Qu’est-ce qu’on connait de Signal ?

Publié le 16 décembre 2019 | Maj le 18 février 2020

Analyses Dispositifs de contrôle

Sécurité informatique Téléphonie

Signal est une bonne application de messagerie si on la compare avec des monstres comme Telegram ou Whatsapp qui appartiennent à Facebook. Comme tout ce qui est bon ou mauvais, il faut savoir comment et quand l’utiliser. On entend dire qu’utiliser Signal est « sécurisé », mais qu’est-ce que ça veut dire et quel niveau de confiance peut-on lui donner ? Repris de Dijoncter.info.

Signal [1], c’est une application de code source ouvert (OpenSource) [2], ça veut dire que le code pour le faire fonctionner est disponible pour tout le monde, de façon à ce que les gens qui comprennent le code puissent voir comment c’est fait. S’il y a des erreurs ou des changements que des gens veulent faire, cette appli peut être transformée.

Signal propose deux types de messagerie.

Une messagerie classique de SMS sans aucun chiffrement des messages.

Une messagerie entre gens qui utilisent Signal, avec un chiffrement de bout en bout [3] des messages, en utilisant les données d’internet. Ça veut dire que les messages sont fermés à clé et que seules les personnes qui ont cette clé peuvent l’ouvrir. En théorie, ces messages ne peuvent pas être vus par des tierces personnes. MAIS pour être sûres de ça il faudra faire quelques vérifications :

Être sûre que l’application que tu as téléchargé a bien la signature des personnes qui l’ont créé. Que personne ne l’a prise et modifiée avant que tu ne la télécharges, avec par exemple l’ordre d’envoyer une copie de tous les messages sur un autre serveur pour les intercepter.
Normalement si tu as téléchargé l’application dans un site officiel comme F-Droid [4] ou les boutiques de google ou apple, tu peux avoir confiance dans le fait que personne d’autre n’a touché le code avec des intentions maléfique.

Le protocole de chiffrement de Signal c’est assez sympa, car les clés de chiffrements sont générées par ton application et pas dans le serveur (la machine centrale de Signal), et sauvegardées sur le portable, donc seront accessibles seulement depuis le portable [5]. Mais, mais, mais, il faut vérifier que les communications sont bien avec les bonnes personnes, en vérifiant le numéro de sécurité dans les paramètres de chaque conversations. La clé de chiffrement a un code de numéros spécifiques pour chaque conversations, donc pour être sûre que tu communiques avec Anna il faudra vérifier que votre numéro de code de conversation est bien le même. S’il est différent ça veut dire qu’il y une 3ème personne en train d’interférer dans votre communication. C’est connu comme l’attaque de l’humain du milieu [6].

Signal n’est pas parfait notamment parce qu’on l’utilise sur les portables, et qu’on ne peut pas donner notre confiance totale aux portables ; par rapport à Signal il faut savoir que :

Le numéro de téléphone de la carte SIM est impérativement nécessaire pour commencer à utiliser cette application, et il est lié à notre identité réelle. De la même manière que les gens avec qui tu communiques sur Signal ont des cartes SIM liées à leur vrai état civil.

C’est possible de bloquer l’inscription avec un numéro NIP, ce code sera demandé chaque fois que Signal est installé sur un nouveau périphérique (ordinateurs ou portables). Avec cette opération tu seras presque sûre que personne d’autre n’arrivera à utiliser ton identité pour installer Signal sur son portable.
Par exemple, ça permet d’éviter que les flics demandent une copie de ta carte SIM à l’entreprise téléphonique, installent Signal en utilisant les identifiants de ton numéro téléphone, et que tous tes messages (entrants et sortants) de Signal arrivent sur le portable des flics en temps réel.

Les informations de qui envoie un message, à qui et à quel moment, sont des infos qui restent dans le serveur mais les administratrices de Signal disent qu’elles ne sont pas gardées pour longtemps [7].

Signal protège bien les messages et les appels, mais les pièces jointes sont plus vulnérables aux attaques (photos, documents, message d’audio... ) [8]

Une fois qu’on connaît tous les problèmes et tous les avantages de Signal, il faut qu’on se pose quelques questions avant de l’utiliser. C’est à toi et tes contacts de réfléchir et de choisir :

Quelles informations sont sensibles ?
De qui on se protège, c’est qui notre ennemi ?
Quelles informations doivent être à tout prix cachées aux ennemis ?
Quels sont les problèmes si ces informations arrivent aux ennemis ?

Basiquement, aucune communication « sensible » ne doit être sur un téléphone portable, car les portables sont plus facilement liés à une identité réelle, et sont plus facilement contrôlables [9].

Si tu utilises déjà Signal, c’est important de savoir que les versions plus anciennes de Signal-4.47.7 ont eu un gros gros problème de sécurité [10]. C’est possible d’accéder au micro sans que la personne le sache et d’écouter tout autour du portable comme si c’était un appel. En fait les méchants ont réussi à contrôler les appels sans que Signal te prévienne, et ont eu un accès total au micro. Donc si tu veux pas qu’ils écoutent tes blagues géniales, fais une mise à jour de Signal.

Pour l’actualiser, soit tu utilises ta boutique d’applications google ou apple, soit tu utilises le site officiel de F-Droid et tu télécharges la nouvelle version de Signal. C’est toujours important de maintenir à jour nos applications et nos systèmes d’exploitation. Si elles sont bien à jour ce sera plus difficile d’être attaqué, chaque erreur sera réparée à chaque version, donc ce sera plus difficile pour les attaquantes.

Bonne communication à toutes.