IdentifiantMot de passe
Loading...
Mot de passe oublié ?Je m'inscris ! (gratuit)

Vous êtes nouveau sur Developpez.com ? Créez votre compte ou connectez-vous afin de pouvoir participer !

Vous devez avoir un compte Developpez.com et être connecté pour pouvoir participer aux discussions.

Vous n'avez pas encore de compte Developpez.com ? Créez-en un en quelques instants, c'est entièrement gratuit !

Si vous disposez déjà d'un compte et qu'il est bien activé, connectez-vous à l'aide du formulaire ci-dessous.

Identifiez-vous
Identifiant
Mot de passe
Mot de passe oublié ?
Créer un compte

L'inscription est gratuite et ne vous prendra que quelques instants !

Je m'inscris !

Signal : les responsables de l'application de messagerie affirment qu'ils ne feront aucun compromis sur le chiffrement,
Alors que de nombreux gouvernements critiquent le chiffrement

Le , par Bruno

95PARTAGES

14  0 
Alors que Signal estime qu'interdire le chiffrement serait irréaliste, dans la mesure où l'accès au chiffrement et son utilisation devraient favoriser le plein exercice du droit à la vie privée, de nombreux gouvernements critiquent le chiffrement et ont mis en place des mesures visant à empêcher ou à restreindre la possibilité pour des organisations de chiffrer des données. Des pays comme le Pakistan, l'Inde et Cuba interdisent le chiffrement et exigent des organismes une autorisation pour pouvoir utiliser des méthodes de chiffrement.

« Nous nous efforçons non seulement de préserver la confidentialité du contenu de vos messages et de vos interlocuteurs, mais aussi de collecter le moins de données possible tout en fournissant un service fonctionnel, déclare Meredith Whittaker est la présidente de Signal. Nous nous distinguons de nos concurrents par le fait que notre mission est de fournir une application privée et que nous ne sommes en aucun cas liés au modèle économique de la surveillance. Nous avons un modèle très différent et une mission très différente. »


Le gouvernement indien fait partie de ceux qui voient d'un mauvais œil le chiffrement, estimant qu'il ne fait que permettre aux criminels d'éviter la détection et de menacer la sécurité de la nation et du public. Pour certains analystes, bien que le gouvernement indien ait tort, cela ne l'a pas empêché d'essayer d'imposer des portes dérobées ou d'interdire purement et simplement les communications chiffrées.

Selon les chercheurs de Vectra, la plus grande menace de rançongiciels serait le chiffrement des fichiers cloud partagés. Dans un rapport, Vectra indique qu'en chiffrant les fichiers auxquels accèdent de nombreuses applications métier sur le réseau, les pirates obtiennent une économie d'échelle plus rapide et bien plus dommageable que le chiffrement de fichiers sur des périphériques individuels.

Composée de chercheurs sur les menaces, de scientifiques de données, d'ingénieurs en sécurité réseau et des concepteurs d'interface utilisateur, Vectra est l’un des leaders sur le marché des applications d’intelligence artificielle permettant de détecter en temps réel les cyberattaques dans les infrastructures de cloud, de centres de traitement des données et d’infrastructures informatiques.

En 2019, Google a annoncé sur son blog qu'elle expérimenterait le chiffrement TLS pour les communications DNS transitant sur son navigateur Chrome. L'objectif était d'améliorer la sécurité et la confidentialité en ligne, notamment en empêchant l'espionnage et l'usurpation d'identité. TLS utilise la cryptographie à clé publique afin de faciliter l'échange des clés de session. De nombreuses applications utilisent TLS pour l'authentification et le chiffrement.


Google n'est pas la seule organisation à avoir des projets de chiffrement. Mozilla avait également manifesté son désir d’utiliser cette technique pour sécuriser le DNS dans Firefox.

La tentative de Google de chiffrer n’avait pas été du goût des des FAI aux États-Unis. Dans une lettre au Congrès, des groupes du secteur des télécommunications ont déclaré que le projet de Google poserait des problèmes de concurrence. Cela est illustré par exemple par le fait que dans une lettre datée du 13 septembre, ladite Commission a demandé à Google des informations détaillées sur ses projets DNS-over-HTTPS (DOH), notamment si Google envisageait d'utiliser les données collectées via le nouveau protocole à des fins commerciales.

« Les FAI ne sont pas d’accord avec la norme simplement parce qu'ils veulent un accès continu aux données des utilisateurs » a déclaré Marshall Erwin, Senior Director of Trust and Security chez Mozilla. Un DNS non chiffré aide à cibler et à orienter les publicités sur le Web, a-t-il rappelé.

L'une des voies empruntées par le gouvernement indien pour justifier ses tentatives d'affaiblissement du chiffrement est la lutte contre la désinformation en ligne et les communications abusives. Une loi mise en place impose aux services chiffrés de collecter et de conserver les métadonnées relatives aux communications chiffrées, ce que certains services - comme WhatsApp - ne font pas actuellement. À la suite de cette décision, WhatsApp a intenté un procès au gouvernement indien au sujet de la loi de 2021, affirmant que le mandat - qui obligerait WhatsApp à collecter et à conserver toutes les métadonnées des messages à perpétuité (puisqu'il ne peut évidemment pas savoir à l'avance quelles informations le gouvernement viendra chercher) - viole les propres lois indiennes sur la vie privée.

Le gouvernement indien est maintenant allé encore plus loin. La législation proposée donnerait au gouvernement le pouvoir d'intercepter les messages chiffrés. De toute évidence, la capture est inutile contre le chiffrement de bout en bout, de sorte que ce nouveau pouvoir exigerait soit que les entreprises fournissent une assistance pour déchiffrer ou intercepter les messages, soit que les entreprises relevant du mandat désactivent au moins une extrémité du chiffrement de bout en bout afin que le gouvernement puisse écouter.

Signal a clairement fait savoir qu'elle ne se conformerait pas à des mandats l'obligeant à compromettre son chiffrement, ce qui signifie que la menace imminente du gouvernement indien de porter atteinte à la sécurité de ses citoyens ne restera que théorique s'il met en œuvre cette législation.

Signal, contrairement à WhatsApp revendique un but social

La Signal Foundation est une association à but non lucratif. L’application Signal Messenger est sous l'égide de cette organisation à but non lucratif et la fondation existe uniquement pour soutenir l'application de messagerie. Donc, en termes plus familiers, nous pouvons considérer Signal comme une organisation à but non lucratif. Cela signifie que Signal n'a pas d'actionnaires et qu’elle n'a pas de capitaux propres.

« Nous ne sommes donc pas structurellement incités à privilégier le profit et la croissance au détriment de notre mission principale. Et vous ne verrez pas arriver une sortie d'un milliard de dollars - nous n'attendons pas de devenir riches et de déménager sur un super yacht. Il s'agit donc d'une structure différente, d'un modèle différent », déclare Meredith Whittaker.

Signal compte sur un modèle de durabilité qui repose sur des dons et un modèle à but non lucratif, plutôt que de monétiser secrètement des données en arrière-plan ou de participer au modèle commercial de surveillance, qui est le paradigme dominant dans l'industrie technologique. « C'est le cas dans toute l'industrie technologique, mais pas vraiment dans le domaine de la messagerie. J'aimerais d'ailleurs insister un peu sur ce point. Il y a évidemment des services de messagerie qui scan tout ce que vous envoyez sur leur service et qui essaient ensuite de vous monétiser en fonction de ce que vous dites. Chaque fois que j'entends parler de ça, ça me paraît complètement fou, mais c'est leur univers », ajoute la présidente de Signal.

En revanche, les concurrents de Signal, comme iMessage et WhatsApp, prétendent être entièrement chiffrées. Évidemment, WhatsApp est la propriété de Facebook et il y a beaucoup de controverse à ce sujet. Il y a aussi un lien avec Signal, Brian Acton, qui était cofondateur de WhatsApp et qui fait maintenant partie du conseil d'administration de Signal. Ces services seraient intrinsèquement chiffrés.

WhatsApp utilise le protocole de chiffrement Signal pour fournir le chiffrement de ses messages. « C'était absolument un choix visionnaire que Brian et son équipe ont fait à l'époque - et je les félicite pour cela. Mais vous ne pouvez pas vous contenter de cela et vous arrêter à la protection des messages », indique la présidente de Signal Whittaker.

WhatsApp ne protège pas les métadonnées comme le fait Signal. Selon la présidente de Signal Whittaker, Signal ne sait rien de ses utilisateurs. Elle n'a pas les informations de profil et elle a introduit des protections de chiffrement de groupe. « Nous ne savons pas à qui vous parlez ni qui est membre d'un groupe. Nous avons fait tout notre possible pour minimiser la collecte de métadonnées », précise Whittaker.

En revanche, WhatsApp collecterait des informations sur le profil de ses utilisateurs, photo de profil, qui parle à qui, qui est membre d'un groupe. Ce sont des métadonnées puissantes. Il est particulièrement puissant - et c'est là que nous devons revenir à un argument structurel - pour une entreprise de collecter les données qui sont également détenues par Meta/Facebook. Facebook possède une quantité énorme, des volumes indescriptibles, d'informations intimes sur des milliards de personnes à travers le monde.

Il n'est pas anodin de souligner que les métadonnées de WhatsApp pourraient facilement être jointes aux données de Facebook, et qu'elles pourraient facilement révéler des informations extrêmement intimes sur les gens. Le choix de supprimer ou d'améliorer les protocoles de chiffrement est toujours entre les mains de Facebook ou Meta.

Signal, comme dit précédemment, est une organisation à but non lucratif. Elle n'aurait pas accès aux données comme Facebook. « Nous évitons d'avoir accès à ces données. Nous n'achetons pas, ne vendons pas et n'échangeons pas vos données. C'est un paradigme différent. Nous ne pouvons pas pointer du doigt WhatsApp, même si leur marketing est habile, et dire qu'il est vraiment sécurisé et privé. Tous ces détails nous amènent à conclure qu'il ne l'est pas. Eh bien, Signal existe uniquement dans ce but », déclare Meredith Whittaker.

Signal rend son code open source

Le protocole Signal et les principales primitives cryptographiques qu’elle utilise pour garantir la confidentialité et la sécurité sont ouverts à la consultation. Selon la présidente de Signal, des personnes ayant une formation et des compétences spécialisées ont consacré des milliers et des milliers d'heures à examiner le code Signal.

« Chaque fois qu'un nouveau morceau de code est déposé sur GitHub, il y a des gens dans les forums de la communauté Signal qui le regardent, le commentent et en déduisent les fonctionnalités qui pourraient en découler. Il existe une communauté active et vigilante qui vérifie les affirmations de Signal en les comparant au code et au protocole cryptographique que nous utilisons, encore et encore, déclare Whittaker. Notre protocole cryptographique n'est pas seulement utilisé par Signal. C'est ce que d'autres entreprises comme Facebook ont choisi d'utiliser parce que c'est le meilleur. »

Source : Meredith Whittaker, president of Signal, talks in an interview

Et vous ?

L'analyse de Meredith Whittaker, présidente de Signal est -elle pertinente ? Ou alors une simple bienveillance à l'endroit de Signal ?

« L'accès au chiffrement favoriserait le plein exercice du droit à la vie privée », partagez-vous cet avis ?

« Nous ne sommes pas structurellement incités à privilégier le profit...», prétend Signal, croyez-vous en ces propos ?

À votre avis, pourquoi Signal qui, se dit sans but lucratif est contre la fédération ou toute personne gérant un client alternatif ?

Voir aussi :

Brian Acton, cofondateur WhatsApp, explique pourquoi il est parti de Facebook et a abandonné 850 millions de $

Signal, une application de messagerie rapide et sécurisée, approuvée par Snowden, mais est-elle vraiment plus sécurisée que ses concurrents ?

Les grands FAI américains ne sont pas emballés par les projets de Google concernant le chiffrement DNS, voici pourquoi ils s'opposent à la mise en place du protocole DoH sur Chrome

Le Low-Code et le No-Code amélioreraient le travail des développeurs selon Outsystems, toutefois, certains développeurs trouvent qu'ils manquent de flexibilité et de sécurité

Une erreur dans cette actualité ? Signalez-le nous !

Avatar de _gaby_
Membre à l'essai https://www.developpez.com
Le 31/10/2022 à 13:00
« Nous ne sommes donc pas structurellement incités à privilégier le profit et la croissance au détriment de notre mission principale. Et vous ne verrez pas arriver une sortie d'un milliard de dollars - nous n'attendons pas de devenir riches et de déménager sur un super yacht. Il s'agit donc d'une structure différente, d'un modèle différent », déclare Meredith Whittaker.
Rien que ça, par les temps qui courent et avec les modèles d'affaire des big-techs, c'est quelque chose d'inoui. J'espère qu'ils garderont cet état d'esprit.

S'il me faillait une motivation supplémentaire pour faire un don à la Fondation Signal, je viens de l'avoir.
6  0 
Avatar de marc.collin
Membre chevronné https://www.developpez.com
Le 31/10/2022 à 13:52
Faudrait mentionner les autres pays avec des politiques similaires...

L'Australie s'est récemment dotée d'une loi (appelée Assistance and Access Bill) qui « oblige les entreprises technologiques à fournir les communications de leurs utilisateurs, y compris les messages chiffrés, aux autorités qui en font la demande »
https://droitdu.net/2018/12/les-nouv...iveau-mondial/

l'Angleterre proposition..
https://www.igen.fr/ailleurs/2022/01...en-bout-127681

un projet de loi contre l'interdiction
https://journalducoin.com/defi/chiff...uence-cryptos/

bref même l'occident si met... et critique évidemment les autres qui le font
3  0 
Avatar de cdubet
Membre confirmé https://www.developpez.com
Le 07/11/2022 à 19:15
il faut quand meme comprendre nos gouvernements. Non seulement ils peuvent plus espionner des actrices pour coucher avec (cf Mitterrand/C Bouquet) mais en plus ils ont moins de donnees que facebook ou google.
S ils pouvaient lire tous les messages avec du big data ils pourraient savoir quel baratin electoral marche ou non, ou tout simplement pouvoir coller des PV de facon automatique (il suffit de connaitre la position du telephone. si elle se deplace a plus de 80 km/h sur une route -> PV)

quand a l argument des criminels, c est ridicule. soit ils sont tres cons et peuvent se faire attraper par d autres moyens soient ils utilisent pas des mouchards que sont les smartphones
2  0