#MessageriesSécurisées

Par quoi remplacer WhatsApp ?

Ok Signal n'est pas parfait, mais c'est globalement ce qui apporte la meilleure réponse au remplacement.

standblog.org/blog/post/2021/0

Hier mon pềre (79 ans) a pu installer tout seul Signal sur ton téléphone, sa tablette, son PC et a pu faire une visio avec moi 👍

@sebsauvage Mais pourquoi les gens veulent toujours un système où il faut donner son n° de téléphone ? 😢

@Mamie
Triste, je suis d'accord.
C'est pas qu'on *veut*, c'est que Signal l'exige.

Suivre

@sebsauvage Du coup, si on veut pas, pourquoi aller sur Signal ?
(Et en plus c'est centralisé)

· · Web · 2 · 0 · 1

@Mamie

Mais personne ne t'y oblige ^^

Après il y a encore des messageries sécurisées de bout en bout qui n'exigent pas le numéro, comme Wire.

@Mamie

Après, si c'est pour le proche qui ont déjà ton numéro, ça le fait plutôt bien.
(et surtout sans choses compliquées pour eux)

@sebsauvage @Mamie Le numéro de téléphone sera facultatif très bientôt dans une prochaine version de Signal (c'est disponible dans la bêta interne pour l'instant).

@fr33tux @sebsauvage Ça reste centralisé chez un seul organisme, et même si c'est open-source, on ne peut pas utiliser son propre build du client et encore moins du serveur.
Le jour ou cet unique acteur tombe, c'est tout le réseau qui tombe.

@Mamie @sebsauvage C'est comme ça que Wikipédia fonctionne depuis de nombreuses années, et c'est un des services les plus utilisés dans le monde.

@fr33tux @sebsauvage Je ne dis pas que Signal va un jour se casser la gueule hein, et je ne leur souhaite surtout pas.
Mais ils ont je pense plus de gens ayant envie de savoir ce qui se passe dans leurs tuyaux que Wikipedia.

@fr33tux
Je ne pense pas que le comparaison avec wikipédia (wikimédia) soit pertinente. En effet il s'agit d'une "base de donnée" à vocation publique, et non d'une messagerie privée. De plus tu peux légalement archiver ou faire un mirroir des sites. Si jamais la fondation wikimédia cesse d'exister tu peux utiliser l'archive ou le mirroir pour reconstruire un projet.
@Mamie @sebsauvage

@Mamie
Totalement d'accord, c'est pour ça que pour le tchat il est intéressant de se tourner vers Delta Chat, totalement libre, totalement décentralisé, chiffré de bout en bout delta.chat/fr/
@fr33tux @sebsauvage

@matiu_bidule Ce n'est pas le même usage et ca n'offre pas non plus les mêmes garanties.
Tu n'as pas de metadonnées visibles par le serveur sur Signal (signal.org/blog/sealed-sender/ par exemple), tu peux faire des appels audio/vidéo de groupe, etc, rien de tout ca n'est possible sur DeltaChat.

@matiu_bidule

Idéalement, DeltaChat est fantastique.

Dans la pratique, on va se retrouver avec des serveurs de mail qui vont rapidement classer les mails de DeltaChat dans le spam (comme le fait OVH, il semble).

Donc ça va poser problème.

@Mamie @fr33tux

@sebsauvage @Mamie @fr33tux
Ah je ne sais pas, je l'utilise au quotidien depuis 3 ans avec une petite dizaine de personnes, je n'ai pas de soucis.

@matiu_bidule @sebsauvage @Mamie @fr33tux

Chez OVH et bcp d'autres hébergeurs on peut généralement choisir si on veut utiliser la protection spam ou pas, aussi. Perso c'est le premier truc que je désactive : je préfère 1000 fois effacer à la main que risquer de perdre un mail légitime. Si en revanche l'antispam est un simple classement auto vers un dossier spam, il suffit de faire un règle de tri côté serveur pour classer les messages DeltaChat directement dans le bon dossier.

@caml
En fait Delta Chat s'appuie sur les règles Imap, donc les mails vont dans un répertoire Delta Chat automatiquement créé.
@sebsauvage @Mamie @fr33tux

@matiu_bidule @sebsauvage @Mamie @fr33tux

Je sais, je l'utilise 😃​ Mais si l'antispam classe directement le message ds un dossier spam, DeltaChat ne l'interceptera pas car il ne regarde que les dossiers Sent, Inbox et Deltachat (en fct de la config). Créer une règle coté serveur permet d'empêcher le classement vers dossier spam.

@caml @matiu_bidule @Mamie @fr33tux

DeltaChat est séduisant, mais j'ai déjà eu des problème avec le chiffrement (DeltaChat n'arrive pas à déchiffrer les messages que je m'envoie à moi-même 😕 . + Import des clés impossible (erreur sur desktop quand on importe les clés).

Donc à garder à l'oeil, parce que le concept de se baser sur une infra existante est génial.

@sebsauvage
Une alternative qui semble intéressante et prometteuse, c'est Jami. Le défaut, pour l'instant, c'est qu'on ne peut pas créer de groupes.
@matiu_bidule @Mamie @fr33tux

@Mamie @fr33tux @sebsauvage Faux, on peut utiliser son propre build du client. J'en maintiens un écrit from-scratch pour #UbuntuTouch et il fonctionne très bien : github.com/nanu-c/axolotl

@fla @fr33tux @sebsauvage Du coup c'est moi qui ai extrapolé la non-inclusion de Signal dans F-Droid, c'est pas que ce n'est pas possible, c'est qu'ils refusent.
Mea culpa.
(Mais c'est pas forcément mieux 😛 )

@Mamie @fla @sebsauvage D'ailleurs, l'APK (sans services Google et avec système de mise à jour automatique) est disponible sur le site: signal.org/android/apk/

@fr33tux @fla @sebsauvage Je sais, mais je me limite à F-Droid pour avoir une sorte de garantie que ce que j'installe corresponde bien au code source publié.

@fr33tux

La version distribuée sur le site de Signal est-elle vraiment celle sans les services Google ?

@Mamie @fla

@fr33tux @Mamie @fla @sebsauvage Je ne sais pas où ils en sont, mais en juin, la signature était vérolée... et je n'attends plus leur réponse à mon mail de contact pour le leur signaler.

@dubs120 @Mamie @fla @sebsauvage Ici ca fonctionne sans souci en tout cas:
```
Signer #1 certificate SHA-256 digest: 29f34e5f27f211b424bc5bf9d67162c0eafba2da35af35c16416fc446276ba26
```

vs. sur le site:

```
You can verify the signing certificate on the APK matches this SHA256 fingerprint:

29:F3:4E:5F:27:F2:11:B4:24:BC:5B:F9:D6:71:62:C0
EA:FB:A2:DA:35:AF:35:C1:64:16:FC:44:62:76:BA:26
```

@fr33tux @Mamie @fla @sebsauvage
Tant mieux s'ils ont - enfin - corrigé le tir. Je précise que j'avais fait plusieurs téléchargements, à partir de plusieurs terminaux, différentes adresses IP...

Je ne comprends pas pourquoi ils ne le publient pas sur F-Droid??

Mais demander à migrer vers un nouveau service est contraignant, je ne suis pas prêt à imposer à nouveau à mes contacts : je vais attendre que Telegram merdoie!

@dubs120 @fr33tux @fla @sebsauvage Si j'ai bien compris, F-Droid pour eux c'est un risque car ça demande aux gens d'autoriser un outil tiers à installer une application (ce qui je trouve n'a pas de sens car comme alternative ils conseillent de télécharger l'apk, ce qui est encore moins sécurisé comme pratique).
Et ils veulent signer eux-même l'application (ce qui n'est pas possible sur F-Droid, c'est F-Droid qui signe ses propres builds)

@Mamie @fr33tux @fla @sebsauvage
En fait, c'est pire que cela puisqu'ils conseillent 'chaudement' d'utiliser celle de Google Play... Ce qui suppose d'avoir un compte et les services Google = beurk!

La justification me semble carrément louche (intellectuellement).

Mais je suis en train de lire la réponse de Matthew / Matrix, et je partage tout à fait!

d'ailleurs, j'ai l'impression qu'il y a une passerelle entre Telegram et Matrix, non?

@Mamie @fr33tux @sebsauvage Moxie, le dev' de Signal, avait fait une note de blog et une conf' au sujet du choix de la centralisation, il y a quelques temps. Le fondateur de Matrix avait contre-argumenté. Les deux argumentations sont intéressantes.

@sebsauvage Je sais bien que personne ne m'y oblige, ça fait longtemps que j'ai opté pour Matrix (pas de tel, décentralisé, chiffré, open-source, etc…)
Mais ma question d'origine c'était pourquoi est ce que les « autres » vont toujours sur un service demandant un n° de tel ou limitant la possibilité de créer plusieurs identités (perso / pro / online pour ma part)

Je sais bien que le n° de tel c'est simple, mais si ils ont ton mail, ils peuvent avoir ton identifiant sur un autre service 😃

@lhommegermelebien @sebsauvage C'est ce que j'utilise et conseille, mais non, c'est plus compliqué que les autres. (Et eux même le disent et essaient de s'améliorer, mais tu ne peux pas apporter la complexité de la décentralisation sans rajouter aucune complexité côté utilisateur, rien que le choix de l'instance par exemple)

@Mamie @sebsauvage
Eh bien, je trouve perso que l'install est vraiment facile. Il faut juste choisir l'instance. Je discute avec l'admin tous les jours. Le resultat est que cela permet de comprendre que certains parametrages sont necessaires côté serveur pour un bon fonctionnement.
Je n'ai pas de bug pour ma part... Le plus dur est d'amener les amis.

@lhommegermelebien @sebsauvage Choisir une instance, rien que ça ça fait peur. (90% des gens que j'ai amenés sur Matrix, je leur ai moi même créé un compte sur mon instance).
Et la gestion des clefs de chiffrement, ça fait vite peur aussi.

Mais je valide Matrix hein 😁

@lhommegermelebien @sebsauvage @Mamie Sinon, quelqu’un a essayé XMPP ? Visiblement, l’app Conversation pour android est simple à utiliser, et elle est sur F-droid. Il y a (entre autre) un pont xmpp-ActivityPub, ce qui permet aussi d’échanger avec ici.

@popolon @lhommegermelebien @Mamie @sebsauvage oui xmpp et conversations c'est très bien. C'est mon canal de discussion principal.

@meaz @popolon @Mamie @sebsauvage
Super... Je reste inconditionnel. à matrix mais je minteresse aussi a xmpp depuis longtemps. Un bridge entre les 2 serait cool !!!

@popolon @Mamie @sebsauvage
Des bridges sont en projet pour xmpp matrix aussi
il me semble que le plus prometeur pour xmpp matrix c'est : github.com/matrix-org/matrix-b

Inscrivez-vous pour prendre part à la conversation
Mastodon - roflcopter.fr

Le réseau social de l'avenir : Pas d'annonces, pas de surveillance institutionnelle, conception éthique et décentralisation ! Possédez vos données avec Mastodon !