À mes amis : communiquons en privé, avec Signal

Chère·s connaissances, amis, famille…

Nous communiquons, par SMS, mail, téléphone… etc. Nous le faisons à travers différents intermédiaires techniques (opérateur téléphonique, prestataire d'email, apps… etc).

Je suis un peu gêné que ces intermédiaires puissent lire ce que nous nous écrivons, et entendre ce que nous nous disons ; voyez, en fait, ça ne regarde que nous, ça relève de la vie privée, et je souhaite que nous nous sentions libres de nos paroles et écrits.

Se résigner à ce que toute communication électronique privée soit lue systématiquement par des tiers est à mon avis dangereux. C'est commencer à s'auto-censurer jusque dans la sphère privée.

Si je vous écris, c'est pour vous proposer que nous remplacions, pour une meilleure intimité, nos communications SMS/MMS/Chat privées par l'usage de l'application Signal.

En effet, bonne nouvelle, internet n'est pas forcément ce panoptique que l'on peut craindre. Tout dépend des outils qu'on utilise, et des tiers dans lesquels on place sa confiance ; la cryptographie, bien utilisée, permet notamment d'empêcher les intermédiaires qui transportent nos communications de les lire. Cela s'appelle le chiffrement de bout en bout.

Des outils existent, pour chiffrer les emails de bout en bout : GPG notamment. Mais il faut bien reconnaître ces outils ne sont pas très conviviaux. Des gens travaillent à organiser des (co)formations sur ces outils, dans de nombreuses villes, et à les rendre plus conviviaux, et je les en remercie chaque jour :-)… Malgré cela, je peine à vous conseiller « massivement » ces outils, pour l'instant.

Les messengers

Une tendance actuelle est aux messengers : whatsapp, telegram, snapchat…. On peut les voir comme la version internet des SMS/MMS, ou comme l'évolution mobile des messengers des années 2000 (MSN Messenger, ICQ, Yahoo Messenger…). Ça s'utilise typiquement sur smartphone, et l'expérience utilisateur est généralement assez agréable.

Signal, un messenger dans l'intérêt de ses utilisateurs

Signal est une application, de type messenger, édité par le projet (et entreprise) Open Whisper Systems (OWS). Il fonctionne sur smartphone, tablette er ordinateur de bureau. Il a retenu mon attention pour plusieurs raisons, que je synthétise dans ce tableau.

SMS/MMS WhatsApp Signal Silence Telegram
Contenu des messages chiffré non oui oui oui optionnellement (impossible pour les conversations de groupe).
Méta-données1 lisibles par l'opérateur3 oui non non oui non
Méta-données1 lisibles par le service4 n/a oui oui n/a oui
Logiciel libre non (généralement) non oui oui partiellement
Plateformes supportées téléphones (smart ou non) Android, iOS, Mac, Windows, Windows Phone Android, iOS, Mac, GNU/Linux, Windows Android Android, iOS, Mac, GNU/Linux,Windows, Windows phone, web,
Modèle économique forfait téléphonique incertain, revente données ?2 dons dons dons (mécène unique)

Jusqu'à peu, il était nécessaire de lier un compte Google à son téléphone android pour utiliser Signal. Ce qui était de mon point de vue inacceptable. Ça n'est depuis quelques semaines plus une obligation.

Signal n'est pas parfait5, mais me semble tenter de faire au mieux une synthèse de la sécurité des communication et de la convivialité de l'outil.

Signal me semble conçu dans l'intérêt commun avant tout, c'est à dire qu'il n'est pas conçu pour plaire à des actionnaires, ni pour contenter uniquement une minorité technicienne.

NB: Plusieurs messengers peuvent cohabiter sur le même appareil (ex: whatsapp + signal + silence), vous n'avez pas forcément à en choisir un unique.

Concrètement, comment on installe ça ?

Il vous faut obligatoirement :

  • Un appareil sous Android ou iOS (iPhone/iPad) ;
  • un numéro de téléphone capable de recevoir des sms.

Il n'y a pas d'obligation que le numéro de téléphone soit lié à l'appareil.

Si vous utilisez Android, avec un compte Google

Vous pouvez trouver Signal sur le playstore, tout simplement.

Si vous utilisez Android, sans compte Google

Parce-que vous ne souhaitez pas créer de compte Google, ou que votre système ne dispose pas des services Google (AOSP, LineageOS, Copperhead6, Fairphone Open…).

  1. Activez l'installation des logiciels de sources inconnues (ParamètresSécuritéSources inconnues)
  2. Téléchargez le fichier .apk depuis le site officiel sur le téléphone, et exécutez le.

⚠ Utilisez uniquement l'APK du site officiel

Si vous utilisez un appareil sous iOS (iPad, iPhone)

Vous pouvez trouver Signal sur l'app store (itunes).

Si vous utilisez GNU/Linux, OSX ou Windows

Signal existe pour les « ordinateurs de bureau » : Signal Desktop. Il permet d'envoyer/recevoir les messages texte de signal confortablement depuis votre clavier. Il s'installe sous la forme d'une application chrome7.

La procédure est impérativement :

  1. Installer Signal sur votre appareil mobile (Android/iOS)
  2. Installer Signal Desktop sur votre ordinateur, puis « lier » les deux (vos contacts seront alors partagés entre votre appareil mobile et votre ordinateur « de bureau »)8.

Discutons !

La prise en main est assez simple, Signal découvre automatiquement lesquels de vos contacts l'utilisent également et vous permet de commencer à discuter directement. Je ne m'étendrais pas dessus ici.

Signal sait également faire de la conversation audio (du téléphone, quoi) et vidéo, envoyer images et fichiers, le tout chiffré de bout en bout.

N'hésitez pas à consulter la base documentaire, bien rédigée mais hélas en anglais seulement. Par exemple, vous y apprendrez comment vérifier l'identité de vos correspondants.

Pour finir…

Utiliser Signal permet certainement, de réduire la surveillance de masse, et d'avoir davantage confiance dans ses communications numériques, sans sacrifier votre confort.

C'est une étape, pas un produit miracle. Pour aller plus loin, il y a plein d'autres petits pas, en voici quelques uns (les ★ sont les niveaux de difficulté):

  • ★ Utiliser des services gérés par des gens de confiance (ex: les assos du réseau CHATONS), voire par vous même ;
  • ★ Réfléchir au financement du développement des logiciels et plateformes en ligne. Bien souvent si c'est gratuit, c'est vous le produit ! Pensez si vous en avez les moyens à donner de l'argent, ou du temps aux projets qui font le choix de faire des logiciels dans l'intérêt des utilisateur·ice·s
  • ★★ Utiliser le tor browser pour votre navigation quotidienne
  • ★★ Rejoindre un fournisseur d'accès à internet local et associatif de la FFDN
  • ★★ Changer votre système d'exploitation pour un système libre, que ça soit sur mobile ou sur ordinateur de bureau (ex: Debian, Ubuntu, AOSP)
  • ★★ Chiffrer votre disque dur et/ou votre téléphone
  • ★★★ Chiffrer vos emails avec GPG
  • ★★★ Renoncer au téléphone mobile dans certaines situations.

Quelques ressources

Merci

À tou·te·s les relecteur·ice·s, qui se reconnaitront :-)

  1. numéros expéditeur/destinataire, date (les méta-données s'opposent aux données : le corps du message) 

  2. Whatsapp appartient à facebook d'une part, et n'a aucune source de revenus connue à l'heure actuelle… 

  3. Celui auquel vous payez votre forfait téléphonique chaque mois 

  4. C'est à dire que les administrateurs du service de messenger voient passer ces métadonnées 

  5. Parmi les problèmes restants : quelques métadonnées du carnet d'adresses transitent en clair sur les serveurs d'OWS (cela dit, seul le jour de dernière connexion de chaque numéro reste stocké sur les serveurs). Tous les serveurs sont actuellement gérés par OWS (à l'inverse de l'email, par exemple) 

  6. Si vous utilisez copperhead, pas besoin d'installer l'APK à la main : Signal est disponible de base, via f-droid, sous le nom Noise

  7. Compatible avec chromium également, si vous êtes sous GNU/Linux (nb: Google chrome n'est pas complètement un logiciel libre). 

  8. Il n'est cependant pas nécessaire que votre appareil mobile reste allumé ou actif une fois cette étape initiale de liaison réalisée.