En octobre 2021, un procureur adjoint américain a assigné Signal à comparaître exigeant que l'application de messagerie fournisse des informations sur l'un de ses utilisateurs. Sur la base d'un numéro de téléphone, les procureurs fédéraux ont demandé le nom, l'adresse, la correspondance, les contacts, les groupes et les enregistrements d'appels de l'utilisateur pour faciliter une enquête du FBI. Deux semaines plus tard, l'American Civil Liberties Union a répondu au nom de Signal avec seulement deux données : la date de création du compte Signal cible et la date de sa dernière connexion au service.

C'est ça. C’est tout ce à quoi Signal lui-même avait accès. Comme le dit le site Web de Signal : « Il est impossible de fournir des données auxquelles nous n'avons jamais eu accès en premier lieu. » Ce n'était pas la première fois que Signal recevait des demandes de données du gouvernement, ni la dernière. Dans tous les cas, Signal n’a transmis que ces deux données sur les comptes, ou rien du tout.

Signal est la référence en matière d’applications de messagerie sécurisée, car non seulement les messages sont cryptés, mais presque tout le reste l’est aussi. Signal ne connaît pas votre nom ou votre photo de profil, qui sont vos contacts, à quels groupes Signal vous appartenez, ni à qui vous parlez et quand. (Ce n'est pas le cas pour WhatsApp, Telegram, iMessage et presque toutes les autres applications de messagerie.)

Pourtant, l’un des principaux problèmes de Signal est sa dépendance aux numéros de téléphone. Lorsque des militants rejoignent des groupes Signal pour s'organiser, ils sont obligés de partager leur numéro de téléphone avec des personnes qu'ils ne connaissent pas encore et en qui ils n'ont pas confiance. Les journalistes ont dû choisir entre solliciter des conseils en publiant leurs numéros privés à leurs lecteurs – et donc en incitant au harcèlement et aux cyberattaques – ou en créant un deuxième numéro Signal, une perspective difficile et longue. La plupart des journalistes ne publient tout simplement pas de numéro Signal. Tout cela est sur le point de changer.

Avec l'annonce tant attendue de l'arrivée des noms d'utilisateur sur Signal – plus de quatre ans de préparation – Signal a utilisé la même ingénierie cryptographique minutieuse pour laquelle il est célèbre, garantissant que le service continue d'apprendre le moins d'informations possible sur ses utilisateurs.

«Le faire crypté est le niveau du patron. Nous avons dû changer des éléments fondamentaux de notre architecture.

“Le fait de le chiffrer relève du niveau du patron”, a déclaré Meredith Whittaker, présidente de la Signal Foundation, une organisation à but non lucratif, qui crée l'application. “Nous avons dû changer des éléments fondamentaux de notre architecture.”

Si Signal reçoit une demande gouvernementale d'informations sur un compte basée sur un nom d'utilisateur actif, Signal pourra transmettre le numéro de téléphone de ce compte ainsi que sa date de création et sa date de dernière connexion. Ainsi, le fait de pouvoir utiliser Signal via des noms d'utilisateur ne signifie pas que votre numéro de téléphone devient à l'épreuve des assignations à comparaître – du moins pas sans utiliser la nouvelle possibilité de modifier votre nom d'utilisateur à volonté.

C'est parce que les nouveaux noms d'utilisateur Signal sont conçus pour être éphémères. Vous pouvez en définir un, le supprimer et le remplacer par autre chose, aussi souvent que vous le souhaitez.

Les noms d'utilisateur Signal sont actuellement disponibles dans Signal Desktop et dans la version bêta des applications mobiles Signal – ceux-ci seront également mis à jour dans les semaines à venir. Mon nom d'utilisateur est micah.01, si vous souhaitez m'envoyer un message.

Confidentialité du nouveau numéro de téléphone de Signal

Avec la nouvelle version de Signal, vous ne diffuserez plus votre numéro de téléphone par défaut à toutes les personnes à qui vous envoyez des messages, même si vous pouvez choisir de le faire si vous le souhaitez. Votre numéro de téléphone sera toujours affiché aux contacts qui l'ont déjà stocké dans leur téléphone. Cependant, à l'avenir, lorsque vous démarrez une nouvelle conversation sur Signal, votre numéro ne sera plus du tout partagé : les contacts verront simplement le nom que vous utilisez lorsque vous configurez votre profil Signal. Ainsi, même si votre contact utilise un client Signal personnalisé, par exemple, il ne pourra toujours pas découvrir votre numéro de téléphone puisque le service ne le lui communiquera jamais.

Vous avez également désormais la possibilité de définir un nom d'utilisateur, que Signal vous permet de modifier quand vous le souhaitez et de le supprimer lorsque vous ne le souhaitez plus. Plutôt que de stocker directement votre nom d'utilisateur dans les détails de votre compte, Signal stocke plutôt un hachage cryptographique de votre nom d'utilisateur ; Signal utilise l'algorithme de hachage Ristretto 25519, stockant essentiellement un bloc de données aléatoire au lieu des noms d'utilisateur eux-mêmes. C'est un peu comme la façon dont les services en ligne peuvent confirmer la validité du mot de passe d'un utilisateur sans stocker une copie du mot de passe lui-même.

“Pour autant que nous le sachions, nous sommes la seule plate-forme de messagerie qui prend désormais en charge les noms d'utilisateur et qui ne connaît pas par défaut les noms d'utilisateur de tout le monde.”

“Pour autant que nous le sachions, nous sommes la seule plate-forme de messagerie qui prend désormais en charge les noms d'utilisateur qui ne connaissent pas les noms d'utilisateur de tout le monde par défaut”, a déclaré Josh Lund, technologue principal chez Signal.

Cette décision s’inscrit encore dans la philosophie de Signal consistant à conserver le moins de données possible, de peur que les autorités ne tentent de s’immiscer dans l’entreprise. Whittaker a expliqué : « Nous ne voulons pas être obligés d'énumérer un répertoire de noms d'utilisateurs. »

Pour empêcher les gens de s'accroupir sur des noms d'utilisateur de grande valeur – comme taylorswift, par exemple – tous les noms d'utilisateur doivent avoir un numéro à la fin, comme taylorswift.89. Une fois que vous avez défini un nom d'utilisateur, les autres utilisateurs de Signal peuvent démarrer une conversation avec vous en recherchant votre nom d'utilisateur, le tout sans connaître votre numéro de téléphone.

Étant donné que les noms d'utilisateur sont conçus pour être éphémères, vous pouvez définir un nouveau nom d'utilisateur spécifiquement pour une conférence à laquelle vous participez ou pour une fête. Les gens peuvent se connecter avec vous en l'utilisant, puis vous le supprimez lorsque vous avez terminé et le définissez sur autre chose plus tard.

Dans certains cas, vous souhaiterez peut-être que votre nom d'utilisateur soit permanent. Par exemple, il est logique que les journalistes créent un nom d’utilisateur qu’ils ne changeront jamais et le publient largement afin que leurs sources puissent les contacter. Les journalistes peuvent désormais le faire sans avoir à partager leur numéro de téléphone privé. En revanche, il est logique que les sources définissent un nom d'utilisateur uniquement lorsqu'elles souhaitent spécifiquement se connecter avec quelqu'un, puis le suppriment ensuite.

Vous pouvez également créer un lien ou un code QR que les gens peuvent scanner pour vous ajouter en tant que contact. Ceux-là aussi sont éphémères. Vous pouvez envoyer à quelqu'un votre lien Signal dans un canal non sécurisé et, dès qu'il vous contacte, vous pouvez réinitialiser votre lien et en obtenir un nouveau, sans avoir besoin de changer votre nom d'utilisateur.

Enfin, même si vous aurez toujours besoin d'un numéro de téléphone pour créer un compte Signal, vous aurez la possibilité d'empêcher quiconque de vous trouver sur Signal en utilisant votre numéro de téléphone.

Signal peut-il transmettre votre numéro de téléphone en fonction d'un nom d'utilisateur ?

Chaque fois que Signal reçoit une assignation à comparaître correctement signifiée, ils travaillent en étroite collaboration avec l'American Civil Liberties Union pour la contester et y répondre, en transmettant le moins de données utilisateur possible. Signal publie un article dans la section « Demandes gouvernementales » de son site Web (signal.org/bigbrother) chaque fois qu'il est légalement obligé de fournir des données utilisateur aux gouvernements, à condition qu'ils y soient autorisés. Certains des exemples incluent des contestations des ordonnances de bâillon, permettant à Signal de publier les ordonnances judiciaires précédemment scellées.

Si Signal reçoit une assignation à comparaître exigeant qu'il remette toutes les données de compte liées à un utilisateur avec un nom d'utilisateur spécifique actuellement actif au moment où Signal le recherche, ils pourront le lier à un compte. Cela signifie que Signal fournirait le numéro de téléphone de cet utilisateur, ainsi que la date de création du compte et la date de la dernière connexion. Whittaker a souligné qu’il s’agit « d’un pipeline assez étroit qui est vicieusement gardé par les avocats de l’ACLU », juste pour obtenir un numéro de téléphone basé sur un nom d’utilisateur.

Signal, cependant, ne peut pas confirmer depuis combien de temps un nom d'utilisateur donné est utilisé, combien d'autres comptes l'ont utilisé dans le passé, ou quoi que ce soit d'autre à ce sujet. Si l'utilisateur de Signal utilisait brièvement un nom d'utilisateur puis le supprimait, Signal ne serait même pas en mesure de confirmer qu'il avait déjà été utilisé, et encore moins quels comptes l'avaient utilisé auparavant.

Si l'utilisateur de Signal utilisait brièvement un nom d'utilisateur puis le supprimait, Signal ne serait même pas en mesure de confirmer qu'il a déjà été utilisé.

En bref, si vous craignez que Signal transmette votre numéro de téléphone aux forces de l'ordre en fonction de votre nom d'utilisateur, vous ne devez définir un nom d'utilisateur que lorsque vous souhaitez que quelqu'un vous contacte, puis le supprimer par la suite. Et à chaque fois, définissez toujours un nom d’utilisateur différent.

De même, si vous souhaitez que quelqu'un vous contacte en toute sécurité, vous pouvez lui envoyer votre lien Signal et, dès qu'il prend contact, vous pouvez réinitialiser le lien. Si Signal reçoit une assignation à comparaître basée sur un lien déjà réinitialisé, il lui sera impossible de rechercher à quel compte il était associé.

Si l'assignation exige que Signal fournisse les informations de compte sur la base d'un numéro de téléphone plutôt que d'un nom d'utilisateur, Signal pourrait être obligé de remettre le hachage cryptographique du nom d'utilisateur du compte, si un nom d'utilisateur est défini. Il serait cependant difficile pour les forces de l’ordre d’apprendre elles-mêmes le nom d’utilisateur réel en fonction de son hachage. S'ils soupçonnent déjà un nom d'utilisateur, ils peuvent utiliser le hachage pour confirmer qu'il est réel. Sinon, ils devraient deviner le nom d'utilisateur en utilisant des techniques de piratage de mot de passe telles que des attaques par dictionnaire ou des tables arc-en-ciel.

Pourquoi Signal nécessite-t-il des numéros de téléphone ?

La direction de Signal est consciente que la plainte la plus persistante de ses détracteurs concerne l'exigence de numéro de téléphone, et ils admettront volontiers que les noms d'utilisateur facultatifs ne constituent qu'une solution partielle. Mais comme les numéros de téléphone simplifient l’utilisation de Signal pour la plupart des gens et rendent plus difficile aux spammeurs de créer de faux comptes, l’exigence relative au numéro de téléphone est là pour rester dans un avenir prévisible.

Signal ne publie pas le nombre d'utilisateurs dont il dispose, mais l'application Android compte plus de 100 millions de téléchargements. Il a atteint cette échelle en grande partie parce que tout ce que vous avez à faire est d'installer l'application Signal et vous pouvez immédiatement envoyer des messages cryptés aux autres utilisateurs de Signal dans les contacts de votre téléphone, en fonction des numéros de téléphone.

“Vous atteignez un seuil où vous réduisez réellement la confidentialité.”

Cette facilité d’utilisation rend également Signal plus sécurisé. Si Signal supprimait les numéros de téléphone, ce qui rendrait plus difficile pour les utilisateurs de Signal de se retrouver par rapport à l'utilisation d'applications de messagerie alternatives, il pourrait y avoir un prix à payer. “Vous atteignez un seuil où vous réduisez réellement la vie privée”, a déclaré Whittaker. Elle a donné l'exemple d'une personne qui fait face à de graves menaces et reste normalement vigilante, mais dont la mère n'est sur WhatsApp que parce qu'elle ne parvient pas à comprendre l'innombrable Signal. La personne à haut risque serait obligée d’utiliser plus souvent l’option la moins sécurisée.

Exiger des numéros de téléphone rend également considérablement plus difficile pour les spammeurs d’abuser de Signal. “L'existence d'une poignée de petites applications qui n'ont pas vraiment un grand nombre d'utilisateurs, qui ne nécessitent pas de numéro de téléphone, je ne pense pas que ce soit la preuve que cela est réellement réalisable pour une application à grande échelle”, a déclaré Whittaker. .

Il est tout à fait possible de créer une version de Signal qui ne nécessite pas de numéro de téléphone, mais Whittaker craint que sans les difficultés liées à l'obtention de nouveaux numéros de téléphone, les spammeurs submergeraient immédiatement le réseau. Les ingénieurs des signaux ont discuté d’alternatives possibles aux numéros de téléphone qui maintiendraient cette friction, y compris les options payantes, mais rien n’est actuellement sur leur feuille de route.

“C'est en fait le lien d'un problème très épineux pour lequel je n'ai vu aucune véritable solution parmi aucune alternative, et nous voudrions avancer avec beaucoup, très prudence”, a déclaré Whittaker. « Il y a un signal. Nous sommes la référence en matière de messagerie privée et nous avons atteint une masse critique à une assez grande échelle. Ces choses ne pourraient pas être facilement recréées si nous gâchions tout cela en prenant une décision irréfléchie qui en ferait ensuite une ville fantôme contenant du spam. C’est la préoccupation avec laquelle nous sommes aux prises ici.

La source: theintercept.com

Cette publication vous a-t-elle été utile ?

Cliquez sur une étoile pour la noter !

Note moyenne 0 / 5. Décompte des voix : 0

Aucun vote pour l'instant ! Soyez le premier à noter ce post.



Laisser un commentaire

Related News

L’Église Méthodiste Unie abroge l’interdiction du clergé LGBTQ – Mother Jones

May 2, 2024

L'omission d'Oppenheimer – CounterPunch.org

May 1, 2024

You may have missed

L’Église Méthodiste Unie abroge l’interdiction du clergé LGBTQ – Mother Jones

May 2, 2024

Les ETF Bitcoin enregistrent des sorties de 344 millions de dollars en avril

May 2, 2024

Le Bitcoin pourrait tomber à 50 000 $ US, prévient Standard Chartered

May 1, 2024

Analyse des prix du Bitcoin et de l'Ethereum aujourd'hui, 29/04/2024 : la pression de vente reste sur le marché

May 1, 2024

L'omission d'Oppenheimer – CounterPunch.org

May 1, 2024

Le chef de l'opposition suspendu du Parlement canadien pour un commentaire « farfelu » — RT World News

May 1, 2024