Telegram il ne crypte pas vos messages par défaut et n'a pas de groupes cryptés; Signal nécessite d'avoir un téléphone avec Google / Big Brother / Skynet installé; et whatsAppBien qu'il ait récemment activé le cryptage et ait des groupes sécurisés par défaut, il a un support médiocre pour les gifs, pas d'autocollants et d'autres gentillesse de base pour les discussions actuelles.
Que devez-vous faire pour avoir des discussions de groupe sûres, pratiques et amusantes qui soient également open source et compatibles GNU / Linux?
Le panorama actuel
Permettez-moi de donner un peu de contexte: avant 2013, seuls quelques `` paranoïdes '' pensaient que c'était important crypter toutes nos communications; après cette année, Edward Snowden nous a montré quelques raisons convaincantes pour lesquelles nous devrions crypter nos communications tout le temps, c'est pourquoi certaines applications ont commencé à prendre la sécurité plus au sérieux qu'auparavant, mais pas de la manière dont elles le font. cypherpunks o cryptopunks nous aurions aimé.
Telegram, open source avec des serveurs centralisés.
Relativement récemment, la meilleure solution semblait être Telegram, une application open source avec l'inconvénient que les serveurs sont centralisés et au pouvoir les frères Durov à Berlin (propriétaires russes sur le sol allemand, le cauchemar américain!). Cependant, il est nécessaire de croire que ces personnes n'espionneront pas les conversations et qu'elles ne vendront pas l'accès à ces données à une entreprise ou à un gouvernement, et peu importe à quel point elles nous jurent sur un livre sacré, il n'y a aucune certitude absolument fiable qui nous donne une totale tranquillité d'esprit.
Le cryptage de groupe étant techniquement très complexe et présentant des inconvénients pratiques, si nous utilisons Telegram, nous devrons laisser ces conversations non cryptées.
WhatsApp, conversations cryptées en code fermé.
whatsApp Il a commencé dans l'autre sens: il a commencé ses opérations avant les révélations de Snowden, donc il ne se souciait pas du tout de la sécurité. Avant 2012, il n'envoyait même pas de données via des connexions sécurisées, donc tout type d'attaque de base l'homme au milieu c'était fait avec des conversations.
Il a actuellement travaillé avec Systèmes Whisper, implémenter un protocole qui crypte toutes les conversations par défaut, même celles des groupes, bien que cela enlève des aspects pratiques puisque les clients de bureau dépendent de force de la connexion avec le téléphone, ce qui rend l'utilisation de WhatsApp sur l'ordinateur lente, fastidieuse et peu pratique.
Un autre problème est que, autant que whatsApp Dites que les conversations sont cryptées de bout en bout, que le logiciel est à code source fermé et que le propriétaire de ce code est Facebook, vous n'avez donc pas besoin d'être trop paranoïaque pour savoir que quelque chose ne va pas. Je peux arriver à faire confiance Moxie Marlinspike, mais pas sur Facebook.
Signal, l'un des plus sûrs mais probablement avec google comme observateur.
En parlant de Moxie, il est à la tête de Whysper Systems et c'est lui qui a eu l'idée d'une application qui crypterait les messages personnels et de groupe, en plus de crypter les SMS et les appels via les opérateurs de téléphonie mobile (au cas où vous ne savait pas, les opérateurs peuvent voir et écouter toutes les informations via leur réseau cellulaire); cette application s'appelle Signal.
Une importante Avantages du signal est qu'il ne synchronise rien avec ses serveurs, donc même notre agenda n'est pas compromis (autrement que ce qui se passe avec WhatsApp). Cela signifie que, dans le cas où Whysper System est compromis ou que le gouvernement américain exige des données protégées (ce qui est déjà arrivé une fois), il n'y a vraiment rien à livrer car ils ne gardent aucune trace de quoi que ce soit.
La contrepartie de cette excellente application (loué par Snowden, même) est qu'il utilise Firebase Cloud Messaging (anciennement Google Cloud Message) qui, comme vous le supposez, dépend de Google. Bien qu'ils disent que dans ce cas, Google ne livre et ne reçoit que les données et ne peut pas les lire (ce qui ne les dispense pas d'avoir une trace de qui parle à qui), faire passer mes conversations via les serveurs d'Alphabet est quelque chose d'inutile et risqué de mon point de vue. Sans compter que, même si nous pensons que les données sont en sécurité, cela implique d'avoir un téléphone avec Google collé aux tripes, ce qui porte un tout autre monde d'implications (la même chose si nous avons un iPhone qui évite d'utiliser FCM).
Quelqu'un a eu la merveilleuse idée de faire un fourche Signal sans utiliser FCM (Signal gratuit), mais a été abandonné après que Moxie ait exposé leurs raisons derrière l'utilisation de FCM, qui nous ramène là où nous avons commencé: quelle application utiliser pour avoir de grands groupes sûrs, pratiques et amusants?
Pourquoi est-il si difficile d'avoir des groupes chiffrés par défaut?
Une des raisons est que pour qu'un groupe soit pratique, il doit être asynchrone (Sinon, il n'y aurait aucun moyen de voir les messages précédents ou comment «entrer et sortir» du groupe sans perdre l'accès aux données), mais cela rend le processus de cryptage beaucoup plus complexe.
De la même manière, le cryptage doit être point à point, donc si nous démarrons le chat sécurisé sur notre téléphone portable, par exemple, nous ne pouvons pas voir les messages sur le PC plus tard, ce qui déroberait un groupe avec des membres très actifs de praticité.
Dans le meilleur des cas, WhatsApp et Signal (qui utilisent le même protocole) utilisent les applications PC comme des miroirs et non comme des clients indépendants, ce qui évite ce problème mais rend l'utilisation sur PC totalement dépendante du téléphone portable (un peu moins pratique).
Applications avec une perspective d'emploi
D'un autre point de vue, il existe également des applications conçues pour les groupes de travail tels que Slack, bien que ce soit pour un usage commercial, pour un client fermé et tout ce que cela implique.
Il existe des alternatives gratuites et décentralisées telles que fusée, Le plus au plus o émeute, mais ils dépendent d'un membre du groupe hébergeant l'application sur un serveur privé (ce qui signifie que tout le groupe doit lui faire confiance) ou payant pour utiliser les serveurs des développeurs d'applications (ce qui signifie leur faire confiance) ; De plus, ces applications, en général, car elles sont axées sur l'environnement de travail, manquent d'utilitaires simplement pour le plaisir (comme des gifs ou des autocollants).
La vue d'ensemble des applications de messagerie de groupe
Aujourd'hui, les applications continuent d'évoluer et de changer les pratiques dans la recherche d'une sécurité plus concise et complète, mais la complexité inhérente à ces processus (associée aux intérêts commerciaux de certaines applications) rend difficile la course à l'application sécurisée ultime.
La Liste de la Electronic Frontier Foundation En ce qui concerne les applications les plus sûres, elles sont obsolètes et en attente d'une nouvelle version, et presque chaque jour de nouvelles applications apparaissent et se révèlent être les meilleures parmi la myriade d'options.
Une nouvelle application qui mérite d'être soulignée est Allo de Google, et je dis qu'elle est remarquable car à l'origine, elle avait dit qu'elle chiffrerait toutes les communications par défaut, mais le jour de sa présentation, elle a dit qu'elle ne le ferait pas toujours, qu'elle donnerait la possibilité de démarrer un chat sécurisé. mais pas automatiquement (ce qui lui a même valu un mention de Snowden). C'est compréhensible, puisque le métier d'Alphabet ce sont nos données, donc une application qui ne génère pas de richesse pour eux est une application gaspillée (même cas avec WhatsApp et Facebook).
Il semble que nous devrons attendre encore plus longtemps pour une application fiable et pratique, car actuellement toutes les applications présentent des défauts en termes de praticité ou de sécurité. Il semblerait que jusqu'à aujourd'hui nous n'avons pas pu nous écarter de la formule mathématique qui veut que "la sécurité soit indirectement proportionnelle à l'aspect pratique" et, même si nous parvenons à surmonter cet obstacle, nous devons encore faire face à la résistance omniprésente du public non spécialisé pour adopter de nouvelles technologies et protocoles même si une amélioration générale absolue est montrée (le cas de Tox y Bagues, pour ne citer que deux exemples récents et intéressants).
Pour le meilleur et pour le pire, ce que l'utilisateur commun utilise est toujours le plus pratique (presque toujours conditionné par des intérêts commerciaux), pas le meilleur au sens technique. Les plus résistants à cette tendance ont le protocole résilient XMPP accompagné du plugin OTR qui, comme prévu, attend toujours de pouvoir implémenter des groupes dotés d'un cryptage fort.
Très bon message! La vérité est que j'en utilise beaucoup. WhatsApp "parce que je n'ai pas le choix". Bien sûr, j'ai le choix, mais comme je ne veux pas abandonner la communication avec des amis et des connaissances qui n'utilisent que cette application, je l'ai installée. Télégramme principalement par certains groupes de projets de logiciels libres et par des bots. Signal pour parler à quelques amis "geek" (les mêmes qui utilisent GPG pour crypter leurs emails lol). Slack pour un groupe d'entreprise et Riot l'utilise depuis quelques semaines maintenant pour se connecter aux groupes IRC Freenode et Chakra Linux.
PS: chance au concours de blog!
Ils oublient de mentionner que les messages sortants de WatsApp sont cryptés, mais pas lorsqu'ils sont enregistrés sur le téléphone, donc mettre le téléphone en mode de récupération et le connecter à l'ordinateur est la seule chose qu'il faut pour obtenir toutes ces conversations supposées cryptées ... Même ainsi, la meilleure application est celle qui nous est utile et en bref ici au Mexique 95% des téléphones ont watsapp, ce qui rend presque impossible d'éduquer les utilisateurs à changer ou à utiliser une autre application
salutations
et vous avez oublié de mettre du fil ... aussi open source et multiplateforme
Très bonne analyse