Telegram a lancé une campagne intense pour dénigrer Signal en la qualifiant d'application non sécurisée.
Telegram a lancé une campagne intense pour dénigrer Signal en la qualifiant d'application non sécurisée.
Dans le monde numérique daujourdhui, la sécurité des applications de messagerie est une préoccupation majeure pour les utilisateurs. Récemment, une lutte acharnée pour la suprématie en matière de sécurité a éclaté entre deux géants de la messagerie chiffrée : Telegram et Signal. Cette bataille a p...
Sources du dénigrement : "trust me, bro" par Elon Musk, Tucker Carlson, et le président de la techno concurrente.
Je pense qu'on peut clore le dossier.
Et aussi les groupes télégramme ne sont pas chiffrés de pair à pair (contrairement à signal), dans leur FAQ ils expliquent qu'ils me renforcent quand même les données avec une magouille qui me rend sceptique :
To protect the data that is not covered by end-to-end encryption, Telegram uses a distributed infrastructure. Cloud chat data is stored in multiple data centers around the globe that are controlled by different legal entities spread across different jurisdictions. The relevant decryption keys are split into parts and are never kept in the same place as the data they protect. As a result, several court orders from different jurisdictions are required to force us to give up any data.
Ça reste quand même une sécurité de type "Trust me bro", si la clef leak ou est donné à une autorité malveillante, l'ensemble des messages sont en clair
[Edit] Ce qui, on se le dit bien, reste pour autant mieux que d'avoir les messages en clair dans une BDD non sécu
Bienvenue
Faut pas éluder le propos parce que c'est l'autre malade qui le scande. On peut aussi avoir un avis objectif je pense.
C'est pas le serveur de Signal qui est proprio? Ca intègre le service de Google Push ... Personnellement ça m'inspire pas super confiance non plus.
Quitte a être secure je préfère autant du Fédéré avec OTR/PGP sur un serveur que je maitrise et que je déploie ou alors une app 100% P2P. Tout le reste en serveur centralisé ça vaut pas grand chose coté vie privée. Après c'est aussi une histoire de sémantique ou je ne fais pas de distinguo entre vie privée et sécurité c'est pas le cas de tout le monde et j'entends tout à fait.
Les paranos que je connais (et le gouvernement Fr quand il a voulu faire une messagerie secure) choisissent Matrix, un protocole complètement ouvert, fédéré et self-host. Ça vient avec ses propres problèmes mais c'est l'autre solution acceptable.
Perso je trouve que Signal et Matrix sont les deux meilleures solutions. Après, toutes les solutions chiffrées E2E restent au dessus de Telegram AMHA, ce qui inclue la plupart des messageries modernes (oui, même Facebook messenger). Telegram est contrôlé par un Russe qui vit à Dubai. Qui a eu des démêlées avec le Kremlin mais « les a résolues en faisant plier le gouvernement russe ». Mouais.
Je préfère XMPP le fonctionnement du serveur Matrix est très consommateur de ressources. Il charge au démarrage tous les salons quitte à mettre le serveur qui l'heberge à genoux. XMPP est beaucoup moins gourmand et facilement deployable.
Du coup comme un serveur Matrix c'est pas un petit serveur c'est en général un tiers de confiance et donc on revient au même problème selon moi. Donc je prvilégie un truc facile, sobre, deployable sans formation, pas forcément le truc le plus secure mais le truc le plus cohérent (pour moi).
Un serveur proprio ne change rien avec le chiffrement bout-à-bout et si tu peux avoir confiance dans le client (ce qui je crois est le cas de Signal ?). Google n'a pas accès au contenu des messages, ni même aux métadonnées; Google sait juste que tu utilises Signal.
Peut être mais quitte à choisir je préfère une solution que j'équilibre ou j'adapte même en choisissant de faire des erreurs que me reposer sur l'épaule d'un géant sans savoir où il va.
Il y a de gros warning à mon sens: Siège social US + Serveur proprio + Play Store + Annuaire centralisé + Obligation du mail ou N° de Téléphone. C'est certainement très secure, prouvé et tout ce qui s'en suis. Par contre sur toutes les autres solutions fédérées personne ne me demande tout ça.
OTR c'est pas dépassé ? Pour info avec XMPP tu peux faire du GPG ou bien du OMEMO si tu veux être plus moderne (c'est le protocol E2EE de Signal, version XMPP).
Oui désolé je suis dépassé et ma langue a fourchée, OMEMO bien sûr! :)
Merci, j'ai reposté sur !technologie@jlai.lu , l'article n'est pas vraiment en lien avec la France