Dites, j'ai une notif dans Signal me signalant que mon compte pourrait être supprimé si je ne l'ouvre pas via l'appli sur le téléphone. Sachant que je n'ai pas de smartphone, je suis supposé réagir comment ?
Bon d'une certaine manière c'est une bonne nouvelle, vu le nombre de personnes activistes qui ne détiennent pas de smartphone, cela veut sans doute dire que l'on va finalement sortir de Signal qui est quand même problématique.
@delta Aparently Signal users are getting notifications that they should connect back the webapp to their primary phone number.
Malheureusement d'après Soatok (qui ne me semble pas un shill pour qui que ce soit) aucune alternative à Signal n'est réellement sécure contre un adversaire déterminé et disposant de moyens. https://soatok.blog/2024/08/04/against-xmppomemo/
(j'ai pas le niveau technique pour contester son analyse; juste assez pour dire qu'elle semble solidement argumentée)
XMPP is a messaging protocol (among other things) that needs no introduction to any technical audience. Its various implementations have proliferated through technical communities for decades. Many…
Exactement ça. Et sur les trois personnes que je connais qui ont été torturées par des pros, une seule a dit qu'elle a "eu la chance de ne pas parler" et les autres plutôt "c'est pas facile" et "on essaie de ne leur dire que ce qu'ils savent déjà" (évidemment je n'ai pas insisté).
Plus deux autres qui de ce que je comprends de ce qu'ils m'ont dit n'ont pas parlé, mais n'ont été torturés que par des amateurs (à la brûlure de cigarette de ce que m'a dit l'un d'entre eux, et à l'expression de son visage quand il m'a dit "ça fait vraiment mal" 20 ans après je n'ai aucun doute sur le fait que oui, c'était douloureux).
Donc oui quand on propose une solution sécurisée, on s'adresse aussi à des gens éventuellement prêts à mourir sous la torture pour protéger leurs amis et leurs convictions.
Donc si en fait on est là pour jouer à faire semblant d'être sécurisé, il faut le dire clairement et laisser les pros (que sont Signal notamment) travailler.
@lienrag Tu dis « exactement ça » au XKCD de @natacha mais je pense que tu es passé à côté. On reproche à soatok d'être complètement dans la case de gauche (« imagination »).
Signal a été conseillé par Elon Musk, est opéré sur des serveurs appartenant à Jeff Bezos, et est toléré par l'administration Trump. Ça t'inspire confiance, à toi ?
Ben tout le principe de l'opposition à la loi narcotrafic (sur le plan pratique, pas moral) est qu'il n'est pas possible d'avoir des mathématiques qui ne marchent que pour les gentils. Donc oui les outils dont ont besoin les salopards pour leurs saloperies sont les mêmes dont nous avons besoin pour nous protéger nous, et donc non ça ne me surprend pas que la Navy aie financé Tor ou que Musk conseille Signal.
Et oui moi aussi j'aimerais qu'il existe une solution sécurisée décentralisée qui ne dépende pas des USA, mais non le mot "sécurisée" n'est pas DU TOUT secondaire dans cette phrase. Et quand la réponse aux problèmes de sécurité rencontrés dans l'implémentation des solutions décentralisées proposées est "nan mais c'est pas grave que ça soit pas vraiment sécurisé, aucune solution ne l'est" ben ça pose sérieusement problème.
À ma connaissance, les « pros » de la sécurité conchient le mot « sécurisé » sans se poser la question du « modèle de menace ». Rien n'est sécurisé dans l'absolu, il faut se demander de quoi tu veux te protéger, et toute solution implique des compromis. Il existe des risques inhérents à la possession d'un smartphone et à la centralisation que les aficionados de signal veulent absolument ignorer. Si ça te convient, tant mieux pour toi.
Faire de la promotion agressive et sans transparence d'un système particulier à base de: soit vous êtes d'accord avec moi soit vous êtes des cons, c'est quand même problématique. Corrigez moi si j'ai tort je ne vois pas d'audit de sécurité récent pour Signal
Let’s collect past security audits here: Formal audits Year Auditor(s) Sponsor App/Component Published Link Last update / extended 2013 iSEC Partners (NCC Group) Open Technology Fund RedPhone and TextSecure ❌ Blog post 2014 Frosch et al.
all issues from the ETH Zuerich security analysis were addressed.
There are more audits with the last one being on the Rust #OpenPGP library rPGP where also all issues were addressed.
Maybe even more importantly, #deltachat is focused on actual security outcomes for journalists, lawyers and activists in repressive countries. @Xeniax has done extensive user research and real-world testing. Many findings have been incorporated and addressed in Delta Chat.
natacha 🍉 •
@delta
Aparently Signal users are getting notifications that they should connect back the webapp to their primary phone number.
https://support.signal.org/hc/en-us/articles/8997185514138-Re-connect-your-primary-device-to-continue-using-Signal-Desktop
Jérémy -Jeey- •
Lien Rag •
https://soatok.blog/2024/08/04/against-xmppomemo/
(j'ai pas le niveau technique pour contester son analyse; juste assez pour dire qu'elle semble solidement argumentée)
@natacha @delta
Against XMPP+OMEMO - Dhole Moments
Dhole MomentsNicoco •
natacha 🍉 •
@lienrag @jeeynet @delta
Security
xkcdLien Rag •
Et sur les trois personnes que je connais qui ont été torturées par des pros, une seule a dit qu'elle a "eu la chance de ne pas parler" et les autres plutôt "c'est pas facile" et "on essaie de ne leur dire que ce qu'ils savent déjà" (évidemment je n'ai pas insisté).
1/3
@nicoco @jeeynet @delta
Lien Rag •
2/3
@nicoco @jeeynet @delta
Lien Rag •
Donc si en fait on est là pour jouer à faire semblant d'être sécurisé, il faut le dire clairement et laisser les pros (que sont Signal notamment) travailler.
3/3
@nicoco @jeeynet @delta
Nicoco •
Signal a été conseillé par Elon Musk, est opéré sur des serveurs appartenant à Jeff Bezos, et est toléré par l'administration Trump. Ça t'inspire confiance, à toi ?
Lien Rag •
Donc oui les outils dont ont besoin les salopards pour leurs saloperies sont les mêmes dont nous avons besoin pour nous protéger nous, et donc non ça ne me surprend pas que la Navy aie financé Tor ou que Musk conseille Signal.
@jeeynet @delta @natacha
Lien Rag •
Et quand la réponse aux problèmes de sécurité rencontrés dans l'implémentation des solutions décentralisées proposées est "nan mais c'est pas grave que ça soit pas vraiment sécurisé, aucune solution ne l'est" ben ça pose sérieusement problème.
@jeeynet @delta @natacha
Nicoco •
Il existe des risques inhérents à la possession d'un smartphone et à la centralisation que les aficionados de signal veulent absolument ignorer.
Si ça te convient, tant mieux pour toi.
natacha 🍉 •
Corrigez moi si j'ai tort je ne vois pas d'audit de sécurité récent pour Signal
https://community.signalusers.org/t/overview-of-third-party-security-audits/13243
Par contre j'en connais pour DeltaChat
https://eprint.iacr.org/2024/918
@lienrag @jeeynet @delta
Overview of third-party security audits
Signal CommunityLien Rag •
Et je n'ai vu ici personne faire la promotion sans transparence de Signal, encore moins sur le mode "vous êtes d'accord avec moi ou vous êtes cons".
Soatok comme moi avons donné nos arguments (beaucoup plus techniques pour Soatok que pour moi d'ailleurs).
@nicoco @jeeynet @delta
Delta Chat •
There are more audits with the last one being on the Rust #OpenPGP library rPGP where also all issues were addressed.
Maybe even more importantly, #deltachat is focused on actual security outcomes for journalists, lawyers and activists in repressive countries. @Xeniax has done extensive user research and real-world testing. Many findings have been incorporated and addressed in Delta Chat.