Vous n'avez pas encore de notification

Page d'accueil

Options d'affichage

Abonné

Actualités

Abonné

Des thèmes sont disponibles :

Thème de baseThème de baseThème sombreThème sombreThème yinyang clairThème yinyang clairThème yinyang sombreThème yinyang sombreThème orange mécanique clairThème orange mécanique clairThème orange mécanique sombreThème orange mécanique sombreThème rose clairThème rose clairThème rose sombreThème rose sombre

Vous n'êtes pas encore INpactien ?

Inscrivez-vous !
Signal : un code PIN pour récupérer ses informations de compte en cas de changement de téléphone

Signal est une application de messagerie au sein de laquelle toutes les informations sont chiffrées de bout en bout. Mais ce qui est efficace pour la sécurité se traduit rarement en facilité dans l’utilisation quotidienne.

L’éditeur sait depuis longtemps qu’en cas de perte ou de changement de téléphone, la réinstallation de Signal fait perdre des informations : profil, paramètres, liste de blocage, etc. Il faut tout reconfigurer.

Les serveurs de Signal possèdent en fait ces informations, sous forme chiffrée. La nouvelle version de l’application permet donc de créer un code PIN pour que leur accès reste protégé, tout en autorisant leur récupération en cas de nouveau téléphone.

Le code PIN doit être constitué d’un minimum de quatre chiffres. Au choix de l’utilisateur d’en ajouter, ou même de passer en alphanumérique pour créer un mot de passe. 

Attention, en cas d’oubli du PIN, il n’existera aucun moyen de récupérer les informations qu’il protège. Pour éviter ce problème, Signal lancera des rappels pour aider à s’en souvenir. Ils seront progressivement moins fréquents.

29 commentaires
Avatar de dylem29 INpactien
Avatar de dylem29dylem29- 20/05/20 à 10:20:30

Est-ce-qu'il est possible de récupérer les SMS?
J'utilisais Signal, mais j'ai dû changer...

J'ai perdu plusieurs fois mes SMS en changeant de ROM Android, impossible de restaurer et la passphrase est vraiment trop longue...

Avatar de ekra Abonné
Avatar de ekraekra- 20/05/20 à 11:09:19

Chiffrement de bout en bout vs récupération des informations sur un serveur chiffré par un PIN...
Il n'y a pas quelque chose de dérangeant et qui aurait pu mettre la puce à l'oreille de NextInpact ?
Une information centralisée et protégée par un PIN (WTF le niveau de sécurité) ça annule complémentement l'intérêt du bout en bout.

Avatar de jchampemont INpactien
Avatar de jchampemontjchampemont- 20/05/20 à 11:26:30

Il faut lire cet article du blog de Signal https://signal.org/blog/secure-value-recovery/ pour comprendre un peu plus le fonctionnement.

Effectivement à première vu un PIN de 4 chiffres ça a l'air plutôt faible, mais associé à une autre clé privée, stockée dans une enclave sécurisée débloquée par ce PIN, qui garantis que seul un certain nombre de tentative maximum pourront être effectué c'est un peu mieux.

Je dois dire que je trouve très ingénieux ce qui est mis en place par Signal pour faire du chiffrement sans (trop) rogner sur la facilité d'utilisation.

Édité par jchampemont le 20/05/2020 à 11:27
Avatar de Ozwel INpactien
Avatar de OzwelOzwel- 20/05/20 à 11:57:30

+1

Un code PIN, selon les mécanismes derrière, ça peut être nettement plus fort qu'une passphrase de 30 caractères.

Un HSM se déverrouille à l'aide codes PIN par exemple, mais les mécanismes planqués derrières rendent ça bien plus fort qu'un "simple" mot de passe complexe de 40 caractères. Idem pour les smartcards.

Avatar de ekra Abonné
Avatar de ekraekra- 20/05/20 à 11:57:45

jchampemont a écrit :

Effectivement à première vu un PIN de 4 chiffres ça a l'air plutôt faible, mais associé à une autre clé privée, stockée dans une enclave sécurisée débloquée par ce PIN, qui garantis que seul un certain nombre de tentative maximum pourront être effectué c'est un peu mieux.
.

Peu importe la mécanique de dérivation derriere tout cela. Il apparaît désormais que Signal (l'entreprise) peut désormais déchiffrer vos conversations et cela ne tient qu'à un PIN, autrement dit rien du tout.

Je ne parle pas des attaques de tiers même si désormais on leur ouvre en grand la porte, peu importe les garanties (blocage en nombre d'essais).

Je trouve plutôt que Signal s'est couché devant les gouvernements et qu'il ne présente plus aucune garantie en terme de privacy.

Avatar de ekra Abonné
Avatar de ekraekra- 20/05/20 à 12:02:27

Ozwel a écrit :

Un code PIN, selon les mécanismes derrière, ça peut être nettement plus fort qu'une passphrase de 30 caractères.

Et bien moi je préfère une enceinte protégée par une passphrase 30 caractères plutôt qu'un tiers (non digne de confiance) qui bloque des accès erronés sur des données chiffrées par un PIN de 6 caractères.

Avatar de Ozwel INpactien
Avatar de OzwelOzwel- 20/05/20 à 12:13:55

Je ne suis pas là pour te dire si tu as bon ou tord, je dis juste que le PIN est parfois considéré comme faible protection à mauvais titre. Le lien de  jchanpemont au dessus de mon message est très intéressant à ce sujet.Après pour ce qui est de faire confiance, il a le code accessible en clair qui permet de se rassurer ou de faire confiance à un audit tiers. De l'intérêt pour moi de n'utiliser que des solutions open source en sécu IT (autant que possible).

Avatar de ekra Abonné
Avatar de ekraekra- 20/05/20 à 12:26:07

@Ozwel. On est d'accord sur le point open source.
Ceci permettait de s'assurait que Signal (l'entreprise) ne pouvait d'aucune manière accéder à tes données, puisque RIEN n'était envoyé par l'application sans être chiffré de bout en bout.
Avec cette mise à jour, tu pourras seulement constater dans le code que tes données sont envoyées pour être stockées par Signal (l'entreprise) certes au travers d'une clé qui peut être facilement casser (via brute force sur le PIN dans le cas d'une attaque par Signal elle-même). L'open source ne te garantie pas la privacy, mais seulement le fait que l'application fait bien ce qu'elle décrit.
De plus je pousse le bouchon un peu plus loin : strictement RIEN ne te permet d'affirmer que tes données seront stockées dans une enceinte sécurisée. Le code des serveur n'est pas disponible et de toute manière.
Donc la seule chose que tu sais c'est que tu envoie des données stockées par Signal et déplombables par un PIN.

Édité par ekra le 20/05/2020 à 12:30
Avatar de jchampemont INpactien
Avatar de jchampemontjchampemont- 20/05/20 à 12:26:44

Non seulement ça, mais en plus l'enclave sécurisée utilisée permet au client Signal d'avoir la preuve cryptographique que le code qui y tourne correspond bien aux attentes (SGX Remote Attestation).

Avatar de mouton_enragé INpactien
Avatar de mouton_enragémouton_enragé- 20/05/20 à 13:01:57

Ozwel a écrit :

Je ne suis pas là pour te dire si tu as bon ou tord, je dis juste que le PIN est parfois considéré comme faible protection à mauvais titre. Le lien de  jchanpemont au dessus de mon message est très intéressant à ce sujet.Après pour ce qui est de faire confiance, il a le code accessible en clair qui permet de se rassurer ou de faire confiance à un audit tiers. De l'intérêt pour moi de n'utiliser que des solutions open source en sécu IT (autant que possible).

Faut-il écrire « avoir tort » ou « avoir tord » ?
On écrit toujours « avoir tort » avec un « t » : « tort » désigne tout ce qui s’oppose à la raison, à la vérité ou à ce qui est juste (dimension morale). Par exemple, faire du tort à quelqu’un est le fait de faire du mal à une personne, ce qui est contraire à ce qui est considéré juste. « À tort et à travers » désigne l’action sans discernement. On écrira donc « avoir tort » avec un « t » car l’expression est utilisée pour les personnes qui ne détiennent pas la vérité ou qui ont une attitude contraire à ce qui est jugé juste. Exemples : « Il a fait du tort à sa femme en l’humiliant en public » (il a fait quelque chose qui n’est pas juste) ; « Il a tort de ne pas venir avec nous » (il n’a pas pris la bonne décision) ; « Ceux qui gaspillent leur sensibilité à tort et à travers n’en ont plus quand il faut en avoir. » (Milan Kundera).
On écrit « tord » avec un « d » lorsqu’on conjugue le verbe « tordre » : « tord » est la forme conjuguée du verbe tordre à la troisième personne du présent de l’indicatif. Pour ne pas confondre avec « tort », essayez de le conjuguer à l’imparfait. Si vous pouvez remplacer « tord » par « tordait », alors vous avez bien affaire au verbe « tordre » et non à « tort ». Exemple : Il tord sa chemise (on peut dire « il tordait sa chemise »). On tord la roue du vélo pour faire du tort à notre camarade (on peut dire « on tordait la roue… » mais pas « pour faire du tordait à… »).

Il n'est plus possible de commenter cette actualité.
Page 1 / 3