À la recherche de la messagerie perdue

Rédigé par J'informatique Aucun commentaire
Classé dans : Non classé Mots clés : aucun

La première fois que j’ai appris que les appels, SMS, Emails et navigations internet étaient surveillés, c’était dans les années 2002-2004 avec le programme Échelon. Ce n’est qu’en 2012 après avoir vu une interview sur democracynow.org avec William Binney (US Intelligence official) et Jacob Appelbaum (développeur TOR) que j’ai vraiment pris au sérieux le fait que la surveillance de masse est réelle en tout point de l’internet et qu’il fallait faire avec. C’est-à-dire que je recherchais des programmes de messagerie qui utilise le chiffrement et qui sont plus sécurisé que MSN, Skype, Google hangout ou même Jabber/XMPP. Le problème avec ces messageries, c’est que toutes les conversations passent généralement en clair sur internet (comme les emails d’ailleurs) et les métadonnées sont stockées sur les serveurs de Microsoft, Google, etc puis récupérés par la NSA qui les stocke indéfiniment.

Je me suis mis à utiliser Jitsi en cliquant sur le cadenas (pour chiffrer la conversation en OTR) chaque fois que je chattais avec quelqu’un. Ce n’était pas pratique, car il fallait expliquer à la personne pourquoi il fallait le faire. Ensuite en juin 2013, les révélations d’Edward Snowden ont eu beaucoup d’impact sur le développement de nouveaux outils de messageries utilisant le chiffrement par défaut.
À la recherche de la meilleure application (qui respecte les règles du logiciel libre), j’ai commencé en 2013 à faire utiliser Surespot à ma famille. Il n’y avait que la possibilité d’envoyer des messages et des images de façon chiffré. Pour les appels vocaux et vidéos, il fallait quand même passer par Skype que je n’appréciais plus sachant que chaque mot prononcé était analysé et retranscris en texte en temps réel par les serveurs de Microsoft pour être archivé et exploité plus tard.

En 2014, j’ai découvert Kontalk (XMPP et OpenPGP) qui était plus pratique comparé à Surespot. Encore une fois, ma famille a joué les cobayes et je les remercie de m’avoir suivi là-dedans. En fait c’est la seule option que je leur laissais pour échanger avec moi. En septembre 2015, j’ai craqué pour utiliser Telegram ! Pendant 2 ans, j’avais évité de l’installer, car il y a plusieurs points qui ne respectaient pas mes critères :

  • ils ont réinventé leur propre crypto alors que c’est la règle de base des choses à ne pas faire en cryptographie !
  • le code source de la partie serveur n’est pas disponible.

En plus, ce que je n’apprécie pas avec Telegram, c’est l’impression de sécurité qui est fausse ; seuls les messages vraiment sécurisés sont les « secret chat » car ils utilisent le chiffrement de bout-en-bout. Les autres conversations sont synchronisées par les serveurs de Telegram et leurs équipes y ont accès puisqu’ils ont les clés de déchiffrement.

Du coup, j’ai refait changer une troisième fois ma famille pour utiliser Telegram. Cette application était quand même super ergonomique et rapide, elle a été facilement adoptée. C’était super pratique pour s’échanger des infos et chatter en mode texte. Mais là encore pour les appels il fallait passer par le téléphone ou par Skype (sous surveillance).
Avec un ami, j’utilisais Linphone pour les appels vocaux chiffrés de bout-en-bout (ZRTP en 48Khz codec OPUS !) Cela n’était pas envisageable pour tout le monde d’avoir à installer deux applications pour remplacer Skype. Une pour les textes et l’autre pour les appels surtout que la vidéo avec Linphone ne fonctionnait pas !

Alors oui, vous me direz qu’Edward Snowden a recommandé l’appli Signal qui combine les deux et niveaux sécurité, c’est très bien fait. Mais il y a un problème de taille : par exemple sur android, il faut lier son smartphone avec un compte Google. C’est peut-être le cas pour une majorité de gens, mais cela ne respecte en aucun cas les principes du logiciel libre. J’ai d’ailleurs eu l’occasion d’en discuter sur prism-break avec d’autres personnes qui partagent mon avis.
Pour moi, le grand vainqueur des logiciels messageries fin 2016 c’est Wire !

Edit : depuis 2017 Signal fonctionne sans les GCM (Google Cloud Messaging), c'est à dire avec un smartphone LineageOS sans les Google Apps. Il faudrait que je fasse un comparatif Wire vs Signal, en attendant je trouve que Signal est plus orienté smartphone et Wire plus multiplateforme.
Suite à cette article I don't trust Signal (je ne fais pas confiance à Signal), je me suis plusieurs fois confronté aux problèmes soulevés dans l'article.

Écrire un commentaire

Quelle est le premier caractère du mot s26pf ?

Fil RSS des commentaires de cet article