IdentifiantMot de passe
Loading...
Mot de passe oublié ?Je m'inscris ! (gratuit)

Vous êtes nouveau sur Developpez.com ? Créez votre compte ou connectez-vous afin de pouvoir participer !

Vous devez avoir un compte Developpez.com et être connecté pour pouvoir participer aux discussions.

Vous n'avez pas encore de compte Developpez.com ? Créez-en un en quelques instants, c'est entièrement gratuit !

Si vous disposez déjà d'un compte et qu'il est bien activé, connectez-vous à l'aide du formulaire ci-dessous.

Identifiez-vous
Identifiant
Mot de passe
Mot de passe oublié ?
Créer un compte

L'inscription est gratuite et ne vous prendra que quelques instants !

Je m'inscris !

Quelle est l'application mobile la plus sécurisée pour protéger sa vie privée ?
Signal remporte le vote d'Edward Snowden, qu'en est-il de vous ?

Le , par Stéphane le calme

344PARTAGES

8  0 
Quelle est l'application mobile la plus sécurisée pour protéger sa vie privée ?
Riot
30 %
Signal
30 %
WhatsApp
10 %
Telegram Messenger
0 %
SecureDrop
0 %
Autres (à préciser en commentaire)
30 %
Voter 10 votants
En réponse aux révélations de Snowden, le nombre d'applications de messagerie promettant une amélioration de la sécurité pour protéger la vie privée des utilisateurs face à la surveillance s'est rapidement multiplié. Dans la pléthore d’applications proposées au public, quelques unes ont su s’attirer les faveurs de certains : c’est le cas par exemple de Signal, une application de messagerie chiffrée disponible sur Android et iOS qui est recommandée et utilisée par Edward Snowden. Même le quotidien New York Times la recommande pour ceux qui sont un tantinet frileux sur les questions liées à la vie privée.

Il faut dire que Signal possède certaines caractéristiques qui lui permettent de se différencier de nombreuses applications concurrentes : non seulement son algorithme de chiffrement est souvent analysé, mais en plus il permet aux experts d’inspecter son code source. Ces derniers peuvent alors par exemple, en plus des bogues, chercher s’il y a une quelconque porte dérobée, ce qui le rend plus digne de confiance que plusieurs de ses concurrents.

Notons également qu’Open Whisper Systems, l’entreprise qui développe Signal, est connue pour ne consigner que des informations minimales sur ses utilisateurs. Par conséquent, lorsque les organismes chargés de l'application de la loi exigent des informations sur les « métadonnées » des messages, l’entreprise ne peut pas leur fournir beaucoup d'informations utiles. Au cours des dernières semaines, elle a eu droit à plusieurs mises à jour, notamment avec la suppression automatique des messages et une vérification simplifiée des conversations sécurisées.

Mais Signal ne fait pas l’unanimité : dans un billet de blog, l’entreprise a affirmé que son application est victime d’un blocage en Egypte et aux Emirats Arabes Unis. « Dans les pays avec un petit nombre de FAI qui appliquent toutes des règles de filtrage définies par l'État, le contournement de la censure peut être difficile. Après tout, ils peuvent toujours désactiver l'accès réseau entièrement. L'objectif d'une application comme Signal est de faire en sorte que la désactivation de tout le réseau internet soit le seul moyen à la disposition du gouvernement pour bloquer Signal », ont assuré les responsables.


Aussi, pour contourner ce problème, Open Whisper Systems a fait appel à une technique baptisée « domain fronting » : « de nombreux services populaires et CDN, tels que Google, Amazon Cloudfront, Amazon S3, Azure, CloudFlare, Fastly et Akamai peuvent être utilisé pour accéder à Signal d’une manière qui semblent indiscernables d'autres trafic non censurés. L'idée est que, pour bloquer le trafic ciblé, le censeur devrait également bloquer ces services entiers. Avec suffisamment de services à grande échelle agissant comme des fronts de domaine, désactiver Signal va commencer à ressembler à désactiver l'Internet ».

Avec la dernière mise à jour sur Android, les utilisateurs qui ont un numéro de téléphone provenant d'Égypte et des Émirats arabes unis ont le « domain fronting » activé automatiquement : « lorsque ces utilisateurs envoient un message Signal, il ressemblera à une demande HTTPS normale vers www.google.com. Pour bloquer les messages de Signal, ces pays devraient également bloquer entièrement google.com ». Cette fonctionnalité anti-censure est également sur iOS sur le canal bêta et sera bientôt disponible en production.

Les développeurs prévoient également des améliorations futures qui permettront à l'application de détecter la censure automatiquement et de passer au domain fronting même si l'utilisateur dispose d’un numéro de téléphone d'un pays où la censure n'est pas normalement présente. Le but est de couvrir les cas où les utilisateurs se déplacent dans d'autres pays où l'application pourrait être bloquée.

Une autre application qui a le vent en poupe est Riot : en plus de permettre aux experts d’inspecter son code source comme Signal et de promettre d’être « aussi sécurisé que Signal », Riot est basé sur le protocole Matrix, un protocole ouvert pour les communications en temps réel qui est conçu pour les communications décentralisées. Cela signifie qu’il n’est pas nécessaire d’avoir installée l’application Riot sur son terminal pour discuter avec quelqu’un étant donné qu'il n'existe aucune instance centrale qui contrôle Matrix ou Riot.

En dehors de cette différence fondamentale, notons que :
  • Signal ne peut s'exécuter que sur un seul périphérique mobile (votre identité est liée à un seul périphérique). Aussi, plusieurs périphériques ont des identités différentes. Riot vous permet d'utiliser une seule identité sur tous vos appareils ;
  • les utilisateurs de Signal sont identifiés par leur numéro de téléphone. Vous ne pouvez pas utiliser Signal sans transmettre votre numéro de téléphone à Open Whisper Systems et vous devez donner votre numéro de téléphone à tous ceux avec lesquels vous souhaitez communiquer sur Signal. Les utilisateurs de Riot sont identifiés par leurs noms d'utilisateur. Vous n'avez pas besoin de donner à quelqu'un votre numéro pour entrer en contact avec lui via Riot ;
  • Riot a une interface de programmation ouverte. Tout le monde peut écrire des logiciels interagissant avec Riot, comme des bots. Signal est un système fermé qui permet seulement au client officiel d'interagir avec lui.

Les applications disposant de chiffrement de bout en bout sont nombreuses, cependant, la question de savoir quelle est la meilleure application de messagerie pour ceux qui veulent se protéger de la surveillance de masse n’est pas aussi évidente qu’il n’y paraît. La réponse à cette question peut être tributaire de la raison pour laquelle vous pensez que la surveillance est mauvaise.

Une raison possible est que vous voulez simplement cacher des informations sur vous-même (ce qui est très souvent une situation tout à fait légitime). Dans ce cas, la seule fonctionnalité dont il faut vous soucier c’est de savoir si le chiffrement peut être brisé ou si l'application que vous utilisez vous empêche de révéler accidentellement des informations.

Une autre raison est que la surveillance pourrait porter atteinte à la liberté collective et publique dans une démocratie en enlevant le contrôle de la sphère publique aux citoyens. Si c'est votre principal souci, d'autres critères deviendront également importants. Bien entendu, vous serez toujours soucieux de la qualité du chiffrement, mais vous vous soucierez également de savoir si l'application de messagerie que vous utilisez réellement permet aux gens ordinaires de reprendre le contrôle sur leurs interactions avec les autres.

Source : blog Open Whisper Systems, blog Matrix, blog Riot, New York Times

Et vous ?

Qu'en pensez-vous ? Quelle est, selon-vous, l'application mobile qui vous semble la plus sécurisée ? Sur quels critères vous basez vous ?

Une erreur dans cette actualité ? Signalez-nous-la !

Avatar de Aeson
Nouveau Candidat au Club https://www.developpez.com
Le 26/12/2016 à 18:23
- L'application côté client et serveur soit entièrement Open-Source.
Je vais ecore une fois me faire allumer mais tant pis...

Que l'application soit OpenSource ne te garanti absolument rien du tout :

- T'es pas certain que c'est bien ce code qui est utilisé... ce n'est pas toi qui a compilé
- Si la maintenance est mal faite (Ils ont mis a jours OpenSSL ? )
- Un service internet est loin de n'etre que du code, il y a l'infrastructure, le reseaux et tous le reste
- OpenSource ne veut pas dire sans vulerabilité. Des hacker on pu trouver une faille en analysant le code et l'utiliser sans la rendre publique... t'aura pas de patch
, et ca peut durer longtemp....
- ....

Dire que c'est secure ca c'est de l'OpenSource est une grosse faute de débutant....
3  1 
Avatar de derderder
Membre averti https://www.developpez.com
Le 26/12/2016 à 23:34
Signal a besoin des services google play installés sur Android pour fonctionner, comprendre Google en root sur le tel avec accès a distance. Niveau vie privée et sécurité on a fait mieux...
2  0 
Avatar de abriotde
Membre chevronné https://www.developpez.com
Le 26/12/2016 à 14:26
Riot à l'avantage sur Signal d'être décentraliser, je le préfère donc. Cependant j'ai l'impression que Signal est plus abouti.

Le critère absolument nécessaire je trouve c'est que
- Les messages soient chiffrés de bout en bout.
- L'application côté client et serveur soit entièrement Open-Source.
- L'application soit le plus indépendante de tout élément élément central (décentralisé (le top), "domain fronting" (astucieux)...).
1  0 
Avatar de deathman8683
Membre averti https://www.developpez.com
Le 31/12/2016 à 14:17
Citation Envoyé par Article
une application de messagerie chiffrée disponible sur Android et iOS qui est recommandée et utilisée par Edward Snowden.
Citation Envoyé par derderder Voir le message
Signal a besoin des services google play installés sur Android pour fonctionner[...]
Snowden recommande (indirectement) d'utiliser Android et son play store propriétaire ? Je trouve que c'est étrange.

A moins que nous ayons affaire au phénomène Einstein tel que je l'appelle, qui consiste à mentionner ou à attribuer à tord une citation ou une idée à une célébrité respectable pour donner du crédit à quelques chose qui n'en a pas (phénomène très courant sur faiss2bouc).

D'ailleurs parmi les sources seul le New York Times parle de Snowden, si je ne me trompe pas, et il est écrit à ce sujet:

The free encrypted messaging service has won the acclaim of security researchers and privacy advocates, including Edward J. Snowden.
=> Le service de messagerie libre et crypté a reçu les éloges des experts en sécurité et des défenseurs de la vie privée tel que Edward J. Snowden.

Cela ne signifie pas qu'il s'en sert personnellement ni qu'il le recommande, pour moi cela veut dire qu'il salue simplement l'effort de l'éditeur de se pencher sur la question de la vie privée.

Google est présent avant le chiffrement et après le déchiffrement ; appli décentralisée ou pas le gouvernement américain (principalement mais pas seulement celui-ci) et des enseignes commerciales peuvent toujours entrer dans notre intimité tout comme leurs cousins les black hat par le biais d'une des nombreuses appli obscures et connectées du playstore (sur les plateformes underground avec contenu proprio c'est pire).

D'un autre côté le travail d'investigation coûtera plus chère et orientera encore d'avantages le datamining sur les criminels et non sur l'utilisateur lambda (bien que lors d'une enquête des infos d'utilisateurs lambda pourraient être techniquement révélées et stockées ["dommages collatéraux"]). Mais après une recherche sur cette appli le contenu pourrai probablement être récupéré avant chiffrement par des services résidents sur le portable vu qu'ayant un accès root pour certains, comme le précise Derderder. Donc le coût serai légèrement augmenté.

Je ne pense pas être trop dans l'erreur, mais alors pourquoi dépenser inutilement de l'énergie dans des appli pour la vie privée sur Android ? Geste marketing caché surfant sur la vague Snowden ou réel souhait de protéger la vie privée (mais naïf dans ce cas) ?

Sinon article contenant des informations intéressantes.
1  0 
Avatar de levolutionniste
Membre régulier https://www.developpez.com
Le 03/01/2017 à 10:55
Riot est basé sur le protocole Matrix, un protocole ouvert pour les communications en temps réel qui est conçu pour les communications décentralisées. Cela signifie qu’il n’est pas nécessaire d’avoir installée l’application Riot sur son terminal pour discuter avec quelqu’un étant donné qu'il n'existe aucune instance centrale qui contrôle Matrix ou Riot.
  • j'ai l'impression qu'application décentralisée implique qu'il n'est pas nécessaire de faire une installation cliente
  • je ne comprends plus si Riot est à installer ou à exécuter via un navigateur ou autre chose
0  0 
Avatar de deathman8683
Membre averti https://www.developpez.com
Le 04/01/2017 à 18:06
@levolutionniste : En faite chacun peut héberger son serveur Riot (localement par exemple).

Une fois installé on peut se servir du serveur avec plusieurs services de communication IRC, Slack ou Gitter (peut être d'autres je ne sais pas).

En tout cas c'est ce qui est dit sur le site officiel: https://riot.im/

A+
0  0 
Avatar de deathman8683
Membre averti https://www.developpez.com
Le 03/01/2018 à 12:29
Mouais c'est avant tout un logiciel propriétaire.
Je pensais qu'il s'agissait d'un forum pour l'information et non pour la désinformation commerciale avec ses superlatifs ?
0  0 
Avatar de Simplicity2
Nouveau Candidat au Club https://www.developpez.com
Le 29/04/2018 à 18:07
Les applications de communications gratuites sont souvent des applications pour récupérer des informations personnelles. Il vous suffit juste de lire les conditions générales pour voir que ces applications sont de vraies mines de renseignements pour les gouvernements ainsi que la police et les services de renseignements.

Pour ma part j'ai opté pour une solution anonyme et sur.
Bien sûr les applications réellement sécurisées ont un coût.
0  0 
Avatar de lp177
Candidat au Club https://www.developpez.com
Le 27/05/2018 à 0:13
Je rejoins allègrement les réserves de deathman8683 et Aeson et j'ajouterais que pour ceux qui souhaitent ce protéger de l'espionnage par le gouvernement américain:
vous êtes au courant quand même que Open Whisper Systems (l'entreprise qui publie cette app sur les stores) est financée par le gouvernement des États-Unis ? (https://fr.wikipedia.org/wiki/Open_Whisper_Systems)

Rio d'après son site c'est l'entreprise New Vector Ltd, perso si on parle bien de:
https://en.wikipedia.org/wiki/Vector_Limited et https://en.wikipedia.org/wiki/Vector_Group
Ça m'inspire pas franchement confiance au vue de leurs activité précédente.

Ce très potentiel manque flagrant d'impartialité me fait sérieusement me demander pourquoi j'entend régulièrement ces dernier jours ces deux app comme recommandées, est ce que les gens ce jettent aveuglement sur un basique green watching sans vérifier ce qu'il y a derrière ou est ce moi qui me suis mal renseigné ? (je suis tout à fait ouvert à la remise en question bien que ça me semble actuellement mal partie)
0  0 
Avatar de
https://www.developpez.com
Le 26/12/2016 à 15:43
Si l'application du téléphone est à la fois client-serveur pop3 ou imap ou autres avec une adresse dynamique (nom de host) de type DynDNS ou autres) alors peut-être bien que oui. Mais comme https la clé public est visible et les protagonistes synchronisés. Tous comme, si l'équipement n'est pas sur le réseau, le serveur fera une nouvelle tentative plus tard...
Il manque la possibilité de " j'en ai pas vraiment besoins, mais pour le boulot se serait sympa pour éviter l'espionnage industrielle."

EDITION :
La synchronisation venant du milieu des cartes bancaires avec au dos un code de 3 digit qui change tous les 5 minutes ou 15 minutes sans que l'autonomie de la carte soit menacé, Apple Pay devrait sûrement y trouver son compte ou conte... Cela reste à confirmé par au moins une équipe de spécialistes...
0  1