Lunar
Follow

Non, HTTPS n'est pas parfait. Mais du HTTPS partout, c'est déjà mieux que des connexions en clair.

Non, Signal n'est pas parfait. Mais c'est déjà mieux que Facebook Messenger ou GMail.

Est-ce qu'on pourrait arrêter de se tirer des balles les pieds une fois de temps en temps ? La lutte contre la surveillance est une course de fond. On a besoin de pieds en bon état.

@lunar OK avec ça. Je relis mes échanges sur le sujet et j'admets un agacement peut-être déplacé. Merci pour tes remarques et la discussion enrichissante.

@lunar la conséquence attendue étant malheureusement de pousser les autorités à essayer d'imposer des "backdoors"…

@Keltounet
Je suis assez confiant, sur le fait que cela n'arrivera pas. La mise en œuvre de porte dérobée nuit au secret des affaires. On peut espérer que les grands groupes industriels et bancaires s'y opposeront farouchement.

@lunar

@MarcFramboisier @Keltounet @lunar Ou pas. Je me rappelle très bien un meeting IETF où des ingénieurs d'une banque expliquaient pourquoi ils avaient absolument besoin de garder dans TLS 1.3 la variante non PFS (avec master key donc). Ok c'était un problème pour leur infrastructure interne, en tout cas c'était l'argument... Ce n'est pas en soi une porte dérobée, mais une demande d'affaiblir le protocole.

@lunar Oui, et les projets comme Signal devraient mieux écouter leurs utilisateurs plutôt que de les envoyer bouler ou de faire du forum-shifting pour noyer les remarques.

@lunar c'est pas la première fois que côté Signal on voit des réactions du genre "on sait mieux que vous, vous n'avez rien compris". Et il me semble que ça fait partie des travers dont on dit qu'ils doivent disparaitre depuis un bail pour améliorer la sécurité des outils et les rendre + conviviaux.

@taziden
Ce n'est pas que je ne sois pas d'accord avec toi. Mais quand tu as une équipe de 5 personnes, est-ce qu'il faut que tu en mettes 3 à plein temps à faire du support ?

@lunar
Signal a néanmoins levé une grosse enveloppe de sous sous. Mais je suis d'accord, rien n est parfait.
@taziden

@taziden
Est-ce que tu as déjà essayé de faire du support pour un outil avec plus d'un millon d'utilisateurices ?

@lunar est-ce que tu as déjà négligé les retours des gens qui t'expliquent que ton outil les trompe et ne fonctionne pas comme ils l'attendent ?

@lunar le nombre de gens que j'ai fait tomber de leurs chaises quand je leur ai appris que Signal ne chiffrait pas les SMS … rapporté au nombre d'utilisateurs de Signal, c'est désastreux.

@taziden
Formulé comme ça, j'entends, mais le cadenas ouvert ou fermé sur le bouton d'envoi me semble un indicateur relativement clair. Ou alors les gens n'avaient pas vu l'indicateur non plus ?

@lunar Je n'ai pas posé la question. J'en suis resté à l'essentiel : "n'utilisez pas Signal comme application pour les SMS" et "Signal ne chiffre pas les SMS".

Prochaine fois, je demanderai.

@taziden Pourquoi je pose la question : je ne suis pas sûr que la différence entre « un message Signal » et « un message SMS » soit évidente quand tu poses la question ainsi.
Autre formulation : « Est-ce que tu sais que Signal ne chiffres pas les messages si la personne en face n'a pas Signal ? »
(J'espère être clair.)

@lunar à chaque fois que j'ai pu observer cette situation, les gens qui pensent que Signal chiffre *tous les messages* confondent "SMS" et "message".

Pour moi, Signal ne devrait pas gérer les SMS du tout. Ça simplifierait nettement l'équation et enlèverait tous les malentendus et risques associés.

Avec Signal, on ne devrait pouvoir échanger qu'avec des gens qui utilisent Signal.

@taziden
J'entends. Mais pourquoi recommander Silence alors ? Il a le même défaut de mélanger messages chiffrés et messages non-chiffrés.

@lunar Là encore, c'est un mix entre fonctionnalité réelle et perception des gens, par rapport à ce qui se raconte au sujet du logiciel et la communication du projet.

Dans le cas de Silence, la perception qui me semble majoritaire est que ça permet d'échanger des SMS, et éventuellement de chiffrer ceux-ci quand les gens en face utilisent Silence aussi.

Dans le cas de Signal, la perception est différente et est celle d'un logiciel de communication entièrement sécurisée par défaut.

@lunar Désolé, ce que je raconte n'est pas étayé scientifiquement, c'est purement du ressenti sorti de l'institut du doigt mouillé taziden.

@taziden
Intéressant.

Je te suggère tout de même de faire la même enquête pour Silence, du coup. Mais j'ai peur que tu sois déçu.

@taziden
Peut-être je peux préciser pourquoi je suis moins fan de Silence : les flics français ont facilement accès aux traces des échanges via Silence. Pour ceux qui passent par les serveurs de Signal (chez AWS, *sigh*), je pense que ça leur est plus difficile.

@lunar oui, et utiliser signal signifie soit être un turbo nerd soit avoir un trahiphone qui nous épie à notre insu parce que Google, etc

@taziden @lunar je suis pas d'accord. C'est cool que signal gère les SMS, ça évite de multiplier les messageries. C'est pas compliqué de voir si y'a le cadena ou pas.
Pas besoin d'être un nerd pour ça, les développeurs (les trois) vont pas bouleverser toute leur messagerie parce que les gens comprennent rien.

@taziden @lunar c’est pas à ton insu c’est écrit en gros dans les CGU.

@taziden @lunar euh non, y'a la moitié de mes contacts signal qui ne sont ni l'un ni l'autre ;)

@lunar peut-être. Perso, je recommande l'usage des deux et j'explique pourquoi. Et j'ai même écrit un article à ce sujet. (Lu par 10 personnes environ mais c'est toujours ça)

@taziden
Je m'incruste : perso je recommande ni l'un ni l'autre actuellement, je trouve qu'il y a trop de risques à mélanger messages et sms, chiffrés ou non en fonction du/des destinataires, et c'est pire quand on y ajoute les mms. Actuellement, je recommande plutôt Wire, même si la partie serveur n'est pas encore libérée (c'est dans la roadmap). Au moins c'est messages/appels/visio uniquement entre utilisateurs de Wire, donc ça évite les erreurs.
@lunar

@roust @taziden @lunar Et qu'en est-il de Matrix/Riot ? Y a des clients pour un peu toutes les plate-formes.

Et ça fait relais de toute une une série de messageries instantanées existantes. Pas forcément chiffrées pour le coup, mais ça signifie avoir une seule app pour une bonne part de nos moyens de comm'.

@taziden @lunar pour ma part je recommande Signal, mais regrette de nombreux choix discutable de l'équipe, oui. (y compris leur non ouverture aux idées ...)
exemple: grosse difficulté à retrouver quelqu'un qui aurait *quitté* signal (dur de se désinscrire, comme sur iMessage...)
le non chiffrement des messages sur l'APP me paraissait évident : y'a pas de passphrase (donc pas de chiffrement a priori...)

@lunar @taziden mais sinon j'en ai ma claque de ceux qui ne le recommande pas, pour de bonnes ou mauvaises raison, mais qui in fine favorisent FB ou TW :/ ...

@taziden @lunar signal ne chiffre pas les SMS *en local* ou quand il les envoie ?

Silence les chiffre en local même s'ils sont envoyés en clair non ?

@taziden
C'est pour ça que je pense qu'on a un point de vue différent. Pour avoir fait le support de Tor pendant un an, je vois bien ce que ça provoque quand tu n'as pas les ressources adéquats pour le faire bien.

@lunar (Non, Mastodon n'est pas parfait, mais c'est déjà mieux que Twitter.
Oui ça fonctionne. ^^ )

@lunar et de bonnes chaussures, et d'ami.es qui nous disent qu'on va avoir besoin de bonnes chaussures là où on va <3

@lunar et de ne pas enlever ses chaussures comme ma cousine…

Sign in to participate in the conversation
mastodon.potager.org

Un Mastodon pour la communauté du potager.org.