Quelques articles sur l’application de messagerie cryptée « Signal »

— Love Signal, mais évitez de faire transiter vos infos via un pc. 

1 MARS 2017

Rédigé par Thomas LEGER

Les messageries instantanées cryptées sont de plus en plus utilisées. Néanmoins, elles ne sont pas infaillibles comme l’a montré le piratage de Telegram. Passage en revue de ces nouvelles plateformes de communication pour savoir lesquelles choisir.

Atlantico : Parmi toutes les messageries instantanées cryptées, lesquelles sont les plus sûres ? 

Thomas Léger : Personnellement, ma préférence sur smartphone va vers la messagerie Signal développée par Open Whisper Systems. Elle est sans doute la meilleure application disponible gratuitement et en plus, totalement ergonomique. Sans rentrer dans les détails techniques, il s’agit pour le moment de la messagerie la plus sécurisée et la plus fonctionnelle. Elle permet de crypter de manière totale les communications écrites, mais aussi vocales. Cette application disponible sur IOS et Android est recommandée par l’Electronic Frontier Fondation (EFF), mais aussi par Édouard Snowden en personne qui encourage vivement les sociétés à vulgariser l’accès au cryptage des communications.

C’est chose faite puisque Signal crypte et décrypte les communications avec votre smartphone et vous offre en plus la possibilité de vérifier en temps réel que votre conversation téléphonique n’est pas déviée. À cela s’ajoute un atout réellement appréciable et qui contribue à son succès, l’ergonomie ! Il y a encore peu, établir une communication sécurisée était un réel défi technique accessible à une minorité. Avec les nouvelles applications dont Signal, ce n’est plus le cas. La configuration est quasiment inexistante et transparente, ce qui ne lui enlève pas pour autant un haut niveau de sécurité. Quant à la prise en main, elle est simple et intuitive. On peut partager des fichiers de type image et vidéo, etc., et créer des groupes et appels cryptés de qualité. Il est désormais simple de faire usage des messageries sécurisées et dans ce sens je recommande Signal. Il est impératif de ne pas faire usage de n’importe quelle messagerie pour votre usage professionnel, les communications sont devenues un maillon faible des sociétés et rappelons rapidement que nous évoluons dans un environnement qui est économiquement en guerre permanente. Pour exemple rapide, il n’est pas rare que des sociétés fassent appel à des cybercriminels pour hacker une entité concurrente, interception de ses communications comprise, et ce à des fins stratégiques de guerre économique. Même si cette pratique semble encore être de la science-fiction dans les mentalités dirigeantes françaises, il n’en est rien dans le reste du monde et les entreprises nationales en font quotidiennement les frais.

En complément je recommande tout simplement la messagerie Facebook qui offre depuis peu le cryptage de « bout en bout » grâce à la fonction conversation secrète. Son fonctionnement repose sur le système de l’application Signal. Couplé à un compte bien protégé cela devient sécurisant en plus d’être confortable à utiliser. Idéal pour les conversations avec le cercle familial et amical, il ne faut pas perdre pour autant de vue que les informations transitent par les serveurs du géant. Bien que la firme admette ne pas avoir accès aux messageries cryptées, il est tout simplement prudent d’éviter d’aborder des sujets sensibles. Cette fonction prend tout son intérêt seulement si votre compte Facebook est correctement sécurisé avec un mot de passe solide et la majorité des options de sécurisation mises en place. De plus, Facebook est un grand groupe qui laisse sous-entendre une mise à jour permanente de ses Datacenters et de ses applications, rendant son réseau peu vulnérable à des attaques malveillantes.

Lesquelles sont les moins sûres ? 

C’est une question difficile et qui doit être contextualisée. L’usage et le lieu par exemple jouent un rôle important. Une réflexion sur votre besoin s’impose avant le début d’une communication. Pour ma part je déconseille l’application WhatsApp (propriété de Facebook) et Telegram à mon environnement. La première est relativement poreuse, elle a certes fait des efforts importants en matière de cryptage, mais il a été prouvé malgré tout qu’il est toujours possible de contourner les sécurités et donc d’accéder en direct à votre contenu et même d’émettre en votre nom. Ce type de faille peut conduire à de nombreuses actions malveillantes. C’est donc une application à bannir pour des échanges professionnels. Pour la seconde, Telegram, application certes moins populaire que WhatsApp et pourtant bien plus sécurisée, le problème est différent. C’est une messagerie sûre qui n’a connu que peu de piratages et d’interceptions malveillantes, son fonctionnement est agréable et intuitif au même titre que Signal. Mais le bémol réside dans la mauvaise publicité dont elle a été victime suite à son usage régulier par les terroristes de Daech. Il est donc désormais certain que les communications transitant par Telegram sont sous surveillance par les différents services étatiques. Cela ne pose aucun souci pour un usage autre que professionnel. Mais dans un tel cas attention de ne pas livrer sur un plateau d’argent votre toute dernière innovation ou la stratégie de votre société à un organisme étatique étranger en charge de la veille économique.

Pour simplifier, dans le cadre d’un usage de communication non sensible, ne portez votre choix que sur Signal, Facebook Messenger (en crypté), Whastsapp et Telegram. Il en existe d’autres, mais la question de leur légitimité se pose, en plus de leur popularité. Rien ne sert d’avoir une messagerie hautement sécurisée pour communiquer avec soi-même.

Sont à bannir Snapchat et les messageries du même type qui sont très mal sécurisées. Mais aussi les applications gracieusement préinstallées par le fabricant de votre smartphone Android ou IOS. Celles-ci peuvent contenir des fonctionnalités secrètes en vue de récupérer vos informations, dont votre historique de messagerie, et ce à des fins commerciales ou de sécurité étatique. J’insiste sur le sentiment de sécurité qu’offrent les produits Apple, et le récent débat autour de l’enquête du FBI qui n’arrivait pas à déverrouiller un iPhone. Ne vous y méprenez pas. Apple est soumis aux différentes lois de surveillance aux États-Unis et le contenu de ses Clouds et messageries, et au même titre qu’Android, est lisible pour les services américains.

Les niveaux de sécurité sont-ils les mêmes ou bien diffèrent-ils en fonction du profil de l’utilisateur, qu’il soit un diplomate ou un particulier par exemple ? 

C’est une question délicate. La vie privée d’un particulier a-t-elle moins de valeur que celle d’un politique ou d’un chef d’entreprise ?

Je ne pense pas. À terme chacun doit prendre conscience que sécuriser sa vie numérique c’est aussi sécuriser sa vie tout court, et par extension, sa vie professionnelle. Mais il y a dans ce sens un très gros travail de prise de conscience à effectuer et les habitudes ont la vie dure.

Mais concrètement, toute personne travaillant en lien avec des informations d’ordre économique et de manière plus générale professionnel ou politique est responsable de la sécurisation de ses communications. Elles doivent être conscientes qu’un mauvais choix de messagerie peut un jour leur porter préjudice et conduire à des actes de guerres économiques, des piratages simples ou massifs de leurs sociétés ou de leurs fonctions. Il est courant de voir des chefs d’entreprises ou toute autre personne ayant accès à des données stratégiques pour X ou Y société, mais aussi des politiques, utiliser de manière quotidienne les applications et cloud constructeurs notamment IOS, qui certes sont très pratiques, mais aussi totalement centralisés. C’est une prise de risque indéniable. Par où transitent mes données ? Où sont-elles hébergées ? En France, en Europe, ailleurs ? Quelles sont les lois relatives aux données dans le pays par lequel elles transitent ?

Individuellement parlant nous pourrions dire qu’il faudrait avoir la même approche. Toutefois on autorisera plus facilement des messageries moins sécurisées comme WhatsApp ou Facebook Messenger. Mais, une fois de plus, il ne faut pas révéler trop d’informations personnelles et partir du principe que celles-ci peuvent être collectées de manière malveillante ou commerciale. L’essentiel quand on ne maitrise pas la sécurité numérique est de cloisonner au maximum et simplement de ne pas envoyer des informations dans le cyberespace que nous ne sommes pas prêts à perdre.

Et pour les applications vidéos (Skype, Facetime…), la sécurité est-elle garantie ? 

Skype est une messagerie extrêmement répandue et grand nombre de sociétés en font usage de manière intensive, souvent pour des raisons pratiques, mais aussi pour des raisons économiques en supprimant tout simplement l’usage de la téléphonie fixe en interne. Le point intéressant est que Skype affirme faire usage d’un chiffrement, avec un cryptage des communications écrites, téléphoniques, mais aussi vidéos. Mais ce chiffrage comporte des failles possibles lors du cheminement de l’information, et des interceptions sont possibles. Dans ce sens Skype a même été accusé à plusieurs reprises de collaboration avec des services de sécurité, à l’égal de Facebook. Vos informations transitent par des serveurs Microsoft et vous en perdez le contrôle. Une fois de plus, prudence sur la confidentialité du contenu lors de vos conversations au même titre que lors d’un usage privé. La sécurisation du compte est primordiale, un mot de passe solide sera quasiment votre seul rempart face à des actes malveillants, le logiciel n’offrant que peu d’options de sécurité et de transparence dans l’usage et la sauvegarde ou non de vos données, le tout dans un contexte criminel où les offres de piratages de comptes Skype sont légions sur le marché noir.

Pour Facetime, Apple avance un chiffrement de bout en bout, ce qui est une bonne chose pour la protection des appels vocaux et vidéos. Mais en contrepartie la firme est quasiment opaque sur son fonctionnement et elle est victime de faille de procédure notamment avec iCloud qui est accusé de sauvegarder à votre insu et de manière non cryptée vos conversations. Bien qu’Apple laisse sous-entendre qu’elle ne peut pas lire vos conversations cryptées, et que la sécurité et la vie privée de ses utilisateurs sont primordiales, il est important de se demander une fois de plus où sont hébergées vos données et sous quelle obligation légale elles sont soumises.

Je pense qu’il est encore un peu tôt pour affirmer que les communications vidéo sont sécurisées. Nous sommes seulement dans la phase de déploiement des messageries écrites cryptées et d’un point de vue technique je reste pour l’instant prudent sur le chiffrement d’une vidéo de bout en bout. Les trois leaders de la conversation vidéo, Facebook, Skype (Microsoft) et Facetime (Apple) sont des géants du numérique et il me semble utopiste de croire qu’ils sont indépendants de toute collaboration avec les services étatiques ou encore d’objectifs commerciaux.

Nous n’avons parlé ici que de quelques solutions disponibles sur smartphone, mais il en existe d’autres pour Windows, Linux, etc. qui peuvent être gratuites ou payantes. Une étude en fonction de vos besoins vous aidera à faire le choix adéquat. Pour rappel, n’oubliez pas que tôt ou tard vous serez victime d’un piratage malveillant, particulièrement pour une société, ou d’une surveillance étatique à titre individuel. Le choix de vos moyens de communication aura une influence dans votre résistance numérique à ces actes. Il pourra en résulter une défense solide de votre vie privée ou de votre société ou au contraire une porte grande ouverte pour vos détracteurs. Il faudra alors rattraper les dommages financiers, mais aussi l’impact négatif sur votre réputation. Cela mérite réflexion personnelle ou organisationnelle pour minimiser les risques et pouvoir continuer à profiter pleinement du Cyber et de ses avantages.

— Ca vient d’Atlantico, mais le lien est plus dispo.

 

Signal stocke les messages en clair sur votre ordinateur : faut-il s’inquiéter ? – NUMERAMA – Julien Lausson 22 Octobre 2018

Une polémique est apparue en octobre sur la manière dont Signal gère certaines données localement : celles-ci ne bénéficieraient pas d’une protection appropriée quand elles sont utilisées via la version de bureau.

C’est une controverse lancée par Matt Suiche, un informaticien qui se présente comme un « hackeur » : y a-t-il une faiblesse dans la façon dont Signal stocke localement les contenus échangés via la célèbre application de messagerie sécurisée ? C’est ce que craint l’intéressé. Sur Twitter, il tire la sonnette d’alarme ce lundi 22 octobre sur la procédure de mise à jour du logiciel, qu’il juge très mal pensée pour protéger les données.

« Si vous mettez à jour Signal Desktop [la version de Signal pour Windows, Mac et Linux, ndlr], cela enregistre tous vos messages en texte clair (messages.json) + les pièces jointes localement pour que vous puissiez les réimporter dans la nouvelle version », s’étonne-t-il. Il joint deux captures d’écran dans lesquelles ont peut voir ce fichier JSON ainsi qu’un extrait d’un message envoyé à un correspondant.

Cette découverte l’a tellement chamboulé qu’il a ouvert un signalement de bug sur GitHub pour alerter sur le fait que ces données ne sont pas chiffrées sur le disque dur pendant et après le processus de mise à jour. Ce qui est, à ses yeux, totalement anormal pour un outil comme Signal, dont la mission est justement d’assurer la confidentialité, la sécurité, mais aussi l’intégrité des contenus échangés.

Car cette affaire tranche à ses yeux avec la réputation de Signal, une application de messagerie instantanée recommandée par le lanceur d’alerte Edward Snowden lui-même pour sécuriser ses conversations. Elle est développée par Open Whisper Systems, une organisation fondée par l’activiste Moxie Marlinspike, un expert en cryptographie. Son protocole open source est si bon que même WhatsApp s’en sert.

whatsapp
WhatsApp // Source : Webster2703

Plus précisément, Signal fournit du chiffrement de bout en bout : cela consiste à faire en sorte que seuls les membres d’une discussion soient capables de lire les messages échangés. Avec cette protection, appelée E2EE, ni le FAI ni le fournisseur du service (ici Open Whispers System) ne peuvent afficher les conversations et, donc, de satisfaire les requêtes judiciaires ou administratives de déchiffrement.

Pour Matt Suiche, qui a fait ce constat sur macOS, il faudrait que les données soient chiffrées pendant le processus et éventuellement supprimées convenablement des dossiers où elles ne sont pas requises. Cependant, son inquiétude manifeste n’est pas unanimement partagée. Plusieurs autres informaticiens et spécialités de la sécurité ont réagi en nuançant son propos.

POLÉMIQUE SUR LA POLÉMIQUE

« Signal n’a pas vocation à protéger contre l’accès au système de fichiers », observepar exemple Keith McCammon, le chef de la sécurité d’une entreprise informatique. Il admet que « ça serait bien » quand même, si ce type de problématique « était apparent aux yeux de tous ». D’autres considèrent que Signal n’est qu’un maillon d’une chaîne de sécurité, et non pas tous les maillons.

« Qu’attendez-vous ? Si quelqu’un avait accès à votre disque dur, la partie est déjà finie. Il n’y a pas de chiffrement magique que Signal pourrait utiliser pour vous protéger. Vous devez activer le chiffrement complet du disque dans votre système d’exploitation. Ou désactivez l’enregistrement des messages si vous ne voulez pas que les journaux soient stockés », écrit Kenton Varda, un autre expert.

Une utilisation de VeraCrypt.

Il existe en effet des outils dédiés pour chiffrer localement un disque dur, de manière à le protéger même si certains processus qui ont lieu dessus impliquent des données en clair. L’un des logiciels les plus connus en la matière est VeraCrypt, qui fonctionne aussi bien sur Windows, macOS et Linux (dans ce cas de figure, si le disque n’est pas chiffré, même si les fichiers Signal le sont, il suffirait de récupérer la clé locale pour récupérer tous les messages, en principe).

Dans le cas d’iOS et d’Android, les versions récentes incluent par défaut le chiffrement de l’espace de stockage.

Même son de cloche pour Hector Martin, un consultant en sécurité informatique : « il n’y a pas d’algorithme magique de chiffrement  qui protégera vos messages de telle manière que n’importe quelle nouvelle version de Signal puisse y accéder, mais qu’aucun autre logiciel ou utilisateur ne puisse y accéder (sur un bureau). Si vous avez un accès local, la partie est terminée ».

Signal en version application de bureau.

Il ajoute, citant le cas Android, que la situation est différente pour cette plateforme « car toutes les applications ont accès au stockage externe, mais le stockage par application est isolé. C’est pourquoi Signal sur Android chiffre ses sauvegardes, car elles deviennent accessibles à d’autres applications, alors que le stockage de données des applications actives ne l’est pas ».

Les sauvegardes, proposées sur Android et iOS, concernent aussi bien les messages que les images, les fichiers et tout autre contenu échangé via le logiciel. Elles permettent par exemple de déplacer des conversations d’un terminal à l’autre.

Face à cette polémique, Open Whisper Systems n’a pas encore officiellement réagi : le rôle premier de Signal est de chiffrer les communications d’un terminal à l’autre. L’application doit-elle faire davantage, en sécurisant mieux ce qui est stocké localement, afin d’éviter par exemple que d’autres applications soient en mesure de lire dans le dossier ?

C’est ce que pense un autre intervenant : chiffrer pendant le voyage du message, c’est bien ; renforcer la sécurité au départ à l’arrivée, c’est encore mieux.

DE LA QUESTION DU RISQUE ET DE LA MENACE

« Le secteur de la messagerie instantanée sécurisée en général a beaucoup investi dans la sécurité des données en transit, mais pas autant [quand elles sont sur place]. Avec pour argument principal : s’ils accèdent à votre disque dur, la partie est finie. Je ne suis pas du tout d’accord avec cet argument. Si c’était vrai, pourquoi s’embêter à chiffrer les mots de passe localement  » ?

Derrière cette polémique se pose aussi une autre question : quel doit être exactement le rôle de Signal ? Fournir une protection 100 % sûre et chiffrée, dans tous les cas de figure ? Cela ne peut sans doute s’envisager qu’en renonçant à certaines fonctionnalités qui ont par ailleurs leur intérêt (ce problème a été illustré avec Google Allo, qui a renoncé au chiffrement de bout en bout par défaut).

signal-profil

Ou bien est-ce simplement de fournir une solution efficace contre la surveillance de masse générique et non pas une protection efficace tous les cas de figure, comme une action ciblée sur un usager (qui impliquerait, le cas échéant, une perquisition du domicile et la saisie du matériel informatique, et donc du disque dur) ?

Tout dépend sans doute du modèle de menace qui est en tête.

Contre la surveillance de masse, qui se déploie de manière indiscriminée et tous azimuts, Signal offre une protection effective. Contre des attaques individuellement ciblées qui proviennent d’adversaires puissants et prêts à déployer des efforts significatifs pour compromettre la sécurité d’une personne isolée, la menace est d’une autre nature. Mais dans ce cas, son évaluation du modèle de risque implique vraisemblablement des mesures très spécifiques, qui ne concernent pas le commun

https://www.numerama.com/tech/433491-signal-stocke-les-messages-en-clair-sur-votre-ordinateur-faut-il-sinquieter.html