Comparatif des messageries instantanées sécurisées

http://blog.liberetonordi.com/post/comparatif-IM

Nous comparons pour l’instant les deux applications libres dont l’usage est le plus facile : Telegram et Signal.

Les applications non libres sont à proscrire absolument car on ne peut leur faire confiance. Notamment WhatsApp® (de Facebook), Messenger® (de Facebook), Hangout® (de Google), Skype® (de Microsoft), Viber® (de Rakuten), etc.

Telegram et Signal ont des fonctionnalités et une ergonomie presque identiques en ce qui concerne les communications audio et écrites. Seul Signal permet actuellement les communications visuelles.

J’aurais aimé qu’ils parlent de xmpp même si ce est pas une application en soit.

ils se sont arrêtés aux 2 applis phares sans rentrer dans les protocoles

ce qui m’étonne c’est que Signal = USA mais conseillé par Snowden ?! je suis plus enclin à croire ce dernier

Il y aurait plain d’autres technologies à énumérer, c’est vrais que c’est un peut simpliste de mettre juste de solutions…

Il y a ces pages que je trouve intéressantes:


merci pour les liens

Si je comprends bien, Signal est aussi centralisé que Telegram, sachant que si on veut savoir qui communique avec qui (les metadata), il suffit d’attaquer leurs serveurs ?

J’aurai préféré un système pas centralisé, plus en accord avec le fonctionnement d’Internet et ne pas mettre tous les œufs dans le même panier.

Je reste donc sur Matrix/Riot. :grin:

j’ai vu que Matrix avait pris une claque et Riot avait effacé tous les comptes de ses users par sécurité il y a peu (je comprenais pas pourquoi mon compte était en rade …)

je sais plus à froid si j’avais posté l’info ici

Non l’équipe de Matrix/Riot sur le serveur matrix.org n’a pas effacé de compte mais a suggéré à chacun·e de régénérer son mot de passe car ils ont été compromis. A moins que j’aie raté une deuxième info.

oui ils ont étés compromis

et j’avais plus accès à mon compte riot pendant plusieurs jours, je me suis interrogé et en tout cas ils avaient virés les mdp, il me semble qu’il y a un pathphrass donc j’ai du tout recréer

https://securite.developpez.com/actu/255906/L-infrastructure-du-protocole-de-communication-securise-Matrix-piratee-le-hacker-parle-et-expose-de-mauvaises-pratiques-de-securite-qui-l-ont-aide/

Ce piratage a contraint les développeurs à mettre hors ligne, pendant plusieurs heures, les serveurs hébergeant Matrix.org et Riot.im (un logiciel de messagerie open source basé sur le protocole de communication Matrix). Malheureusement, cette opération a entrainé, pour certains utilisateurs, la perte d’accès à leurs messages chiffrés.

« Comme nous avons dû déconnecter tous les utilisateurs de matrix.org, si vous ne disposez pas de sauvegardes de vos clés de chiffrement, vous ne pourrez pas lire l’historique de vos conversations chiffrées », expliquent les développeurs de Matrix. « Cependant, si vous utilisez une sauvegarde de clés de chiffrement côté serveur (l’option par défaut dans Riot de nos jours) ou si vous effectuez des sauvegardes manuelles de clés, tout ira bien », assurent-ils.

« C’était un choix difficile à faire. Nous avons comparé le risque, pour certains utilisateurs, de perdre l’accès à leurs messages chiffrés au risque que tous les comptes d’utilisateurs soient vulnérables via les jetons d’accès compromis. Nous espérons que vous comprendrez pourquoi nous avons pris la décision de donner la priorité à l’intégrité des comptes plutôt qu’à l’accès aux messages chiffrés, mais nous sommes désolés pour le désagrément que cela a pu causer », ont-ils ajouté.

Telle est la communication qu’ont faite les développeurs de Matrix, avec ce qui pouvait s’apparenter à un sentiment d’avoir accompli leur devoir de protéger au mieux les utilisateurs après une violation de sécurité ; un piratage qui aurait pu avoir des conséquences bien pires, quand on voit les possibilités qui s’offraient au hacker. Mais une sortie de l’attaquant montre, au contraire, qu’il n’y a pas de quoi être fier du travail abattu par les développeurs de Matrix pour contenir l’attaque et sécuriser leur infrastructure. En effet, en ce qui concerne leurs pratiques de sécurité, le fait qu’ils utilisaient une version obsolète de Jenkins n’était que la partie visible de l’iceberg.

C’est le problème des devops ça, on doit pas leur laisser gérer la prod lol.

Le problème chez eux c’est que les token d’authentification qui permettent aux client de rester authentifié ont dû être supprimé. La conséquence à cela c’est que tous les client on du refaire la procédure d’authentification (avec user/pass). L’autre conséquence c’est lorsque tu doit de réauthentifier tu perds tes clef de chiffrement pour les chattrom (qui sont stocké dans le cache de ton navigateur). Les compte n’ont pas été supprimé. C’est juste que les client ont dû se réauthentifier et si il savait pas le mot de passe, oui là ca peut arriver que tu perde ton compte.

les devops ? faut raccourcir la chaine (pas celle de production, l’autre) qui les lie au radiateur et ne pas les nourrir après minuit !

en tout cas perte de mdp, et pour moi recommencer à 0

Oui, tu as donc perdu tous tes messages chiffrés ?

yep la totale :confused: