Bon d'une certaine manière c'est une bonne nouvelle, vu le nombre de personnes activistes qui ne détiennent pas de smartphone, cela veut sans doute dire que l'on va finalement sortir de Signal qui est quand même problématique.

@delta
Aparently Signal users are getting notifications that they should connect back the webapp to their primary phone number.

support.signal.org/hc/en-us/ar…

Malheureusement d'après Soatok (qui ne me semble pas un shill pour qui que ce soit) aucune alternative à Signal n'est réellement sécure contre un adversaire déterminé et disposant de moyens.
soatok.blog/2024/08/04/against…

(j'ai pas le niveau technique pour contester son analyse; juste assez pour dire qu'elle semble solidement argumentée)

@natacha @delta

Against XMPP+OMEMO - Dhole Moments

XMPP is a messaging protocol (among other things) that needs no introduction to any technical audience. Its various implementations have proliferated through technical communities for decades. Many…

^{Dhole Moments}

@nicoco

xkcd.com/538/

@lienrag @jeeynet @delta

Security

^xkcd

@natacha

Exactement ça.
Et sur les trois personnes que je connais qui ont été torturées par des pros, une seule a dit qu'elle a "eu la chance de ne pas parler" et les autres plutôt "c'est pas facile" et "on essaie de ne leur dire que ce qu'ils savent déjà" (évidemment je n'ai pas insisté).

1/3

@nicoco @jeeynet @delta

@natacha

Plus deux autres qui de ce que je comprends de ce qu'ils m'ont dit n'ont pas parlé, mais n'ont été torturés que par des amateurs (à la brûlure de cigarette de ce que m'a dit l'un d'entre eux, et à l'expression de son visage quand il m'a dit "ça fait vraiment mal" 20 ans après je n'ai aucun doute sur le fait que oui, c'était douloureux).

2/3

@nicoco @jeeynet @delta

@natacha

Donc oui quand on propose une solution sécurisée, on s'adresse aussi à des gens éventuellement prêts à mourir sous la torture pour protéger leurs amis et leurs convictions.

Donc si en fait on est là pour jouer à faire semblant d'être sécurisé, il faut le dire clairement et laisser les pros (que sont Signal notamment) travailler.

3/3

@nicoco @jeeynet @delta

@delta

@lienrag Tu dis « exactement ça » au XKCD de @natacha mais je pense que tu es passé à côté. On reproche à soatok d'être complètement dans la case de gauche (« imagination »).

Signal a été conseillé par Elon Musk, est opéré sur des serveurs appartenant à Jeff Bezos, et est toléré par l'administration Trump. Ça t'inspire confiance, à toi ?

@nicoco

Ben tout le principe de l'opposition à la loi narcotrafic (sur le plan pratique, pas moral) est qu'il n'est pas possible d'avoir des mathématiques qui ne marchent que pour les gentils.
Donc oui les outils dont ont besoin les salopards pour leurs saloperies sont les mêmes dont nous avons besoin pour nous protéger nous, et donc non ça ne me surprend pas que la Navy aie financé Tor ou que Musk conseille Signal.

@jeeynet @delta @natacha

@nicoco

Et oui moi aussi j'aimerais qu'il existe une solution sécurisée décentralisée qui ne dépende pas des USA, mais non le mot "sécurisée" n'est pas DU TOUT secondaire dans cette phrase.
Et quand la réponse aux problèmes de sécurité rencontrés dans l'implémentation des solutions décentralisées proposées est "nan mais c'est pas grave que ça soit pas vraiment sécurisé, aucune solution ne l'est" ben ça pose sérieusement problème.

@jeeynet @delta @natacha

@nicoco

Faire de la promotion agressive et sans transparence d'un système particulier à base de: soit vous êtes d'accord avec moi soit vous êtes des cons, c'est quand même problématique.
Corrigez moi si j'ai tort je ne vois pas d'audit de sécurité récent pour Signal

community.signalusers.org/t/ov…

Par contre j'en connais pour DeltaChat

eprint.iacr.org/2024/918

@lienrag @jeeynet @delta

Overview of third-party security audits

Let’s collect past security audits here: Formal audits Year Auditor(s) Sponsor App/Component Published Link Last update / extended 2013 iSEC Partners (NCC Group) Open Technology Fund RedPhone and TextSecure ❌ Blog post 2014 Frosch et al.

^{Signal Community}

@natacha

Audit de deltachat qui conclut qu'il est vulnérable à des attaques correspondant à son modèle de menace...

Et je n'ai vu ici personne faire la promotion sans transparence de Signal, encore moins sur le mode "vous êtes d'accord avec moi ou vous êtes cons".

Soatok comme moi avons donné nos arguments (beaucoup plus techniques pour Soatok que pour moi d'ailleurs).

@nicoco @jeeynet @delta

> je n'ai vu ici personne faire la promotion sans transparence de Signal, encore moins sur le mode "vous êtes d'accord avec moi ou vous êtes cons".

je pense que @natacha ne parlait pas de toi @lienrag

@nicoco @lienrag
En effet, je reproche à des gens comme Stoatok d'user d'arguments d'autorité pour imposer la qualité de la crypto comme seule qualité, alors que les faits prouve le contraire, cf les récentes attaques de phishing sur Signal. Ces stratégies sont anciennes, et sont appliquées maintenant sur signal parce que cela en fait une cible intéressante à cause de l'augmentation du nombre d'utilisateurs et de la centralisation.

1/3

@nicoco @lienrag

Par ailleurs il n'est pas nécessaire de subir de la torture pour que le téléphone d'une personne soit compromis, il suffit bien souvent de passer une frontière (Ëtats Unienne) par exemple...
Finalement en associant les 2 attaques on peut compromettre tout un réseau, sans jamais toucher à la crypto.

2/3

@nicoco @lienrag

Pas besoin d'être un grand spécialiste pour comprendre cela.
C'est pourquoi il faut pouvoir parler librement de sécurité informatique sans se prendre en permanence dans la gueule des pensées de spécialistes ou des commentaires qui citent des des spécialistes en disant "moi je ne connais pas mais lui c'est pas un "Shill???"" oui je dis lui car c'est bien une attitude patriarcale classique.

3/3

@natacha

Donc il faut pouvoir parler librement de sécurité informatique sans savoir de quoi on parle ?

Est-ce que tu peux m'expliquer à quoi sert une solution de communication sécurisée par chiffrement si le chiffrement n'est pas sécurisé ?

@nicoco

@lienrag

1. L'E2EE n'est qu'une partie de la « sécurité des communications » (c'est déjà flou dit comme ça, alors « sécurité informatique » on va mettre de côté).
2. Les experts manquent parfois le grand tableau (cf le XKCD de @natacha).
3. soatok est expert de E2EE (et gagne sa probablement sa croûte en consulting autour de ça).

Je me demande combien d'activistes et lanceurs d'alertes se sont fait choppés car leur crypto n'était pas assez robuste.

@nicoco

Tout à fait.
Mais quand on propose une solution d'E2EE il faut que l'E2EE soit solide.

Quand à ta dernière question, elle est intéressante et je suppose qu'on n'aura jamais la réponse, mais si quelqu'un a des éléments permettant de l'approximer cela m'intéresse beaucoup.

Sur du chiffrement LUKS (pas de la messagerie E2EE donc) on avait vu que des anars qui croyaient que c'était magique se sont fait violemment trouer par la gendarmerie, par exemple.

@natacha

@nicoco

Il me semble, oui.

@natacha

@lienrag @natacha
Je connais pas grand chose à LUKS, mais l'article commence par un PS:

> PS : En réalité, cette histoire de mot de passe décrypté est litigieuse et il y a anguille sous roche. Avec un mot de passe correctement formé et un chiffrement réalisé sur un système correctement mis à jour [...]

@nicoco

J'avais posé la question à @aeris qui disait clairement que casser du LUKS1 n'était pas impossible avec des machines modernes, c'est bien pour ça que LUKS2 est sorti.
Plus des détails sur le KDF que j'avais moyennement compris et pour lesquels je lui fais confiance a priori.