat-joie de la protection et de la vie privée » de ne pas sauter sauvagement sur les nouveaux venus pour les enguirlander parce qu’ils ne poussent pas assez loin le changement : « Quoi, tu passes à Signal, mais tu te sers encore de Gmail ? ».
Reste que la communication de WhatsApp aura été un fiasco. Même si rien ne devait changer au-delà du 8 février, le message est bien mal passé et est tombé au mauvais moment. Dans un sens ou dans l’autre, il est complexe d’arrêter un mouvement tel que celui qui a commencé, et WhatsApp espère très probablement un essoufflement face au « danger » de revoir ses habitudes.
Enfin, pour celles et ceux qui se poseraient la question, il est possible d’exporter ses données de conversation et de clôturer son compte. Dans le premier cas, on ne pourra le faire que depuis l’appareil où est installé WhatsApp (donc pas depuis la version web ou Desktop) et une conversation à la fois. Il faut se rendre dans le panneau d’information de chacune puis aller jusqu’en bas de l’écran pour appuyer sur « Exporter discussion ». On pourra alors choisir d’inclure ou non les médias.
Quant à la suppression, elle se trouve dans les paramètres de l’application, dans la section Compte. Le numéro de téléphone sera demandé pour validation. Notez que WhatsApp garde les informations jusqu’à 90 jours après la suppression, pour des questions de système de sauvegarde. Elles ne peuvent cependant pas être récupérées. Au-delà, des copies de certaines informations peuvent rester dans les bases de données, mais WhatsApp assure qu’elles sont décorrélées de toute donnée identifiante.
Commentaires (45)
#1
Alors, c’est cool NXI cet article, mais j’aurais préféré qu’il sorte dans quelques jours. Non parce que là, signal est juste… Down.
Trop de monde d’un coup. Va falloir leur laisser le temps de multiplier les serveurs.
Pour ceux qui utilisent beaucoup Signal, profitez-en pour faire un don, même pas beaucoup. J’ose pas imaginer le coût de leur infra.
#2
ah chez moi 0 soucis coté signal, pour l’instant il n’y a que les serveur qui envoi les code de validation et le serveur de connexion qui prend chere, enfin peut être que je suis sur un cdn ou je ne sais quoi mais je n’ai aucun soucis du coup si panne il y a elle n’est pas généralisée.
Edit : je n’ai rien dit il semble qu’il ne fonctionne que si on était connecté avant la panne (car on connais déjà l’ip du destinataire) en dehors de ca la panne est globale
#3
Très sympa comme article !
J’avais lu ici que, puisque Signal était hébergé sur le Google cloud messaging, celui-ci était donc soumis aux lois US donc au “Cloud Act”.
Perso, étant le “geek” de la famille, on me gave avec la question de “faut passer sur quelle appli de messagerie pour être tranquille ?”
Ma réponse était : tu héberges ton propre serveur et t’auras la main sur tes données
Bref, j’avoue que je m’y perds et c’est gonflant … Si des âmes charitables aurais un “résumé” de la meilleures des applis en comparaison à Signal et Telegram, je dirais pas non …
#3.1
https://developers.google.com/cloud-messaging n’existe plus c’est firebase cloud messaging.
Et sauf erreur, c’est utilisé pour les notifications push. Sans ca et les google play service pas de notifications.
Les gens utilisant microG (qui remplacement les google play services) comme moi peuvent t’en parler
#3.2
Tout dépend de ce que tu cherches.
Briar tu passes par Tor ou même juste Bluetooth, c’est en local sur le téléphone, échange de contact en physique etc. Le problème c’est que c’est extrêmement limité en 2021 (texte uniquement) et devoir se retaper l’association des contacts en cas de changement de phone est un problème (pas de backup/restore).
Dans la même veine, tu as Session qui semble aussi décentralisé (par une surcouche sur Tor me semble) et peut être backup/restore (avec un “seed” de restauration, une longue phrase).
Après tu as Threema, c’est centralisé mais Suisse avec un modèle de paiement une fois, licence à vie. Les serveurs sont à priori payé par la version entreprise.
On rentre dans un intéressant car validé par l’ANSSI et franco-français, Olvid, ça reste du centralisé (même business que Threema) mais tu as chiffrement de bout en bout et backup en local (ou sur leur serveur, utilisant Google drive… ), la clef de sauvegarde est généré par l’appli (32 caractères découpé en chunk de 4).
Je ne présente évidemment pas Telegram et Signal. Le seul point intéressant pour Signal serait le version nettoyé des merdes Google appelé Langis
Après tu as d’autres “approche” comme Silence qui repose sur le SMS classique mais en chiffrant se qui y passe (surcouche de chiffrement classique mis sur le protocole SMS).
Tu as évidemment une batterie d’autres solutions (il existait une app de chat dont j’ai perdu le nom qui se base sur le protocole email) pour ça, il faut un peut fouiller et voir son modèle.
Briar et Session sont en décentralisé, ce qui me semble le plus blindé, pas forcément côté sécurité mais au moins côté pérennité.
En centralisé, Olvid est validé par l’ANSSI et c’est Français, avec backup local, sinon Threema en Suisse qui repose sur le même modèle.
Si tu veux absolument utiliser Signal, la version Langlis est nettoyé des merdes de Google, c’est toujours un plus.
V’là, tu devrais avoir suffisamment de choix différent, tant au niveau réseau, technologie et approche pour choisir celle qui conviendrait le mieux.
#3.3
C’est Delta chat pour les mails. Intéressant pour Langis, mais Open Whisper n’aime vraiment pas les clients tierces, et pourrait décider de les bloquer.
Au niveau décentralisé, tu as parlé des mails, mais il y a également deux autres alternatives fédérées: XMPP et Matrix. Le premier n’est plus à présenter (ancêtre de Google Talk, MSN, etc). Le deuxième est assez prometteur, et est en train de se rapprocher petit à petit d’un réseau complètement distribué.
Personellement, j’utilise Matrix et Signal. J’ai passé ma famille sous Signal il y a quelques mois car je trouvais que c’était enfin assez user-friendly.
Je les passerai sous Matrix quand ce sera aussi facile à utiliser, et que les profils seront aussi fédérés (cela me permettra d’utiliser plusieurs serveurs pour assurer la fiabilité lorsque je bidouille le mien).
#3.7
Oui après j’ai parlé d’application plutôt simple en évitant les modèles fédérés, mais ce sont bien sûr des solutions aussi envisageable entre les deux (entre centralisé et full décentralisé).
Ce genre de solution nécessite une étape en plus qui peut permettre les erreurs (quel serveur nous utilisons ?) comme tu le vois sur Mastodon: des gens qui s’inscrivent sur le premier serveur venu pour tester et ensuite demandent comment migrer sans perdre les données.
#3.4
Ton message concernant Langis prête un peu à confusion (ou c’est moi qui n’ai pas compris la différence entre Signal et Langis).
De ce que j’ai compris, Signal n’intègre aucun composant google mais utilise un composant tier, Google Cloud Messaging (GCM), pour gérer les notifications en cas de nouveaux messages.
La seule différence entre Langis et Signal est que Langis n’utilise pas GCM pour gérer les notifications.
Mais depuis 2017, Signal utilise un système alternatif (récupéré de Langis ?) dans le cas ou les google app ne sont pas installées (c’est mon cas) pour gérer les notifications.
Tout ça pour préciser que Langis n’est pas une version nettoyée des merdes Google mais une version qui n’utilise pas les merdes Google même si elles sont installées, contrairement à Signal. Et que si les google app ne sont pas installées sur ton téléphone, installer Langis à la place de Signal n’a aucun intérêt.
A moins que je n’ai mal compris un truc.
#3.6
Parce que à priori, Signal peut ne pas fonctionner sans un téléphone Google compliant.
C’est expliqué ici : https://langis.cloudfrancois.fr/
Pour toi ça n’a aucun intérêt, mais quand Signal voit un semblant des frameworks Google, il va tenter de les utiliser et même te demander de les mettre à jour ou sinon il ne fonctionnera pas, ce qui pose problème avec microG (comme mon cas vu que je tourne sous Lineage for microG et me semble que /e/ aussi).
#3.5
Salut teste Olvid, c’est un peu trivial lors de la première connection mais ensuite ça marche plutot pas mal.
#4
Signal pourrait être hébergé sur les serveurs de la NSA ca reste chiffré a 99% (faut bien quelque info pour remettre le message) 1% restant.
Telegram par défaut comme dit dans l’article c’est tout en clair donc faut leur faire “confiance” et quand on voit le désastre Messenger/What’s App la confiance on voit ce que ca donne.
#5
Bonjour,
“En outre, les utilisateurs européens ne sont pas concernés, même si une notification est apparue quand même sur votre écran”
J’ai par erreur cliqué sur échap au moment de l’apparition de la notification. Que disait-elle ? Ai-je autoaccepté qqchose ?
#6
DaG33k, Signal est hébergé par AWS
D’autres systèmes sans N° de téléphone existent mais signal est selon moi un compromis en terme de sécurité / vie privée et simplicité d’utilisation. Celui-ci est probablement acceptable pour la plupart des gens, celles et ceux pour lequel ça ne l’est pas trouveront mieux (Jami ?)
Après autant d’année à prêcher dans le désert c’est presque ironique que l’élément déclencheur soit une “non évolution” des CGU…
#6.1
AWS ? Il y a quand même pas mal d’article qui parle de GCM.
Mais ça n’empêche qu’AWS reste sous juridiction Américaine, donc Cloud act …
Dans l’article de NXI ils donnent un lien qui mène vers un tableau de comparaison des différentes apps de messagerie instantanée.
Ils n’y font pas mention des apps comme “Olvid” (je n’en ai pas d’autre en tête), qui semble être une app FR. Ca vaut quoi ? je trouve trop peu d’avis dessus
#6.2
Bien nslookup sur textsecure-service.whispersystems.org / signal.org et compagnie ça renvoie des IP Amazon…je ne sais pas quelles sont les sources de ceux qui prétendent autre chose.
Certaines de ces IP sont localisées en ALlemagne.
Olvid : Proprio / Pas d’accès au code (pour le moment)…Whatsapp aussi était super secure à un moment donné ;-)
#7
Dommage de ne pas glisser un petit mot sur Silence, qui n’a pas besoin de serveur central, est aussi open source, et très efficace et simple à utiliser, notamment l’échange de clés qui a été automatisé dans une des dernièresversions (il est dispo sur Play store et F-droid).
#7.1
Signal > Silence > toutes les messageries pour la confidentialité.
#7.2
Parce que ce n’est pas un remplacement crédible de WhatsApp pour la plupart des utilisateurs.
C’est basé sur les SMS et MMS pour transmettre les données, ce qui expose à une tarification de l’opérateur, en particulier à l’international. WhatsApp quant à lui fonctionne à la fois sur réseau mobile via data, et sur wifi. Donc dans une maison de campagne mal couverte par 3G/4G mais reliée par DSL/fibre, ou dans un hôtel au Japon où tout est hors forfait, ça continue de fonctionner gratuitement par wifi. Mais surtout dans Silence, on ne peut pas créer de groupes de discussion, ni passer des appels audio et vidéo (toujours sans facturation si on est sur wifi ou data inclus dans le forfait), ni citer un message précédent, et l’envoi de photos, vidéos et autres documents est moins pratique. Anecdotiquement, on ne peut pas non plus mettre de photo de profil.
Par contre ça peut être utile pour envoyer des messages chiffrés lorsqu’on capte pas suffisamment pour une connexion à Internet, mais suffisamment pour envoyer des SMS.
#7.3
Oui, exactement, sans compter aussi le volume important de la partie métadonnées des messages dont au moins une partie est stockée par l’opérateur de télécommunications. ^^
#8
“le nombre de participants est cela dit et pour l’instant limité à 8”
8 c’est pour les appels de groupe
Les groupes c’est 150 je crois
#9
Rappelons à tout hasard que WhatsApp utilise le protocole de chiffrement de Signal, et que donc le chiffrement de bout en bout de WhatsApp offre le même niveau de sécurité.
#10
Ma. Belle. Mère. Est. Sur. Signal.
#11
Ce bon gros bordel …
En même temps, FB paie son business-model, ça pouvait que lui revenir dans la gueule. What’s app aurait été qu’une simple filiale auquel on vient juste récupérer le pognon et faire des synergies hors données, ça n’aurait pas dérangé grand monde …
Je vais clairement pas pleurer sur leur sort.
#12
Il y a pas si longtemps, là où tout le monde était, c’était chez Microsoft avec MSN/Windows Live Messenger.
Un virage social plus tard, Facebook Messenger et WhatsApp dominent.
Un virage de vie privée plus tard, les gens pourraient se fixer sur Signal.
Mais fut un temps où les gens naviguaient sur Internet Explorer, avant de migrer sur le libre Firefox, pour ensuite passer chez Google avec Chrome… Alors l’attachement à la confidentialité semble être à plusieurs vitesses.
#13
oui disons que Elon Musk and co n’ont fait que jetter du carburant de fusée sur l’incendie qui a démarré avec le non evenement du changement de CGU.
#14
Je me disais qu’il y aurait un moment où on entendrait retentir…….le signal.
#15
Et plus bas
Il m’avait semblé que le RGPD était extra territorial - du moins, c’était la volonté des législateurs (la pratique, en revanche
).
Est-ce le cas ici ? Par exemple, des européens installés dans des pays non européens sont-ils protégés ?
Savoir si on va pouvoir savourer la bonne affaire, ou pas
#16
En théorie, le RGPD protège un résident européen ou qu’il soit dans le monde, en pratique, c’est souvent ip based donc bon.
Perso quand je quitte l’europe je switch mon vpn vers un pays européen et problème solved (les rare) protection reste active.
#17
Je suppose que demander si on est résident européen, y aurait 1,5 milliards d’Européen - utilisateurs de WhatsApp - pour ne pas être fliqué
#18
oui j’aimerais déménager en théorie car tous se passe toujours bien las bas, mais j’ai pas trouvé de companie aérienne qui veulent bien m’y emmener
#19
Très bon article, très bien structuré. NXI quoi :)
Par contre, j’aurais une demande @la _rédaction : est-ce qu’il serait possible de mettre cet article en accès libre ? Vu la hype actuelle (même si pas tellement fondée en effet), il tomberait à point nommé. Et ça m’aiderait à expliquer un peu la situation à ma famille / amis, chez qui je commence à entendre un peu n’importe quoi à ce sujet …
#20
Sur le contenu des échanges oui, mais pas sur les métadonnées ni sur leur utilisation. Et ça fait quand même une sacrée différence
#20.1
Ai-je dit le contraire ? Je ne pense pas.
#21
Vincent Hermann a écrit :
Si. Facebook peut accéder aux données des conversations sauvegardées sur le smartphone de l’utilisateur.
Source (2018): No, end-to-end encryption does not prevent Facebook from accessing WhatsApp chats
#22
Perso, je n’ai aucune confiance en Telegram.
), avec un modèle économique clair. Un peu plus compliqué à mettre en place que Signal mais normalement plus sécurisé.
Olvid est prometteur, bientôt open-source et avec un tampon de l’ANSSI (je ne sais plus lequel précisément, par contre
Sinon, Signal.
#22.1
Si tu as besoin de confiance, telegram à son client open source, donc tu peux aller voir le code. Le seul truc où tu peux avoir un doute, c’est quand tu n’actives pas le chiffrement e2e. Mais perso, je trouve que telegram est un bon compromis entre fonctionnalités praticité multiplateformes et sécurité.
#22.2
Olvid à l’air pas trop mal en effet, je vais attendre de voir ce que ça donne une fois qu’il aura passé ce stade de l’open source !
Oh ! Je n’avais pas pensé à ça ! Je vais creusé de ce côté là, ça serait la super alternative !!
Ah oui un énorme merci !!! Tu m’as dégrossi le boulot auprès de la famille ! Je vais pouvoir leurs donner des billes supplémentaires ! Merci beaucoup !! Je vais creuser du côté de langis ! Rien que le “nettoyé des merdes de google” ça me plait
C’est exactement ça … et quand tu dois donner des infos à la famille car t’es catalogué comme étant le plus calé là dessus, alors qu’en fait je m’en passerais volontiers …
#23
Pour ceux qui utilisent un Synology, il y a Chat qui est une application client/serveur de messagerie qui ne transite pas (à ma connaissance) autrement que par le NAS vers les clients. On peut chiffrer les conversations/groupes (option).
#23.1
Mon NAS n’est pas compatible
(DS213j)
#24
Merci pour l’article très intéressant (j’en ai vaguement entendu parler par mon beaufrère ce qui prouve que ça a dépassé les cercles geek classiques ^^).
Le meilleur morceau de l’histoire pour moi reste quand même, et de très loin, ceci…
“Il faut dire que Signal a bénéficié de jolis petits coups d’accélérateurs de personnalités bien en vue. À commencer par Elon Musk, qui le 7 janvier a publié un tweet aussi lapidaire qu’efficace : « Use Signal ». Et pourtant, le message n’a pas été compris de tout le monde : des investisseurs ont acheté massivement des actions de Signal Advanced, dont l’action est passée de 60 cents le 4 janvier à 70,85 dollars deux jours plus tard. L’entreprise, spécialisée dans la fabrication de composants, avait rapporté n’avoir généré aucun chiffre d’affaires en 2015 et 2016. En quelques jours, sa valeur a dépassé les 3 milliards de dollars.”
J’espère pour cette boîte qu’ils auront réussi à profiter de cette bulle aussi stupide qu’imprévisible pour communiquer et/ou intégrer des fonds…
Mais quand même MDR la bande de moutons qui suit Musk à l’aveugle..
(valeur de l’action multipliée par plus de 100 en 5 jours… Je crois que je vais suivre le compte Twitter de Musk moi aussi des fois qu’un jour une farce similaire se reproduirait…)
#25
Ne crois-tu pas que l’action de cette boîte est montée si haut parce que d’autres (que tu appelles moutons) ont voulu faire ce à quoi tu penses ?
#26
Je pense que le vrai problème est que Facebook ne respecte pas ses utilisateurs.
Progressivement, ils vont éroder les droits de ces derniers.
Il suffit de regarder toutes les entreprises dans lesquelles ils ont mis leurs dents et griffes…
Oculus: compte obligatoire pour pouvoir utiliser un appareil, que les acheteurs ont achetés avant le rachat.
Si j’avais eu un Oculus, j’aurais exigé qu’on me reprenne l’appareil à prix coûtant pour tromperie sur marchandise.
Je garderai WhatsApp, car trop de monde ne cherche pas à migrer, mais ce ne sera plus mon outil principal, loin de là.
#27
L’application onDjoss est une bonne alternative.
Mais seulement sur Android pour le moment et aucune info sur le chiffrement de bout en bout.
#28
La différence entre Signal/Whatsapp/Telegram, outre le chiffrement, c’est que Signal ne peut être rétrocédé qu’à condition d’être également un projet Open Source et en association à but non lucrative. Pour moi, c’est ce qui en fait le choix de la raison.
Du coup, c’est tout vu. Telegram, en plus de ne pas être chiffré de bout en bout n’a aucune garantie qu’un jour elle ne sera pas vendue à Facebook ou Google.
Et à ceux qui disent que Whatsapp et Signal utilisent le même protocole de chiffrement, ce n’est aujourd’hui plus garanti. Ce qu’on est sur c’est que ça l’a été et que ça l’est peut-être toujours.
#28.1
Telegram propose le chiffrement de bout en bout. Et en plus est disponible sur f-droid. C’est probablement plus un gage de sécurité qu’un client qui fait du e2e par défaut mais qui ne délivre pas le code source du client qui peut très bien envoyer ce qu’il veut car lui possède les messages déchiffrés (c’est un minimum pour pouvoir les afficher)