Archives par mot-clé : signal

Signal VS Telegram : laquelle des deux messageries est plus sécurisée que l’autre

Parmi les nombreuses alternatives à WhatsApp, il a souvent été dit que Signal était la plus sécurisée.

Du moins au regard de son concurrent direct à Telegram.  Il n’est pas rare que les personnes souvent spécialisées affirment que la première est beaucoup plus sécurisée et protège mieux les données de ses utilisateurs que la seconde. Cela est clairement de bonne guerre. Car à y regarder de près, on constate que les deux applications n’ont pas fait le même choix au niveau de leur chiffrement.

Cet article va aussi vous intéresser : Signal et Wire, deux applications de messagerie recommandés par Edward Snowden

Pourtant en pratique, si Signal prend la tête des applications les plus sécurisées, il n’en demeure pas moins que Telegram reste dix fois plus téléchargé selon les chiffres fournis par le Google PlayStore.

Ce que l’on sait, les deux applications utilisent le chiffrement de bout en bout. Une méthode de chiffrage qui permet d’empêcher toute personne extérieure de pouvoir avoir connaissance des échanges. Pourtant, le procédé utilisé par les deux applications n’est pas les mêmes. En pratique ce chiffrement est inviolable dans certaines conditions. Pour le déchiffrer, il faudrait avoir les clés de déchiffrement, ce qui est clairement impossible. Cela est à relativiser par la responsable de la sécurité informatique de l’Electronic Frontier Foundation, une association qui milite en faveur de la défense de la vie privée au niveau de l’informatique. Selon cette dernière, le chiffrement de bout en bout n’est pas si inviolable que cela, du moins lorsqu’on on essaie pas de s’en prendre directement. Les moyens détournés existent bel et bien. La spécialiste déclare à ce propos : le procédé « n’est pas conçu pour protéger vos communications contre les attaques en bout de chaîne. C’est comme si vous vous plaigniez que votre couteau à beurre n’est pas une bonne passoire à pâtes. Ce n’est pas pour cela qu’il est conçu ».

Par attaque de bout en chaîne, c’est le piratage de téléphone portable smartphone, destiné à voir accéder aux applications de messagerie telle que Signal ou Telegram pour consulter le contenu des discussions. Ceux contre quoi le chiffrement de bout en bout ne peut pas intervenir.

Selon l’ancien responsable de la cybersécurité chez Facebook, Alex Stamos : « beaucoup de gens sous-estiment les avantages en termes de protection de la vie privée inhérents au fait de pousser les adversaires [c’est-à-dire ceux contre qui le chiffrement de bout en bout vise à protéger, NDLR] à passer d’un modèle où ils peuvent effectuer des recherches sur tous les contenus à un modèle où ils doivent cibler spécifiquement des personnes ».

En d’autres termes, grâce au fameux chiffrement, il est possible de pouvoir fuir la surveillance de masse. Ce qui contraint généralement les personnes intéressées par des données à faire beaucoup plus de ciblage de leurs victimes. N’ayant pas la capacité d’attaquer plusieurs cibles en même temps.

La question principale était de savoir à la base pourquoi l’utilisation de chiffrement de bout en bout est différente de Telegram à Signal. Ici l’offre de Telegram n’est pas par défaut ce qui est contraire à celui de Signal. « Signal est conçue pour ne pas recueillir ni stocker de renseignements de nature délicate. Nous, ni aucun tiers, ne pouvons pas accéder aux messages et appels de Signal, car ils sont toujours chiffrés de bout en bout, protégés et sûrs », déclare la fondation derrière Signal. Sur la première, l’utilisateur doit lui-même décidé d’utiliser cette action à travers la fonctionnalité « secret chat ». Une fonctionnalité qui est disponible pour les visioconférences

« Les secret chats sont destinés aux personnes qui veulent plus de confidentialité que la moyenne. […] Seuls vous et le destinataire pouvez lire ces messages — personne d’autre ne peut les déchiffrer, y compris Telegram. En outre, les messages ne peuvent pas être transférés à partir de secret chats. Et lorsque vous supprimez des messages de votre côté de la conversation, l’application de l’autre côté du chat secret reçoit l’ordre de les supprimer également », explique la foire aux questions de l’application.

Ce choix de Telegram de pouvoir proposer en option de la communication protégée par le chiffrement s’explique par le fait que l’application propose une multitude de fonctionnalités. Ce qui le restreint d’une manière de proposer une version beaucoup plus sécuritaire de l’outil de messagerie. « Si vous pensez avoir besoin d’une application séparée pour cette seule fonction [de chiffrement de bout en bout], l’installer pourrait être utile pour vous », Pavel Durov, l’un des fondateurs de Telegram. Comme pour dire que l’application ne compte pas changer son approche.

Cet aspect il faut le noter est aussi entrevu par Signal, qui essaie tant bien que de moderniser de rendre beaucoup plus fun sn service.

« La minorité […] qui veut maximiser la sécurité au détriment de la convivialité est la bienvenue pour utiliser les secret chats sur Telegram — ou installer l’une des applications qui n’ont que des secret chats et rien de plus. Mais nous n’allons pas paralyser Telegram en jetant des dizaines de ses fonctionnalités pour des gens trompés par les astuces marketing de nos concurrents. Ou pour les personnes trop paresseuses pour lancer des secret chats quand elles pensent en avoir besoin », explique le co-fondateur de Telegram.

Accédez maintenant à un nombre illimité de mot de passe :

Découvrez nos logiciels de piratage

Une faille de sécurité qui permet d’espionner les utilisateurs des services de messagerie

Facebook Messenger, Signal, Google Duo, Mocha ou JioChat… sont un ensemble de service de messagerie qui sont touchés par des failles de sécurité jugées critiques par les experts de Google.

Les experts de Google dont nous faisons allusion ici sont ceux du fameux Project à Zéro, les spécialistes de la recherche de failles et de bugs du géant américain qui ont plusieurs fois fait leurs preuves.

Parlons plutôt une chercheuse du groupe, écrit Natalie Silvanovich. Elle a découvert récemment lors d’une étude réalisée sur plusieurs plateformes d’échanges, que des vulnérabilités pouvant être jugées assez graves, touchent des messageries assez célèbres. « J’ai trouvé des bugs qui permettent de transmettre l’audio et la vidéo sans le consentement de l’utilisateur sur cinq applications mobiles, dont Signal, Google Duo et Facebook Messenger » publie cette dernière sur Twitter.

Cet article va aussi vous intéresser : Comment pirater un compte Facebook ?

Selon les explications de la chercheuse de Google, ces vulnérabilités puisent leurs sources dans une autre faille de sécurité découverte depuis 2019, le bug de FaceTime Video. Une faille qui a permis à un pirate informatique de pouvoir espionner des utilisateurs d’iPhone à leur insu. Sans oublier qu’il avait aussi la possibilité de s’ajouter lors d’une conversation de groupe en passant par le menu des options. En d’autres termes une vulnérabilité assez grave.

« I found logic bugs that allow audio or video to be transmitted without user consent in five mobile applications including Signal, Duo and Facebook Messenger » publie t-elle sur son compte Twitter le 19 janvier 2021. En français ça donne : « J’ai trouvé des bogues de logique qui permettent de transmettre de l’audio ou de la vidéo sans le consentement de l’utilisateur dans cinq applications mobiles dont Signal, Duo et Facebook Messenger ».

Alors la problématique qui est posée ici était de savoir si la faille de sécurité FaceTime Video s’était étendue sur d’autres appareils. En se posant cette question la chercheuse du Project Zéro a alors entrepris de mener une recherche beaucoup plus approfondi sur les différentes applications de messageries sont Signal, Mocha, JioChat, Facebook Messenger et Google Duo. Elle a découvert des vulnérabilités très intéressantes.

– Facebook Messenger :  sur cette appli, le pirate informatique avait la possibilité non seulement se connecter à l’application, mais aussi de lancer de manière simultanée un appel tout en envoyant un message corrompu. Ce dernier pouvait aussi recevoir des audios via l’application.

– Signal : grâce à la vulnérabilité sur cette application, il est impossible pour le cybercriminel de pouvoir entendre tout ce qui se passait dans l’environnement de destinataire de message.

– Google Duo : « Une situation de compétition entre la désactivation de la vidéo et la mise en place de la connexion, qui dans certaines situations, peut entraîner la fuite de paquets vidéo après plusieurs appels sans réponse » comme l’explique Natalie Silvanovich

La chercheuse explique par ailleurs que ces failles de sécurité ont déjà été corrigées. Les utilisateurs sont encouragés à appliquer la mise à jour de correction.

Accédez maintenant à un nombre illimité de mot de passe :

Découvrez nos logiciels de piratage

Doit-on craindre de possibles dérives de Signal

Depuis un certain moment, l’application de messagerie Signal, longtemps vanter par le lanceur d’alerte Edward Snowden attire de plus en plus de nouveaux utilisateurs.

Cette situation est le fait d’une mauvaise appréciation des utilisateurs de WhatsApp face aux nouvelles conditions générales d’utilisation proposées par sa maison mère Facebook. Ce qui a entraîné une vague de migration vers d’autres alternatives, en l’occurrence Signal. En attendant que Facebook explicite au mieux sa nouvelle politique de confidentialité qui fait peur à ses utilisateurs ce qui arrange notamment Signal et d’autres applications de messageries, le nombre d’abonnés de cette dernière continue de grimper. Et cela continue et continuera certainement quand on sait que l’outil de communication est validé par des personnes assez marquantes dans leur domaine à savoir Snowden et Elon Musk.

Pourtant ce succès inquiète. Pas n’importe qui, il est inquiet en particulier les employés de la plate-forme, qui lors d’une interview a manifesté leur peur au média the Verge.

Cet article va aussi vous intéresser : L’application de messagerie Signal critiquée pour une nouvelle fonctionnalité qui ne fait pas l’unanimité

Selon les personnes interrogées sur la question, l’inquiétude se situe au niveau des dérives possibles qui peuvent survenir par de mauvais comportements ou de mauvais objectif sur le long terme.

Dans un point de vue beaucoup plus organisationnel, il faut noter que l’application de messagerie est gérée par une fondation connue sous la dénonciation de Signal Foundation. La Fondation fonctionne sur la basse entière de près de 50 millions de dollars fait par l’ancien co-fondateur de la célèbre application WhatsApp, et de certains dont émanant des utilisateurs. Pourtant l’application n’est toujours pas autosuffisante. Car pour ce faire, qui lui est nécessaire de fidéliser près de 100 millions d’utilisateurs actifs. Les prévisions ont démontré que ce niveau, il serait possible de couvrir les charges de la gestion de la plate-forme, surtout au niveau du développement, grâce aux dons que cela pourrait générer. Ce qui différencie totalement le modèle économique de cette dernière face à Facebook, qui lui monétise les données de ses utilisateurs. Ce qui devient honnêtement un impératif que l’application soit téléchargée par le plus grand au monde.

Le fait que Signal comme tout autre plateforme de même genre soit d’une certaine manière intéressée par des aspects économiques inhérents même à son fonctionnement fait peur sur le long terme.

Une première chose qui inquiète concernant utilisation de la plate-forme et que cette dernière puisse être utilisée dans des conditions illégales. En effet la plate-forme a une bonne réputation en matière de confidentialité et de sécurité de données. De ce fait, la Fondation elle-même ne peux pas avoir accès au contenu des échanges qui ont lieu sur son application, à cause de chiffrement de bout en bout.

Interrogé sur la question le PDG de la Fondation déclare : « La réponse a été : si et quand les gens commencent à abuser de Signal ou à faire des choses que nous pensons être terribles, nous dirons quelque chose ».

Par ailleurs le projet d’intégrer à la plateforme mais système de cryptomonnaie a aussi attisé les critiques. Si à la base, l’application voit en cela une manière de faciliter les dons et de rendre les échanges beaucoup plus confidentiels, quelques spécialistes ont fait remarquer que cela aurait servi aussi de moyens de transaction pour des terroristes au des personnes de mauvaise intention.

« Si nous décidions d’intégrer des paiements dans Signal, nous essaierions de réfléchir sérieusement à la manière de le faire », affirme Moxie Marlinspike. « Je veux qu’en tant qu’organisation, nous fassions très attention à ne pas rendre Signal moins efficace pour ce genre de mauvais acteurs, si cela devait également rendre Signal moins efficace pour les types d’acteurs que nous voulons soutenir et encourager », continue ce dernier.

Pourtant le PDG de Signal trouve face à lui quelqu’un qui s’oppose totalement à sa conception des choses : Gregg Bernstein, son ancien collaborateur. « Personne ne dit qu’il faut changer fondamentalement Signal. Il y a des petites choses qu’il pourrait faire pour empêcher que Signal ne devienne un outil favorisant des événements tragiques, tout en protégeant l’intégrité du produit pour les personnes qui en ont le plus besoin.

En tant qu’utilisateur, on espère toutes et tous que les bonnes décisions seront prises. Mais s’il est facile de dire cela, il est bien plus difficile de déterminer quelles sont justement les bonnes décisions en question. » déclare ce dernier.

Accédez maintenant à un nombre illimité de mot de passe :

Découvrez nos logiciels de piratage

L’application de messagerie Signal critiquée pour une nouvelle fonctionnalité qui ne fait pas l’unanimité

Depuis un certain moment, l’application de messagerie Signal attire beaucoup de critiques.

En effet, à cause d’une nouvelle fonctionnalité qui a été ajouté, les critiques ne font que fusées. Cela concerne en particulier le stockage des informations des utilisateurs, ce qui semble s’opposer à l’ancienne pratique de l’application.

Cet article va aussi vous intéresser : Signal et Wire, deux applications de messagerie recommandés par Edward Snowden

Depuis la désignation par Edward Snowden comme une application de messagerie très sécurisée, il est rare d’entendre contre cet outil de communication de mauvaises arguments. Dans son milieu, il est considéré comme étant l’une des meilleures applications en termes de préservation de la confidentialité. Présentant alors de meilleures options pour communiquer en toute sécurité, rendant l’espionnage de nos communications presque impossible.

Mais depuis l’ajout de la nouvelle fonctionnalité de gestion des informations des informations d’utilisateurs, les critiques ont commencé. La nouvelle fonctionnalité dont on parle ici concernant la possibilité pour les utilisateurs, qui après avoir ajouter un code PIN, restaurer leur profil ainsi que plusieurs d’autres réglages, quand ces derniers réinstallent sur un autre téléphone le logiciel Signal. D’un autre côté, l’ajout du code PIN est devenu obligatoire surtout pour les utilisateurs qui veulent utiliser d’autres éléments d’identification autre que leurs contacts.

Si dès le début de l’annonce, cela a été bien accueilli par la presse. Il n’en demeure pas moins qu’avec de recul, l’on a pu se rendre compte d’une situation assez délicate. Celle qui signifie que l’application de messagerie désormais a décidé d’héberger certaines informations sur les utilisateurs et leurs contacts. Ce qu’il faut avouer, pose un réel problème de sécurité surtout en cas de cyberattaque. : « Signal était fier d’avoir un réseau qui ne conservait aucune information sur ses utilisateurs. Jusqu’à il y a quelques jours, ils pouvaient s’en vanter, et à juste titre. Ce n’est plus le cas. » résume un expert en sécurité informatique.

Interrogés, plusieurs autres spécialistes de la cybersécurité se sont montrés déçus de la « la mauvaise décision » prise par Signal pour des raisons que l’on peut résumer en deux points : « Les gens ont tendance à choisir des codes PIN trop faibles et, même si leur système protège un peu plus ces données, « il n’a aucune chance contre de sérieux acteurs ». Mais le regret le plus palpable se situe au niveau du fait, que l’application de messagerie exige obligatoirement l’ajout de ces codes pin pour ses utilisateurs.

Face à la montée des critiques, Les dirigeants de signal ont voulu lui signifier qu’ils mettaient tout en œuvre pour assurer la sécurité des informations qui seront dorénavant stockées sur leur serveur. Le cofondateur de Signal, Moxie Marlinspike, a signifié lors d’un communiqué, qu’il y aura la possibilité de désactiver cette fonctionnalité pour les utilisateurs « qui acceptent de perdre leurs contacts Signal ».

Malheureusement, ce changement pose le problème de la philosophie et de l’avenir de la sécurisation des échanges depuis signal. L’approche malheureusement a changé. Le stockage de données est devenu un problème qui est mal vu, et difficilement concevable pour une telle application : « Avant l’ajout de cette nouvelle fonctionnalité, Signal assurait, et a prouvé, qu’il était en mesure de fournir une application de messagerie conçue pour ne stocker quasiment aucune information sur ses utilisateurs. Pour plusieurs critiques, ce n’est désormais plus le cas. » pouvait-on lire sur le site spécialisé Motherboard.

Mais cela veut-il dire qu’il faut se débarrasser dorénavant de de l’application ? Selon le site spécialisé, nous n’en sommes pas encore là. En effet, même si le changement de philosophie de signal déplaît, l’application demeure l’une des meilleures alternatives au niveau de la sécurisation des échanges. « Face aux risques que courent la plupart des utilisateurs, Signal reste l’une des meilleures options. Mais l’un des éléments-clés qui distinguait Signal, à savoir le fait qu’il ne collectait quasiment rien sur ses utilisateurs, semble être en train de changer », conclut en ces termes Motherboard.

Un développement qui est à suivre dans l’avenir. Mais que vaut dorénavant signale face à la concurrence. Si l’argument phare qui servait à faire sa publicité n’est plus d’actualité. Et quelles pourraient être les raisons qui ont pu motiver les éditeurs de cette application à pencher de ce côté.

Accédez maintenant à un nombre illimité de mot de passe :

Découvrez nos logiciels de piratage