Nous comparons pour l’instant les deux applications libres dont l’usage est le plus facile : Telegram et Signal.
Les applications non libres sont à proscrire absolument car on ne peut leur faire confiance. Notamment WhatsApp® (de Facebook), Messenger® (de Facebook), Hangout® (de Google), Skype® (de Microsoft), Viber® (de Rakuten), etc.
Telegram et Signal ont des fonctionnalités et une ergonomie presque identiques en ce qui concerne les communications audio et écrites. Seul Signal permet actuellement les communications visuelles.
Si je comprends bien, Signal est aussi centralisé que Telegram, sachant que si on veut savoir qui communique avec qui (les metadata), il suffit d’attaquer leurs serveurs ?
J’aurai préféré un système pas centralisé, plus en accord avec le fonctionnement d’Internet et ne pas mettre tous les œufs dans le même panier.
j’ai vu que Matrix avait pris une claque et Riot avait effacé tous les comptes de ses users par sécurité il y a peu (je comprenais pas pourquoi mon compte était en rade …)
Non l’équipe de Matrix/Riot sur le serveur matrix.org n’a pas effacé de compte mais a suggéré à chacun·e de régénérer son mot de passe car ils ont été compromis. A moins que j’aie raté une deuxième info.
et j’avais plus accès à mon compte riot pendant plusieurs jours, je me suis interrogé et en tout cas ils avaient virés les mdp, il me semble qu’il y a un pathphrass donc j’ai du tout recréer
Ce piratage a contraint les développeurs à mettre hors ligne, pendant plusieurs heures, les serveurs hébergeant Matrix.org et Riot.im (un logiciel de messagerie open source basé sur le protocole de communication Matrix). Malheureusement, cette opération a entrainé, pour certains utilisateurs, la perte d’accès à leurs messages chiffrés.
« Comme nous avons dû déconnecter tous les utilisateurs de matrix.org, si vous ne disposez pas de sauvegardes de vos clés de chiffrement, vous ne pourrez pas lire l’historique de vos conversations chiffrées », expliquent les développeurs de Matrix. « Cependant, si vous utilisez une sauvegarde de clés de chiffrement côté serveur (l’option par défaut dans Riot de nos jours) ou si vous effectuez des sauvegardes manuelles de clés, tout ira bien », assurent-ils.
« C’était un choix difficile à faire. Nous avons comparé le risque, pour certains utilisateurs, de perdre l’accès à leurs messages chiffrés au risque que tous les comptes d’utilisateurs soient vulnérables via les jetons d’accès compromis. Nous espérons que vous comprendrez pourquoi nous avons pris la décision de donner la priorité à l’intégrité des comptes plutôt qu’à l’accès aux messages chiffrés, mais nous sommes désolés pour le désagrément que cela a pu causer », ont-ils ajouté.
Telle est la communication qu’ont faite les développeurs de Matrix, avec ce qui pouvait s’apparenter à un sentiment d’avoir accompli leur devoir de protéger au mieux les utilisateurs après une violation de sécurité ; un piratage qui aurait pu avoir des conséquences bien pires, quand on voit les possibilités qui s’offraient au hacker. Mais une sortie de l’attaquant montre, au contraire, qu’il n’y a pas de quoi être fier du travail abattu par les développeurs de Matrix pour contenir l’attaque et sécuriser leur infrastructure. En effet, en ce qui concerne leurs pratiques de sécurité, le fait qu’ils utilisaient une version obsolète de Jenkins n’était que la partie visible de l’iceberg.
Le problème chez eux c’est que les token d’authentification qui permettent aux client de rester authentifié ont dû être supprimé. La conséquence à cela c’est que tous les client on du refaire la procédure d’authentification (avec user/pass). L’autre conséquence c’est lorsque tu doit de réauthentifier tu perds tes clef de chiffrement pour les chattrom (qui sont stocké dans le cache de ton navigateur). Les compte n’ont pas été supprimé. C’est juste que les client ont dû se réauthentifier et si il savait pas le mot de passe, oui là ca peut arriver que tu perde ton compte.
