Journal Signal la bonne alternative à Whatsapp ?

Posté par  (site web personnel) . Licence CC By‑SA.
31
14
jan.
2021

Salut Nal,
avec le changement de politique de Whatsapp, la majorité des utilisateurs se retournent vers Signal. Mes amis, eux, se sont tournés vers moi : "l'expert informatique" du groupe (c'est juste que eux, ils ne s'intéressent pas du tout à l'informatique) pour définir si Signal est une bonne solution … mais bon, moi, je n'en sais rien.

J'ai donc un peu cherché et à priori, ç'est une bonne solution, d'après ce que j'ai pu lire.
Cependant, j'ai retrouvé un post sur LinuxFR de personnes mécontentes que Signal utilise le n° de téléphone. Mais je n'ai pas trouvé d'autres retours sur les applications indiquées (Session parait pas mal, Silence ne fonctionne que sur Android). Signal a créé l'utilisation de n° PIN, pour s'affranchir de l'authentification par n° de téléphone mais nécessite toujours l'utilisation d'un n° de téléphone pour l'inscription (on peut ne pas utiliser son n° de smartphone … mais il faut quand même utiliser un n° personnel). Dans l'avenir, il semblerait que l'utilisation des n° PIN permette de ne plus être obligé d'utiliser un n° de téléphone pour ouvrir un compte Signal.

Bref, pour moi, Signal me parait une bonne solution (mes amis et ma famille connaissent déjà mon n° de smartphone … et moi les leurs), mais je ne comprends pas d'où la fondation prend l'argent pour faire tourner les serveurs (sans parler des dév et des admin) qui font tourner l'appli. Il semblerait que dans ce cas, le fameux dicton "si c'est gratuit, c'est toi le produit !" ne soit pas vrai. Cependant, il faut bien que la fondation rentre de l'argent pour faire tourner tout ça ! ? ! ?

Bonne journée.

  • # Sur le financement

    Posté par  . Évalué à 3.

    https://techcrunch.com/2021/01/12/signal-brian-acton-talks-about-exploding-growth-monetization-and-whatsapp-data-sharing-outrage

    TL;DR: Il y a eu un apport d'argent d'investisseur (dont une partie par l'actuel CEO) et pour le long terme, ils tablent totalement sur les dons.

    • [^] # Re: Sur le financement

      Posté par  . Évalué à 3. Dernière modification le 14 janvier 2021 à 18:29.

      un peu comme un wikipedia, c'est chaud je pense mais cela ce tente, finalement on à plein d'outils libre \o/

      et il n'y a pas d'actionnaire à payer, juste a faire tourner les serveurs et un peu de r&d

  • # Centralisation

    Posté par  (site web personnel) . Évalué à 10.

    Pour moi ce service est comme Whatsapp avant son rachat par Facebook. Ça parait cool, mais ça reste complètement centralisé, donc aucune idée de ce qu'il va se passer dans le futur. L'application est certes opensource, mais la licence interdit de se connecter sur le serveur officiel si on fork.

    Moi ce que je voudrais c'est une transformation ala email. Les emails sont plutôt décentralisés. Tout en étant plutôt interopérable. Des acteurs qui reçoivent déjà des sous de ma part peuvent l'héberger pour moi (mon opérateur), donc pas besoin de pubs, ou espérer que les dons suffisent.

    • [^] # Re: Centralisation

      Posté par  . Évalué à 10.

      XMPP (ex. application Quicksy) a l'air de correspondre à ton cahier des charges

      • autoriser à se connecter au serveur officiel si on fork
      • fonctionnement ala mail
      • décentralisé
      • interopérable (c'est un standard)

      ;)

    • [^] # Re: Centralisation

      Posté par  . Évalué à 6.

      Alors essaie Delta Chat qui utilise le mail pour transporter les messages :-)
      https://delta.chat/fr/

      • [^] # Re: Centralisation

        Posté par  . Évalué à -9.

        C'est bien Delta Chat, mais ça passe par le réseau de ton fournisseur mobile. Tandis que Whatsapp, Signal, XMPP, … utilisent l'internet. Donc un point d'accès Wifi suffit.

      • [^] # Re: Centralisation

        Posté par  (site web personnel) . Évalué à 4. Dernière modification le 18 janvier 2021 à 10:07.

        Et l'avantage c'est que tu peux échanger avec tous tes correspondants sans leur imposer quoi que ce soit.

        Parce que ça commence à bien faire les tu veux pas créer un groupe sur XXX.

        Le post ci-dessus est une grosse connerie, ne le lisez pas sérieusement.

        • [^] # Re: Centralisation

          Posté par  . Évalué à 2.

          Tu leur impose une adresse mail.

          « Rappelez-vous toujours que si la Gestapo avait les moyens de vous faire parler, les politiciens ont, eux, les moyens de vous faire taire. » Coluche

          • [^] # Re: Centralisation

            Posté par  (site web personnel) . Évalué à 4.

            Et un accès à internet !

            Le post ci-dessus est une grosse connerie, ne le lisez pas sérieusement.

            • [^] # Re: Centralisation

              Posté par  . Évalué à 3.

              Je connais des gens avec un accès internet qui n'ont pas (ou n'utilisent pas) une adresse mail.

              « Rappelez-vous toujours que si la Gestapo avait les moyens de vous faire parler, les politiciens ont, eux, les moyens de vous faire taire. » Coluche

    • [^] # Re: Centralisation

      Posté par  (site web personnel) . Évalué à 3.

      Moi ce que je voudrais c'est une transformation ala email. Les emails sont plutôt décentralisés. Tout en étant plutôt interopérable.

      À lire le billet de moxie0 (il y a presque 5 ans): https://signal.org/blog/the-ecosystem-is-moving/

      blog.rom1v.com

    • [^] # Re: Centralisation

      Posté par  (site web personnel) . Évalué à -5.

      "L'application est certes opensource, mais la licence interdit de se connecter sur le serveur officiel si on fork."

      Donc ce n'est pas libre.

      • [^] # Re: Centralisation

        Posté par  . Évalué à 10. Dernière modification le 14 janvier 2021 à 20:26.

        La licence n’interdit rien du tout, les applications sont sous GPLv3 et le serveur est sous AGPLv3.

        Les CGU de Signal interdisent par contre d’utiliser leur services via des applications tierce partie sans approbation préalable.

        • [^] # Re: Centralisation

          Posté par  (site web personnel, Mastodon) . Évalué à 3.

          je suppose que ça signifie que https://gitlab.com/signald/signald (et donc le plugin libpurple qui se base dessus, et les passerelles comme celle de XMPP ou Matrix) ne sont pas autorisés, n'est-ce pas ?

          C'est pas beaucoup mieux que whatsapp au final (ça reste un peu mieux quand même).

          • [^] # Re: Centralisation

            Posté par  . Évalué à 0.

            je suppose que ça signifie que https://gitlab.com/signald/signald (et donc le plugin libpurple qui se base dessus, et les passerelles comme celle de XMPP ou Matrix) ne sont pas autorisés, n'est-ce pas ?

            J’en sais rien, pose leur la question.

            Mais en même temps, quand on voit ce genre de chose : Unofficial, unapproved, and not nearly as secure as the real Signal clients., on se dit qu’ils ont pas complètement tort de vouloir limiter les applications tierces parties.

            C'est pas beaucoup mieux que whatsapp au final (ça reste un peu mieux quand même).

            C’est à des années lumières de Whatsapp, mais oui, si tu veux.

  • # signal

    Posté par  (site web personnel) . Évalué à 3.

    Signal est recommandé par des gens censé :
    - https://twitter.com/elonmusk/status/1347165127036977153
    - https://twitter.com/fs0c131y/status/1347453068481359873

    Voici les info perso utilisé par les applications :
    info perso

    Oui le numéro de téléphone, c'est gênant. Mais c'est pratique pour trouver ses correspondants !

    La fondation Signal reçoit des dons (comme Mozilla ou Linux)… notament 50M$ du fondateur de WhatsApp.

    "La première sécurité est la liberté"

    • [^] # Re: signal

      Posté par  . Évalué à 10.

      En quoi Elon Musk et un compte lié à un imaginaire sont des personnes sensées ? (Ou alors j'ai pas compris l'ironie). Bruce Schneier semble une source plus pertinente…

      • [^] # Re: signal

        Posté par  . Évalué à 10.

        ou Snowden

        • [^] # Re: signal

          Posté par  . Évalué à -10.

          ou Snowden

          Le gars qui a leaké des projets secrets, a un livre, un film, qui fait des videoconf au chaud et qui n'a toujours "pas été suicidé" par un des services d'intelligences les plus puissants au monde?

          • [^] # Re: signal

            Posté par  . Évalué à -10.

            -9?

            OK l'espionnage et le contre-espionnage est une fantaisie, ils ne tuent pas les gens.

            Je me demande pourquoi on a si peur de ces agences.

            • [^] # Re: signal

              Posté par  . Évalué à 4.

              Parce que maintenant c'est une figure. Si tu le tues, tu en fais un martyr et le monde entier revient sur le personnage en donnant bien plus de crédit à tout ce qu'il aura pu dire, parce que si c'était pas tellement problématique, "ils" ne l'auraient pas tué.

              Par contre il peut être certain que la minute où il remettrait les pieds sur le territoire il serait arrêté, traîné dans la boue, dénigré et humilié publiquement avant de se faire envoyer croupir en prison pour le restant de ses jours.

      • [^] # Re: signal

        Posté par  (site web personnel) . Évalué à 4.

        Non, le deuxième compte n'est pas du tout imaginaire. C'est même un des français les plus connu dans le domaine.

        "La première sécurité est la liberté"

    • [^] # Re: signal

      Posté par  (site web personnel, Mastodon) . Évalué à 8. Dernière modification le 14 janvier 2021 à 13:00.

      Signal n’enregistre pas votre numéro de téléphone, uniquement son hash qui sert d’identifiant unique.

      Mes livres CC By-SA : https://ploum.net/livres.html

      • [^] # Re: signal

        Posté par  (site web personnel) . Évalué à 10.

        (ce qui revient au même puisque générer ou obtenir les hashs de tous les numéros de téléphone possible a un coût marginal, même pour moi)

        • [^] # Re: signal

          Posté par  (site web personnel) . Évalué à 1.

          ça dépend uniquement du hash…

          "La première sécurité est la liberté"

          • [^] # Re: signal

            Posté par  (site web personnel) . Évalué à 10.

            Même avec un hash "relativement lent", comme l’ensemble de départ fini et qu’il est impossible de les saler (puisque le but c’est de pouvoir retrouver ses contacts avec leur numéro de téléphone), obtenir l’intégralité des hashs reste totalement faisable. La seule solution envisageable serait de faire une sorte de rotation en forçant la mise à jour de l’application régulièrement pour que les identifiants changent, mais ce n’est pas réaliste.

            • [^] # Re: signal

              Posté par  (site web personnel) . Évalué à 5.

              Tu penses à des "rainbow tables" ? De mémoire, le hash de bcrypt n'est pas constant. Tu as une fonction spécifique de comparaison. Cela m'avait joué des tours, lorsque j'avais voulu hasher des champs en base de donné.

              "La première sécurité est la liberté"

      • [^] # Re: signal

        Posté par  (site web personnel) . Évalué à 3.

        La différence reste symbolique, vu le faible nombre de numéros possibles en France (moins de 200 000 000).

      • [^] # Re: signal

        Posté par  (site web personnel) . Évalué à 3.

        Le domaine des numéros de téléphone étant assez réduit (en france c'est de l'ordre de 5 * 108), il me semble qu'"inverser" le hash se fait assez trivialement par bruteforce.

        J'ai raté quelque chose ?

        • [^] # Re: signal

          Posté par  (site web personnel) . Évalué à 1.

          Oui, autant un sha1 se fait en milliard de test à la seconde sur un GPU, autant un bcrypt tombe à 5000.

          "La première sécurité est la liberté"

          • [^] # Re: signal

            Posté par  (site web personnel) . Évalué à -1.

            Merci.

          • [^] # Re: signal

            Posté par  . Évalué à 6.

            Si je reprends les chiffres donnés plus haut (entre 200.000.000 et 5*10⁸ numéros de téléphone possibles en France), ça signifie qu'il ne faut qu'une demi-journée à une (grosse) journée pour dresser la liste des hash possibles.

            C'est tout sauf bloquant !

          • [^] # Re: signal

            Posté par  . Évalué à 5.

            Le domaine des numéros de téléphone étant assez réduit (en france c'est de l'ordre de 5 * 108),

            autant un sha1 se fait en milliard de test à la seconde sur un GPU, autant un bcrypt tombe à 5000

            Avec ces chiffres, il faudrait donc 5 * 108 / 5000 = 500 000 secondes, soit même pas 1 semaine. Donc c'est réalisable assez facilement.

            Sur le papier on peut rendre bcrypt aussi lent qu'on veut. Sauf qu'en pratique d'un côté on a un utilisateur qui n'a pas envie que son téléphone mette plus de quelques secondes à calculer le hash et de l'autre on a un attaquant potentiel disposant d'une puissance de calcul beaucoup plus puissante que le téléphone et d'un temps beaucoup plus important. L'attaquant est beaucoup trop avantagé sur un nombre de combinaisons aussi faible.

      • [^] # Re: signal

        Posté par  (site web personnel) . Évalué à 3.

        Je dirai même plus

        Le domaine symbolique du hash reste marginal, même en France. il me semble La différence revient au même puisque le coût se fait assez trivialement.

      • [^] # Re: signal

        Posté par  . Évalué à 4.

        Je me demande si ça ne revient pas au même.

        « Rappelez-vous toujours que si la Gestapo avait les moyens de vous faire parler, les politiciens ont, eux, les moyens de vous faire taire. » Coluche

      • [^] # Re: signal

        Posté par  . Évalué à 4.

        Plus exactement, les seuls données en clair dont ils disposent sont le (hash du) numéro de téléphone, le timestamp de création du compte et le timestamp de dernière connexion à leurs serveurs.

        Ça leur permet notamment de répondre très facilement à la justice.

  • # non

    Posté par  (Mastodon) . Évalué à 10.

    Aller d'un truc centralisé vers un autre truc centralisé, c'est le piège. Au moins les suisses de chez Threema ne sont pas aussi hypocrites et admettent qu'on ne peut rien te proposer gratuitement sans que tu ne sois toi-même le produit à vendre et te font payer pour avoir accès

    Dans ma famille on n'a pas encore fait le pas mais on s'oriente plutôt vers jami ou tox, probablement jami car tox ça ne passe pas très bien d'un point de vue "marketing social". Le plus simple et rapide ça reste presque delta chat + jitsi en cas de besoin. Avant je ne le consaillais pas car il n'était pas dans le playstore et tout le monde n'est pas à l'aise avec f-droid mais c'est maintenant le cas.

    Le boulot, c'est aussi possible de convaincre.

    Le problème, c'est le milieu associatif, les écoles. Genre toutes les associations sportives et associations de parents d'élève passent par whatsapp. Sans ça t'es quasi au courant de rien car les écoles s'appuient sur les délégués de parents d'élèves pour des communications importantes et l'autre jour je ne m´étais pas aperçu qu'il pleuvait car je travaillais et quand je suis allé chercher ma fille de son entrainement de basket je me suis pris une grincante remarque qu'ils avaient envoyé un message sur whatsapp pour prévenir que l'entrainement était interrompu et qu'il fallait chercher immédiatement ses enfants.

    • [^] # Re: non

      Posté par  . Évalué à 5.

      Aller d'un truc centralisé vers un autre truc centralisé, c'est le piège.

      Je ne suis que partiellement d'accord avec ça. La centralisation c'est mal mais ce qu'il aussi est bon d'éviter, c'est le monopole (ce que la décentralisation empêche). Si les GAFAM peuvent se montrer dangereux pour la vie privée, c'est aussi à cause de ce monopole, si un utilisateur se sert de Google pour faire ses recherches, envoyer des emails, se déplacer… les données seront regroupées pour devenir beaucoup plus pertinentes et intrusives. Si les données de ces outils ne peuvent pas être regroupées, leur intérêt est un peu plus limité. Donc, pour moi, un truc centralisé ne vaut pas forcément un autre truc centralisé.

      • [^] # Re: non

        Posté par  (Mastodon) . Évalué à 9.

        Et le jour où signal est acheté par google, amazon, microsoft ou une autre société que tu ne soupçonne pas mais qui devient plus tard la nouvelle Gafam tu fais quoi? Il n'y a rien dans la loi américaine qui interdit une organisation "non-profit" à être vendue à une organisation for-profit et changer de statut.

        Même histoire si la législation américaine prend des directions qui ne te plaisent pas.

        • [^] # Re: non

          Posté par  (site web personnel) . Évalué à 3.

          C'est une fondation, pas une boite. Pas de rachat possible.

          "La première sécurité est la liberté"

          • [^] # Re: non

            Posté par  (Mastodon) . Évalué à 7.

            hmmm je crois avoir lu qu'une fondation peut être transformée ou rachetée, où en tout cas que ses assets le soient ce qui revient au même. Si quelqu'un est fort en droit américain, qu'il lève la main.

          • [^] # Re: non

            Posté par  (site web personnel) . Évalué à 3.

            Peut-être que la fondation en elle-même ne peut pas être rachetée, mais est-ce le cas pour l’entreprise à but lucratif Signal Messenger LLC, filiale de Signal Technology Foundation ? Ou bien l’application elle-même, développée par l’entreprise Signal Messenger LLC ?

        • [^] # Re: non

          Posté par  . Évalué à 3.

          Tu écris un journal en demandant quelles sont les alternatives à Signal.

          Blague à part, le conditionnel est pertinent mais le commentaire auquel je répondais laissait entendre que les 2 solutions se valaient. Que Signal n'est pas mieux (ou moins pire) qu'un service centralisé monopoliste, ce n'est pas tout à fait vrai aujourd'hui du fait de cette absence de monopole.

    • [^] # Re: non

      Posté par  (site web personnel, Mastodon) . Évalué à 10.

      Signal, c’est un peu Firefox sur Windows à l’époque d’Internet Explorer.

      Bien sûr, tu peux dire que Windows c’est pas libre. C’est pas idéal. Il n’empêche qu’une masse d’utilisateurs de Firefox a permis de faire bouger le web et casser le monopole IE.

      C’est exactement pareil ici.

      Il y’a une opportunité de dingue : Signal est très populaire.

      Cracher sur Signal auprès des utilisateurs non-techniques revient à favoriser Whatsapp et Facebook Messenger (donc le monopole de Facebook).

      Égoistement : si tu recommandes par Signal aujourd’hui parce que pas assez bien pour toi, tu vas te retrouver forcer à installer Whatsapp un jour parce que c’est ce qu’utilisera ton patron, ton client ou ton partenaire amoureux.

      C’est un peu comme voter Chirac ou Macron face à Le Pen : bien sûr, c’est pas idéal. Mais t’es globalement face à deux possibilités pour l’avenir. Si aucune ne te convient, t’as intérêt à choisir la moins pire.

      Mes livres CC By-SA : https://ploum.net/livres.html

    • [^] # Re: non

      Posté par  . Évalué à 6. Dernière modification le 14 janvier 2021 à 13:19.

      Jami, c'est prometteur mais il ne permet pas encore de créer un groupe (seulement le one to one) => rédhibitoire dans mon cadre familial. C'est prévu mais c'est ça n'a pas l'air évident à faire dans le cadre d'une solution peer to peer (https://git.jami.net/savoirfairelinux/ring-project/wikis/technical/2.3.-Swarm).

      Plus anecdotique (mais pas forcément pour tout le monde), il ne supporte pas encore les emoticons.

      • [^] # Re: non

        Posté par  (site web personnel) . Évalué à 2. Dernière modification le 14 janvier 2021 à 14:08.

        La seul raison d'utiliser whatsapp pour moi, c'est pour discuter de sortie entre 2 couples (à 4 donc). Pour le one to one, il y a déjà le SMS.

        "La première sécurité est la liberté"

        • [^] # Re: non

          Posté par  . Évalué à 5.

          Le SMS n'est pas chiffré.

          • [^] # Re: non

            Posté par  . Évalué à 7.

            Et le SMS n'est pas forcément gratuit. Surtout si tu discutes avec des gens qui un numéro de téléphone étranger.

            « Rappelez-vous toujours que si la Gestapo avait les moyens de vous faire parler, les politiciens ont, eux, les moyens de vous faire taire. » Coluche

          • [^] # Re: non

            Posté par  (site web personnel) . Évalué à 3.

      • [^] # Re: non

        Posté par  (Mastodon) . Évalué à 3. Dernière modification le 14 janvier 2021 à 15:39.

        Plus anecdotique (mais pas forcément pour tout le monde), il ne supporte pas encore les emoticons.

        Hmmm, si tu supportes utf-8, tu supportes par défaut les emoticons non ? Suffit d'avoir une police de charactère qui les intègre.

        Où j'oublie un truc important ?

        • [^] # Re: non

          Posté par  . Évalué à 2.

          Tu as sans doute raison mais ce que je veux dire, c'est que c'est pas intégré dans l'UI.

    • [^] # Re: non

      Posté par  (site web personnel, Mastodon) . Évalué à 7.

      C'est intéressant, tu as mentionné Threema, Jami, Tox, Delta Chat et Jitsi (j'imagine que tu faisais allusion à Jitsi Meet), mais tu n'as pas parlé une seule fois de XMPP, qui semble pourtant paré à la tâche. Une raison particulière à cela ?

      (c'est une vraie question sans arrière-pensée : j'ai des contacts WhatsApp qui me demandent comment me joindre si je m'en vais, et comme j'utilise Conversations par ailleurs je songeais à le leur suggérer, mais ça vaut le coup de regarder ce qui se fait ailleurs)

      • [^] # Re: non

        Posté par  (site web personnel) . Évalué à 8. Dernière modification le 14 janvier 2021 à 14:27.

        mais tu n'as pas parlé une seule fois de XMPP, qui semble pourtant paré à la tâche.

        Et c'est bien un vrai problème : XMPP était sensé être la réponse contre WhatsApp même avant l'heure, mais il a merdé sur toute la ligne (personne à part quelques geeks perdus ne l'utilisent pour l'équivalent WhatsApp) alors qu'il avait la base technique.
        Il faudra un jour accepter sa mort et faire une autopsie pour comprendre comment ça a pu autant merder.

        • [^] # Re: non

          Posté par  . Évalué à 4. Dernière modification le 14 janvier 2021 à 14:46.

          XMPP, les problèmes peuvent être la fragmentation des serveurs, la fragmentations des clients, le concept hébergeur xmpp != appli (comme les emails) et la découverte des contacts (tu vois autre chose ?).

          J'ai l'impression que Quicksy répond à l'ensemble de ces sujets.
          C'est une appli, avec création de compte automatique sur un serveur par défaut, et découverte des contacts par le numéro de téléphone.
          N'est-ce pas une piste intéressante ? 

          En tout cas, je suis en train de l'essayer, pour l'instant ca fonctionne bien entre utilisateurs quicksy (mais je n'arrive pas a le faire fonctionner avec un utilisateur @jabber.fr… c'est pour ca que je propose "quicksy" et non "XMPP").

          • [^] # Re: non

            Posté par  (site web personnel) . Évalué à -2.

            N'est-ce pas une piste intéressante ?

            Il a quoi comme "truc en plus"?
            Faire comme les autres est une chose nécessaire mais pas suffisante.

            pour l'instant ca fonctionne bien entre utilisateurs quicksy (mais je n'arrive pas a le faire fonctionner avec un utilisateur @jabber.fr

            Donc fail, rien d’intéressant.

            • [^] # Re: non

              Posté par  . Évalué à 0. Dernière modification le 15 janvier 2021 à 14:39.

              trompé de fil (supprimé)

              https://solar.lowtechmagazine.com/fr/ pour les amoureux de la technique élégante

            • [^] # Re: non

              Posté par  . Évalué à 3.

              Il a quoi comme "truc en plus"?
              Faire comme les autres est une chose nécessaire mais pas suffisante.

              Il me semble que le sujet du journal n'est pas de trouver quelque chose qui ait des trucs en plus mais quelque chose qui puisse se substituer à whatsapp sans pour autant donner un blanc-seing sur tes données personnelles. Donc rejeter une solution au seul prétexte qu'elle ne ferait pas plus que whatsapp ne me paraît pas justifié.

              Donc fail, rien d’intéressant.

              Je ne connais pas Quicksy mais j'ai lu que c'était la même application que Conversation, avec une couche "auto-découverte des contacts". Du coup, si ça ne fonctionne pas avec d'autres utilisateurs de la fédération XMPP, c'est clairement un bug (ou une mauvaise manip), pas vraiment un fail au sens où tu l'entends dans ton commentaire.

              Si fail il y a, il serait plutôt dans le fait que cette couche "auto-découverte" rajoutée à Conversation est payante, si j'ai bien compris.

              • [^] # Re: non

                Posté par  . Évalué à 2. Dernière modification le 15 janvier 2021 à 22:00.

                cette couche "auto-découverte" rajoutée à Conversation est payante, si j'ai bien compris.

                Je ne crois pas. De ce que j'avais compris, ce qui est payant, c'est de faire inscrire dans l'annuaire quicksy son identifiant XMPP déjà existant par ailleurs ainsi que son numero de téléphone (ou son hash, je ne sais pas), pour qu'il soit "découvrable" par les utilisateurs de Quicksy.

                • [^] # Re: non

                  Posté par  . Évalué à 6. Dernière modification le 15 janvier 2021 à 23:40.

                  Oui c'est ça, je l'ai fait hier, ça coûte 5€ via paypal pour que mon adresse soit découvrable par les utilisateurs de quicksy qui ont mon numéro. Ça va générer une adresse de type +336xxxxxxxx@quicksy.im qui redirigera vers ta vrai adresse.

                  Sinon pour le majorité des utilisateurs "non geek" (qui ne possèdent pas de compte xmpp), leur adresse générée à l'installation "+336xxxxxxxx@quicksy.im" sera gratuite et elle est bien sur utilisable dans n'importe quel client xmpp comme n'importe quelle autre.

                  https://solar.lowtechmagazine.com/fr/ pour les amoureux de la technique élégante

              • [^] # Re: non

                Posté par  . Évalué à 2.

                Après des tests supplémentaires, j'ai vu que Quicksy est compatible avec movim.eu, donc il peut fonctionner avec d'autres utilisateurs de la fédération XMPP.

                Il faut savoir que quicksy impose par défaut le chiffrement OMEMO (car l'app se veut grand public)

                Donc pour jabber.fr, je pense juste qu'il y a un problème de compatibilité (= problème de XEP implémenté par jabber.fr - il y a un message qui indique que l'échange des clés OMEMO ne fonctionne pas). Et je ne vois pas ca comme un bug de Quicksy

          • [^] # Re: non

            Posté par  . Évalué à 0.

            Quel est ton problème exactement ?

            https://solar.lowtechmagazine.com/fr/ pour les amoureux de la technique élégante

        • [^] # Re: non

          Posté par  (site web personnel) . Évalué à 8.

          Alors "XMPP était sensé être la réponse contre whatsapp" alors que whatsapp est basé sur XMPP, je suis pas sûr de suivre… Whatsapp ça montre juste ce qu’on peut faire d’XMPP avec de l’argent et des pratiques prédatrices.

        • [^] # Re: non

          Posté par  . Évalué à 10.

          XMPP est un protocole, pas un projet. Tant qu'il y a de l'activité sur le réseau, le protocole n'est pas mort.

          Pour ce qui est de sa popularité, il y a pleins de choses à dire. Mais avec le recul, sur ce que je lis mais aussi sur mes propres positions, je me rends compte qu'un des problèmes est ce besoin de marketing étoile filante:
          À un instant t, une solution capte l'attention générale, et "le monde" émet un jugement: soit ça passe et ça devient plus ou moins populaire, soit "le monde" décide que ça n'est pas à la hauteur et on passe à autre chose.

          Mastodon a donc eu sa gloire et en a hérité sa communauté. Signal est dans sa phase étoile filante.
          XMPP eu son étoile filante et un jugement que ça n'était pas au niveau des alternatives: pas d'appel vidéo, pas de chiffrage bout-à-bout, une multitude de clients sans alignement des fonctionnalités.

          On oublie que tout ça évolue, et pas toujours au même rythme. Des retards se rattrapent pendant que des stars stagnent un peu. Mais on reste sur le jugement de l'instant t.

          Pourtant, aujourd'hui là tout de suite: Conversations offre le chiffrage bout-à-bout et les appels vidéos.
          Movim offre le microbloggage, le chat et les appels vidéos aussi.

          Et c'est peut-être un autre défi pour la communauté XMPP: on n'attend pas de Whatsapp qu'il fasse tout. Mais vu qu'on met tellement en avant le protocole XMPP plutôt que les projets qui s'appuient dessus, on juge un peu facilement que les clients ne sont "pas si compatibles que ça".

          XMPP ne peut pas réussir.
          Les projets construits sur XMPP le peuvent.
          L'exemple de succès le plus éminent et d'ailleurs et ironiquement… Whatsapp!!

      • [^] # Re: non

        Posté par  (Mastodon) . Évalué à 10. Dernière modification le 14 janvier 2021 à 15:34.

        J'ai eu des comptes xmpp.

        Mais ce qui m'a fait l'abandonner c'est la non homogénéité du support des protocoles. Un client va supporter les XEP A,B et C , un autre la A, C et D et au final tu ne sais jamais avec qui et quel client tu peux utiliser telle ou telle fonctionnalité. Et les clients qui existent sur une plateforme n'existent pas forcément sur une autre du coup tu ne sais que recommander.

        Ça aurait été viable si au lieu de se baser sur un protocole et des XEP on avait fait du versionning (comme on a versionné les protocoles mobiles edge, 3g, 4g, 5g ou le bluetooth). Pour prendre un exemple imaginaire o aurait dit qu'un client XMPP3 doit impérativement fournir le support Pour les XEP A B C et un client XMPP4 déprécie la XEP B mais suppoorte les XEP A C et D ça aurait été tout aussi facile pour les développeurs, mais les utilisateurs auraient pu beaucoup plus facilement s'y retrouver et par exemple choisir de chercher un client XMPP4 parce que depuis la 4 on a de le discution en groupe chiffré.

        • [^] # Re: non

          Posté par  . Évalué à 10.

          ce dont tu parles ressemble fortement à ce qui se fait avec les suites de conformité XMPP depuis déjà plusieurs années: voici celle de 2020 et de 2021

    • [^] # Re: non

      Posté par  . Évalué à 1.

      Bonjour,

      J'ai souvent entendu des gens me répondre que c'est pénible que Threema soit payant (4.- au passage) et que du coup ils ne l'installeront pas sur leur iPhone…

      Un peu navrant.

  • # pas idéal, mais mieux que d'autres silos

    Posté par  (site web personnel, Mastodon) . Évalué à 10.

    Salut,

    Signal est un silo centralisé, mais il reste mieux que la plupart des autres silos, et en tout cas mieux que WhatsApp car le client et le serveur sont libres, et ça n'est pas affilié (du moins à ma connaissance) à Facebook ou autre entreprise qui font leur beurre sur les données personnelles.

    Je copie ce que j'ai publié ce matin sur Mastodon :

    Pour rappel, Signal c'est centralisé et fier de l'être cf. https://signal.org/blog/the-ecosystem-is-moving/ (et quelques réponses de la communauté XMPP: https://blog.jabberhead.tk/2019/12/29/re-the-ecosystem-is-moving/ ou https://gultsch.de/objection.html).

    Ils se sont aussi déjà montrés hostiles envers de implémentations alternatives (cf. https://github.com/LibreSignal/LibreSignal/blob/master/README.md).

    Alors oui ils ont fourni Double Ratchet et c'est mieux que la plupart des autres silos, mais c'est à garder en tête quand on le recommande pour remplacer whatsapp.

    Pour moi, c'est décentralisation !

    Bien entendu je ne suis pas neutre étant un développeur XMPP.

    • [^] # Re: pas idéal, mais mieux que d'autres silos

      Posté par  . Évalué à 3.

      Salut !

      Ils se sont aussi déjà montrés hostiles envers de implémentations alternatives

      Cette phrase m'a fait tiquer et j'ai donc été lire le ticket Github ayant entraîné l'arrêt de LibreSignal.

      Pour ma part, j'ai surtout trouvé qu'il clarifie la différence entre le code, la marque et le service Signal. Pour ne citer qu'une toute petite partie de la conversation :

      If people want to use our source code to develop their own products, that's fine, so long as it's done under the terms of the license. That's the deal we're making with everyone, and I agree that it allows for possible collaboration. However, we are not running a service for other people's products, and we are not letting other people use our name in their products. Those things aren't part of the deal.

      Que des gens trouvent ça hostile, ok. Mais d'autre trouveront ça normal. Mozilla ne le contredirait probablement pas sur la marque, par exemple.

      • [^] # Re: pas idéal, mais mieux que d'autres silos

        Posté par  (site web personnel) . Évalué à 2.

        Ce n’est pas qu’une histoire de nom. Dans cette conversation, Moxie indique aussi clairement qu’il n’est pas question que d’autres « produits » se connectent à leur serveur. Même si c’est un simple fork qui enlève les dépendances non-libres de Signal.

  • # Alternatives

    Posté par  . Évalué à 6.

    De ce que j’en ai compris (d’après les descriptions officielles, je n’ai pas essayé) :
    – Silence permet d’échanger des SMS chiffrés (du coup, pas de « fournisseur centralisé », si ce ne sont les opérateurs téléphoniques, qui évidemment ont connaissance des numéros) ;
    – Session est un fork de Signal fonctionnant avec un routage en oignon (comme Tor, donc le serveur auquel tu te connectes ne sait pas avec qui tu discutes), mais ne semble pas proposer d’appels audio au vidéo ;
    – Jami est équivalent à Signal (appels audio et vidéo possibles) mais ne demande pas ton numéro de téléphone ;
    – Tox est équivalent à Signal et utilise un routage en oignon.

    Je ne sais pas comment ils se financent. C’est peut‐être indiqué sur leurs sites.

    Tu peux peut‐être déjà filtrer suivant le besoin (juste du chat ou des appels audio voire vidéo ?) et ensuite essayer avec une personne prête à y passer un peu de temps. L’utilisabilité de l’application et la qualité des communications (si tu veux faire des appels) pourraient guider ton choix.

    « Le fascisme c’est la gangrène, à Santiago comme à Paris. » — Renaud, Hexagone

    • [^] # Re: Alternatives

      Posté par  . Évalué à 5.

      Tu peux rajouter Olvid avec des infos ici, et même sur Wikipedia.

      Le truc chiant, c’est que le numéro de téléphone pour se connecter c’est pratique, ici, il faut apparemment échanger un QrCode.

      • [^] # Re: Alternatives

        Posté par  . Évalué à 6.

        Concernant Olvid, j'ai consulté le site après qu'un contact m'en ait parlé lorsque j'évoquais Signal.

        J'avoue que ça m'a un peu gonflé : beaucoup de prétention et des comparaisons biaisées.

        Par exemple : ils annoncent une "rupture technologique", parce que ce sont les seuls à avoir pensé à une messagerie décentralisée. Dommage, Jami (ex-Ring), faisait déjà ça lorsque les gus pondaient leur idée sur une feuille.

        D'ailleurs, tellement en avance que le client desktop n'existe pas (j'attends de voir la version Ouinouin et MacTruc uniquement, parce qu'ils oublieront sans doute le reste), pendant que Jami existe MAINTENANT sur Android, iOS, Linux, MacOS, Windows, AndroidTV.

        La visio ? Parlons-en ça existe sur… Jami.

        Bref, beau projet sans doute, mais bouffi d'orgueil et de prétention.

        Et un classique pour la route : sapuçaipaslibre (pour l'instant, on verra par la suite, mais sur leur modèle économique ça semble difficile).

        Le seul truc qui fait que je conseille Signal et non Jami, c'est que les utilisateurs ne sont pas encore prêts (ils leur faut un truc similaire à Whatsxxx, un identifiant bizarre, pas de groupe ça ne passera pas). Comme évoqué dans un autre commentaire, Signal, c'est un compromis, un moindre mal (mais pas une compromission).

        Na !

        • [^] # Re: Alternatives

          Posté par  . Évalué à 5.

          J'ai eu la même impression (ah, le passage sur le fait qu'ils ont déjà pris en compte la future cryptographie quantique…).

        • [^] # Re: Alternatives

          Posté par  . Évalué à 7.

          un identifiant bizarre.

          L'identifiant bizarre est un UID, seul moyen de garantir l'unicité sans base de données de comptes dans un serveur. Mais l'utilisateur est informé qu'il peut choisir un autre identifiant. Dans ce cas, pour garantir l'unicité, Jami l'enregistre dans la blockchain Ethereum (sous réserve qu'un autre utilisateur Jami n'ait pas déjà enregistré un identifiant identique).

          Une conséquence intéressante est que si tu supprimes ton compte Jami, il sera impossible à toi ou un autre de prendre plus tard le même identifiant car il est dans la blockchain jusqu'à la fin des temps la prochaine grosse tempête solaire. Je trouve ça plutôt bien pour éviter toute usurpation d'identité basée sur l'identifiant.

          pas de groupe ça ne passera pas

          Autant le point précédent ne me paraît pas un problème, autant celui-ci est effectivement rédhibitoire pour beaucoup de gens (je suis dans ce cas). Mais la solution est à l'étude donc ça ne devrait plus être à terme un point de blocage.

          Mais même quand il y aura les groupes, Jami se heurtera à une limitation incontournable : tout mécanisme d'auto-découverte me paraît impossible, ce qui risque d'être un motif de rejet pour beaucoup sans une bonne pédagogie pour expliquer que c'est l'effort à faire au début (acquisition manuelle des contacts) pour bénéficier d'avantages indéniables en retour.

          • [^] # Re: Alternatives

            Posté par  . Évalué à 4.

            Mais même quand il y aura les groupes, Jami se heurtera à une limitation incontournable : tout mécanisme d'auto-découverte me paraît impossible, ce qui risque d'être un motif de rejet pour beaucoup sans une bonne pédagogie pour expliquer que c'est l'effort à faire au début (acquisition manuelle des contacts) pour bénéficier d'avantages indéniables en retour.

            C'est possible, en construisant un serveur qui fait le lien entre UID et informations personnelles. Un annuaire quoi. Évidemment, ça doit être opt-in, c'est un problème de vie privée, etc. Mais c'est possible.

          • [^] # Re: Alternatives

            Posté par  . Évalué à 6.

            Une conséquence intéressante est que si tu supprimes ton compte Jami, il sera impossible à toi ou un autre de prendre plus tard le même identifiant car il est dans la blockchain jusqu'à la fin des temps la prochaine grosse tempête solaire. Je trouve ça plutôt bien pour éviter toute usurpation d'identité basée sur l'identifiant.

            Mais une autre conséquence moins intéressante est que si tu lourdes ton mot de passe, il n'y a aucun moyen de le récupérer: ils ne peuvent pas vérifier ton identité autrement qu'en te voyant connecté.
            En même temps, je ne vois pas comment on ne peut pas avoir les 2: anonymat vis à vis de l'identifiant et mécanisme de recouvrement du mot de passe.

            • [^] # Re: Alternatives

              Posté par  . Évalué à 3. Dernière modification le 22 janvier 2021 à 08:08.

              Mais une autre conséquence moins intéressante est que si tu lourdes ton mot de passe, il n'y a aucun moyen de le récupérer.

              Non, ça n'a rien à voir. En fait ni la création d'un identifiant "lisible", ni le mot de passe du compte ne sont obligatoires. L'identifiant "lisible", c'est juste parce que c'est plus rassurant/facile de donner à tes contacts un identifiant qu'une UID telle que 0a13d5f52cc003c0gfc37297e52dfxd3678eb8ef. Le mot de passe, c'est pour chiffrer ton compte (c'est-à-dire, principalement, ta clé privée) sur ton device. Si ton device est déjà chiffré (c'est le cas pour un smartphone, en général), ce n'est pas forcément nécessaire.

              Mais même si tu perds le mot de passe d'un compte chiffré sur un device, rien n'est perdu : il suffit de conserver une version non chiffrée du compte dans un endroit sûr et de restaurer le compte sur le device à partir de cette version non chiffrée.

              ils ne peuvent pas vérifier ton identité autrement qu'en te voyant connecté.

              Il n'y a pas de "ils" : aucun serveur ne vérifie ton identité. Celle-ci est assurée par l'UID, statistiquement unique, que tu as communiqué à tes contacts (soit directement, soit via l'identifiant "lisible" qui lui a été optionnellement associé dans la blockchain Euthereum). Et personne ne peut usurper cette identité sans être en possession d'une copie du compte qui correspond à cet UID (d'où l'intérêt de le protéger en le chiffrant sur les devices non sûr).

    • [^] # Re: Alternatives

      Posté par  . Évalué à 5. Dernière modification le 14 janvier 2021 à 16:46.

      Jami n'est pas équivalent à Signal : il n'y a aucun serveur, c'est du peer to peer (alors, oui, il y a forcément un ou plusieurs serveurs "bootstrap" pour t'aider à trouver les autres mais les communications ne transitent pas par eux et ils n'hébergent pas de comptes). J'imagine que ça marche comme Syncthing sur ce point.

      Du coup, il n'y a quasiment aucun coût d'infrastructure, seulement le coût du contrat blockchain qui sécurise ton identifiant. Il faut bien sûr financer le coût du développement (j'ignore comment) mais ça reste marginal et ponctuel par rapport à maintenir une infrastructure de serveurs dans le temps.

      • [^] # Re: Alternatives

        Posté par  . Évalué à 4.

        Il faut bien sûr financer le coût du développement (j'ignore comment) mais ça reste marginal et ponctuel par rapport à maintenir une infrastructure de serveurs dans le temps.

        [référence nécessaire] parce que ça ne coûte pas si cher que ça une infrastructure. Surtout comparé à tu temps de développement.

        « Rappelez-vous toujours que si la Gestapo avait les moyens de vous faire parler, les politiciens ont, eux, les moyens de vous faire taire. » Coluche

        • [^] # Re: Alternatives

          Posté par  . Évalué à 4. Dernière modification le 14 janvier 2021 à 18:23.

          Le coût d'une infrastructure de messageries avec serveurs croit avec le nombre d'utilisateurs. Dans le cas de Jami, le coût restera toujours très faible car il n'est pas proportionnel au nombre d'utilisateurs de part sa nature peer to peer. J'ignore combien coûte l'infrastructure de whatsapp mais c'est sûrement beaucoup plus que "pas si cher que ça". Du coup, ça pose le problème du financement : modèle payant, fondation, ou bien tes données personnelles… Problème beaucoup plus simple à résoudre avec Jami.

          NB. Le seul coût potentiellement proportionnel au nombre d'utilisateurs dans Jami est l'éventuel coût d'inscription de l'identifiant utilisateur dans la blockchain Ethereum (j'imagine que ce n'est pas gratuit et qu'il est actuellement financé par Jami lui-même) mais ce n'est pas un coût récurent (il n'interviendrait qu'à l'inscription) et il est certainement très faible.

          • [^] # Re: Alternatives

            Posté par  . Évalué à 4.

            de part sa nature peer to peer.

            Je n'ai pas regardé comment il fonctionne, mais vu qu'il est plus ou moins impossible de vraiment faire du peer to peer avec un smartphone, j'imagine qu'il y au moins l'équivalent d'un serveur TURN, donc son infra va grandir avec le nombre de message.

            « Rappelez-vous toujours que si la Gestapo avait les moyens de vous faire parler, les politiciens ont, eux, les moyens de vous faire taire. » Coluche

      • [^] # Re: Alternatives

        Posté par  . Évalué à 6.

        Financement: on a quelques pistes sur leur site: https://jami.net/services/ Jami est développé par une boîte (québecquoise ?) qui "fait du libre". Ils ont déjà des développeurs, des clients, d'autres projets. Ils développent Jami et commencent à placer leurs pions pour générer des revenus, on peut lire sur ce lien qu'ils commencent (ça fait pas longtemps, c'était annoncé dans leur dernier article de blog il me semble) à proposer des services pros, ici l'hébergement de "Jami Account Manager Server" qui "facilite le déploiement de Jami dans votre organisation et permet à vos utilisateurs de se connecter en utilisant l'identifiant de leur entreprise".

    • [^] # Et pour les vieux

      Posté par  . Évalué à 1.

      Et pour les dinophone (smartphone android 2.3), il y'a t il des logiciels qui existent  ? Whatsapp avait cesser de fonctionner sur ces version d'Android en février dernier, mais je n'ai pas trouvé d'alternative. :
      - Signal : Android 4.4
      - Tchap : 4.1
      - Olvid : 5
      - Viber : 4.1

  • # Un retour sur Silence

    Posté par  (site web personnel, Mastodon) . Évalué à 8. Dernière modification le 14 janvier 2021 à 14:35.

    Je vois Silence mentionné dans les alternatives. Mon expérience avec (qui vaut ce qu'elle vaut) est la suivante :

    • je l'ai installé il y a environ 3 ans.
    • ça a fait client SMS de façon tout à fait satisfaisante pendant tout ce temps.
    • les conversations à plusieurs fonctionnent… Comme des SMS multiples, donc mal.
    • le manque d'effet réseau a fait que je n'ai eu qu'un contact avec qui échanger des messages sécurisés (par contre presquetous mes contacts s'étaient mes à WhatsApp, mes parents compris).
    • et surtout : la procédure d'export des messages ne fonctionne pas, pas plus qu'aucune des alternatives (y compris celles qui passent pas les outils de debug). Même quand l'outil prétend avoir enregistré un fichier, il est introuvable.
    • je soupçonne que les procédures n'aient été testées que sur des smartphones rootés, ce qui n'était pas le cas du mien.
    • j'ai donc perdu 2 ans et demie de SMS en changeant de smartphone cet été.

    Conclusion : essayez si ça vous intéresse, mais testez immédiatement la procédure de sauvegarde / restauration.

    La connaissance libre : https://zestedesavoir.com

  • # Matrix / Element

    Posté par  . Évalué à 2.

    Je vais faire court. J'ai converti toute ma famille et ma belle-famille sur Matrix / Element.
    Avantages :
    - Décentralisé
    - Open source
    - Pas d'obligation d'avoir un smartphone

    La dernière était indispensable.

    Il a fallu accompagner les gens à la création du compte, mais aujourd'hui tout le monde est content.

    • [^] # Re: Matrix / Element

      Posté par  . Évalué à 6.

      Désavantages :

      • C’est super lent.
      • Les besoins matériel pour faire fonctionner un serveur digne de ce nom sont énorme.
      • De l’avis de certains amis (j’ai pas expérimenté assez longtemps) c’est très buggé.
      • [^] # Re: Matrix / Element

        Posté par  . Évalué à 3.

        Je fais tourner un serveur Synapse sur une instance Stardust de Scaleway, à l'aide de Yunohost. Je ne conteste pas le fait que ce n'est pas un service léger, mais c'est possible.

        La lenteur ne me semble pas un problème. J'ai rarement un lag de plus d'une seconde pour les messages textuels. Je n'attends pas d'un service fiable qu'il réponde à la milliseconde. Et ça dépend du serveur d'accueil des comptes évidemment.

        Très buggé, non. Buggé, oui. Mais l'année 2020 a vu de grand changement dans le client principal (Element), et dans les performances de Synapse (le serveur de référence).

        • [^] # Re: Matrix / Element

          Posté par  . Évalué à 7.

          Question qui tue: est-ce que des utilisateurs vont sur des salons bien fréquentés?
          Matrix "copie" littéralement le salon sur ton serveur. Donc si un utilisateur va sur un salon très actif, ton serveur morfle.
          En tout cas la dernière fois que j'ai essayé, j'ai mis mon serveur à genoux.

          • [^] # Re: Matrix / Element

            Posté par  . Évalué à 2.

            Question pertinente, et je n'ai pas eu ce cas là. Je remercie d'avoir soulevé le problème, je n'ai pas pu le tester, mais j'y ferais attention.

            En effet, la force de Element, c'est d'avoir utilisé Megolm, une variante de olm pour marcher avec un grand nombre de participants en ayant moins de souci de performance. Mais ce n'est quand même pas magique. Ils sont en train de tester MLS pour ça, mais… c'est loin d'arriver.

    • [^] # Re: Matrix / Element

      Posté par  (site web personnel) . Évalué à 3.

      Wow, chapeau. Tu aurais des trucs côté comment convaincre ? J’imagine que le côté accompagnement aide beaucoup.

      Perso j’ai proposé à mes contacts Whatsapp de migrer vers Signal, estimant que c’était ce qu’il y avait de plus proche et facile à prendre en main. Résultat : une minorité de non-techos convertis, mais pas suffisament pour pouvoir reconstituer ne serait-ce qu’un seul groupe au complet à l’équivalent de Whatsapp.

      Côté famille, c’est dans la majorité des personnes éloignés géographiquement, ajouté au COVID, je ne peux pas vraiment aller les aider.

      • [^] # Re: Matrix / Element

        Posté par  . Évalué à 3.

        Pour les convaincre ? Bah c'est simple : WhatsApp et Signal me demande d'avoir un smartphone, c'est excluant. Je vous propose quelque chose qui marche aussi sur un ordinateur, ça pourrait vous être utile si vous perdez votre téléphone.

        J'ai essayé avec de la famille moins proche, le succès n'a pas été là. C'est même un échec complet pour l'instant.

        Pour l'aide, j'ai tout fait par téléphone, ou Zoom, ou courrier électronique détaillé. Il y a une personne, la moins technophile, que j'ai dû aider pendant 40 minutes sur Skype. C'est très long.

        Ce n'est pas un remplacement simple à mettre en place. À l'usage, c'est suffisamment simple.

    • [^] # Re: Matrix / Element

      Posté par  . Évalué à 2.

      J'utilise aussi Matrix, très bien. Je n'ai pas rencontré de problèmes, sauf les réglages de dingue et les clés de suvegarde, un peu compliqué, on s'y perd dans tous ces réglages.

      arnauld

    • [^] # Re: Matrix / Element

      Posté par  . Évalué à 4.

      Quel est l'intérêt face à XMPP ?

      https://linuxfr.org/users/barmic/journaux/y-en-a-marre-de-ce-gros-troll

      • [^] # Re: Matrix / Element

        Posté par  . Évalué à 2.

        Bonne question. J'utilise XMPP depuis des lustres, et j'aime toujours le concept. Mais il faut avouer que la fragmentation des implémentations que ce soit client ou serveur, rend la situation délicate.

        En gros, avec Matrix / Element :
        - La création d'un compte sur matrix.org facile / faisable
        - Du chiffrement de bout en bout par défaut
        - Des salons avec un annuaire
        - Des passerelles disponibles dans tous les sens : IRC (intégrée sur matrix.org), WhatsApp, Signal, Facebook, XMPP, etc.

        • [^] # Re: Matrix / Element

          Posté par  . Évalué à 3.

          Des passerelles disponibles dans tous les sens : IRC (intégrée sur matrix.org), WhatsApp, Signal, Facebook, XMPP, etc.

          Heu, je crois que la seule passerelle qui manque, c'est celle vers XMPP justement. Et je me suis laisser dire qu'il en existait une (j'ai oublié le nom), mais qu'elle ne fonctionnait pas du tout.
          As-tu essayé concrètement ? Peux-tu discuter depuis Matrix avec une personne sur XMPP ? Peux-tu depuis Matrix rejoindre un salon XMPP ?

          Parce que si ça fonctionne bien, je vais pouvoir arrêter de suggérer XMPP aux personnes qui quittent les GAFAM et qui ont entendu parler de Matrix. Si je peux garder le contact avec ces personnes sans quitter XMPP, ça me va bien, qu'elles aillent sur Matrix ou XMPP.

          PS : je n'ai pas trouvé non plus de passerelle XMPP -> Matrix, si quelqu'un en connaît une, ça m'intéresse.

          • [^] # Re: Matrix / Element

            Posté par  . Évalué à 2.

            Ah, oui mea culpa j'ai parlé trop vite. J'ai trouvé que des vieilleries Matrix <-> XMPP, qui ne semble ni maintenues, ni fonctionnelles.

            Et effectivement, comme XMPP permet également l'utilisation de passerelles (j'ai pas dit que Matrix avait inventé des choses d'ailleurs ;) ), ce serait intéressant de voir si ça intéressait pas des gens dans l'autre sens.

            Il y a des SDKs pour Matrix dans pleins de langages, mais je ne sais pas si c'est facile pour autant.

        • [^] # Re: Matrix / Element

          Posté par  . Évalué à 2.

          La création d'un compte sur matrix.org facile / faisable

          Oui. Mais ensuite quand tu te re-connectes plus tard, on te demande de valider (?) depuis une autre session ouverte (??) sinon tu ne pourras pas déchiffrer les conversations (???). Mais pourtant j'ai donné mon login et tapé mon mot de passe !!!

          Ok, je peux chercher à comprendre ce qu'il se cache derrière ça mais là, j'ai forcément perdu les quelque uns que j'aurais réussi à convaincre. Pourtant, l'argument des passerelles est séduisant mais sur matrix.org, il n'y a que IRC, pas whatsapp.

  • # La perfection n'existe pas

    Posté par  . Évalué à 10.

    Je suis d'accord avec plusieurs autres commentaires, Signal n'est pas parfait mais c'est, à mon humble avis, le meilleure compromis grand public, voire compromis tout court.
    Ça s'installe simplement, l'interface est accessible, c'est chiffré et c'est libre.
    Oui, c'est centralisé (et c'est un vaste débat les pour et les contre) et la fondation qui gère Signal est américaine (avec tout ce que ça implique).
    Mais les alternative crédible à Whatsapp et compagnie pour le grand public, c'est quoi ?

    Telegram ? Un logiciel en partie propriétaire et russe. Ca inspire confiance…

    Toutes les alternatives listées dans les différents commentaires, Threema, Jami, Tox, Delta Chat, Jitsi, etc ? Même moi qui suis un geek, y a plus de la moitié de ces appli dont je n'ai jamais entendu parler. Le nombre de personnes présentes sur ces appli doit être ridicule par rapport à Signal (et pire si on compare à Whatsapp). C'est rédhibitoire pour la très grande majorité des utilisateurs qui ne veulent pas jongler avec 10 applis pour discuter avec les amis, la famille, les collègues, etc.

    Je le vois avec mes potes que je n'ai jamais réussi à faire passer à autre chose que Whatsapp, car tout leur entourage, à part moi, est sur Whatsapp. Ma seule "victoire" a été de leur faire utiliser Jitsi, hebergé sur mon serveur, pendant le confinement plutôt que Whatsapp pour faire des visio apéro.
    Pourquoi j'y suis arrivé ? Uniquement car nous seul allions l'utiliser (5 potes), donc pas de problème d'entourage sur une autre appli, et que c'était une application aussi simple que Whatsapp : on installe l'appli android, on se connecte à mon serveur et c'est parti, on peut attaquer l'apéro.

    A mon sens, et je vais enfoncer des portes ouvertes, pour qu'une appli de messagerie soit adoptée il faut qu'elle soit simple d'installation et d'utilisation et qu'un nombre suffisamment important de personnes dans l'entourage soient déjà dessus. Les problèmes de vie privée et de sécurité, en dehors des technophiles, la majorité des gens s'en foutent.
    Et la seule appli qui coche un maximum de cases dans les catégories grand public et technophile, c'est Signal je pense.
    Donc quand quelqu'un dans mon entourage me parle d'application de messagerie, je parle toujours de Signal.

    • [^] # Re: La perfection n'existe pas

      Posté par  . Évalué à 1.

      Telegram ? Un logiciel en partie propriétaire et russe. Ca inspire confiance…

      Parce qu'un logiciel US, ça l'est ? Signal est un logiciel US qui utilise des APIs Google pour la partie mobile, qui refuse la fédération et dont les "builds" ne sont pas reproductibles.

      Si Signal est si sûr, comment se fait-il qui ne se fait pas accuser de plate-forme pour terroristes comme l'a été Telegram ?

      • [^] # Re: La perfection n'existe pas

        Posté par  . Évalué à 4.

        Parce qu'un logiciel US, ça l'est ?

        J'accorde plus ma confiance envers un logiciel entièrement libre (sauf erreur de ma part) et US plutôt qu'à un logiciel partiellement propriétaire (la partie serveur, soit la plus sensible je pense) et russe.
        Après, on est d'accord que russe ou US c'est kif-kif.

        Si Signal est si sûr, comment se fait-il qui ne se fait pas accuser de plate-forme pour terroristes comme l'a été Telegram ?

        Une application qui n'est pas connu pour être utilisée par les terroristes est donc moins sûre ?
        Je suis pas vraiment convaincu.

        • [^] # Re: La perfection n'existe pas

          Posté par  . Évalué à 6.

          qu'à un logiciel partiellement propriétaire (la partie serveur, soit la plus sensible je pense) et russe.

          Alors on peut critique Telegram pour beaucoup de choses (code du serveur non libre et non public, système de chiffrage maison non testé publiquement, identification par numéro de tel.), mais le fait qu'il soit russe me semble un mauvais procès : C'est développé par deux Russes, mais ça n'est pas pour ça que c'est un logiciel russe : Poutine a mis en panne une grosse partie de l'internet russe il y a un an (il me semble) en voulant déconnecter les IP dont se servait Telegram. Et comme celui-ci avait prévu le coup et marchait aussitôt sur des IP de secours, plein de sites russes ne fonctionnaient plus alors que Telegram se portait comme un charme. C'est juste pour montrer l'affinité de Telegram avec l'État russe.

          • [^] # Re: La perfection n'existe pas

            Posté par  . Évalué à 1.

            En Russie, plus qu'ailleurs, c'est du P2P qui se justifie. Le problème n'est pas la volonté et l'opposition de ceux de Telegram mais bien l'état russe. Si Telegram continue, c'est que l'état n'a pour l'instant pas besoin de l'arrêter.

  • # Autres articles

    Posté par  . Évalué à 5. Dernière modification le 14 janvier 2021 à 16:15.

    Je sais que sur ce site il y en a qui adore Tristan Nitot, donc autant qu’il serve d’argument d’autorité : Par quoi remplacer WhatsApp ?.

    Et pour les autres critiques un peu nulles qu’on trouve dans ce fil : WhatsApp, Signal et les rabats-joie de la protection de la vie privée par Thomas Fourmeux.

  • # La Poste devrait proposer un service XMPP

    Posté par  (site web personnel, Mastodon) . Évalué à 10. Dernière modification le 14 janvier 2021 à 16:20.

    Voilà, c'est tout, c'est mon commentaire.

    (je ne sais plus si la messagerie est encore une mission de service public chez nous, mais jsais pas, j'ai l'impression que ça pourrait en faire partie.)

    • [^] # Re: La Poste devrait proposer un service XMPP

      Posté par  (site web personnel, Mastodon) . Évalué à 7.

      Les opérateurs de téléphonie aussi. Et leurs serveurs devrait bien sûr être fédérés. Et ils devraient tous se mettre d’accord sur un ensemble de fonctionnalités (XEP) à supporter : au minimum chiffrement de bout en bout, délivrance des messages asynchrone (sinon moins utile sur mobile), conversations de groupe, appels audio et vidéo à deux participants (au minimum, mais pourquoi pas jusqu’à 4 ou 8 ; plus que ça sur téléphone ça devient difficile à suivre). Et ils pourraient tous contribuer un peu à développer un client libre (si la poste et chaque opérateur embauchaient chacun un seul développeur à plein temps et qu’ils contribuent tous au même client libre, on arriverait sûrement rapidement à quelque chose qui marcherait bien).

      Ça ne coûterait pas énormément, et ça rendrait un service immense. Mais c’est sûrement pas assez intéressant pour la startup nation, ce projet…

  • # Signal

    Posté par  . Évalué à 6.

    Peut-on utiliser Signal sans posséder de smartphone ? Si c’est le cas, comment ?

    Est-ce qu’on peut s’inscrire avec un téléphone mobile simple ?

    • [^] # Re: Signal

      Posté par  . Évalué à 3.

      Peut-on utiliser Signal sans posséder de smartphone ? Si c’est le cas, comment ?

      Ça dépend avec quoi tu veux l’utiliser.

      J’ai un ami qui a une tablette, mais pas de smartphone, et qui utilise Signal quand même.

      Tu as aussi signald et libpurple-signald par exemple.

      Est-ce qu’on peut s’inscrire avec un téléphone mobile simple ?

      Actuellement l’inscription fonctionne en renseignant ton numéro de téléphone, Signal t’envoie un SMS avec un code, tu rentres le code là où il est demandé et tu es inscrit.

      C’est prévu de pouvoir s’inscrire avec un simple nom d’utilisateur à l’avenir.

    • [^] # Re: Signal

      Posté par  . Évalué à 3.

      On peut, mais ça reste très chiant.

      Déjà, l'enregistrement se fait en ligne de commande, avec un code envoyé sur ton mobile. Bon.
      Ensuite, ça nécessite un service en Java qui tourne, pendant que libpurple fait la passerelle vers un affichage graphique.

      Mais surtout : on ne peut plus t'envoyer de SMS. Hééé oui, je me suis enregistré sur Signal comme ça, et ceux qui avaient mon numéro dans leur répertoire ont eu le comportement suivant : Signal prend le relais, puisque le numéro est enregistré, et envoie des messages sur Signal au lieu d'un SMS.

      C'est très ballot. Je ne sais pas s'il y a un contournement.

      • [^] # Re: Signal

        Posté par  . Évalué à 3. Dernière modification le 14 janvier 2021 à 21:50.

        Un appui long sur le bouton envoyer permet de choisir entre envoyer un message chiffré ou un SMS.
        Support de signal

        • [^] # Re: Signal

          Posté par  . Évalué à 2.

          OK, donc c'est possible. Mais comme l'UI de Signal le montre, c'est grandement déconseillé. Et ça repose sur la lucidité de l'expéditeur.

          • [^] # Re: Signal

            Posté par  . Évalué à 1.

            Mais comme l'UI de Signal le montre, c'est grandement déconseillé.

            Franchement je ne suis pas d'accord avec cette affirmation.
            C'est accessible et rapide en plus c'est bien documenté.

            Et ça repose sur la lucidité de l'expéditeur.

            L'utilisateur doit choisir entre envoyer un message chiffré ou un SMS.
            Pour ça je ne vois pas comment faire autrement sans risquer d'envoyer des messages non chiffrés par erreur.
            Ce qui serait ballot pour une application qui prétend assurer la confidentialité des conversations.

            • [^] # Re: Signal

              Posté par  . Évalué à 5.

              Moi, y'a un comportement que j'aimes pas trop.
              C'est que si la personne à qui tu envoies le message chiffré n'as pas de connexion (ou toi donc il faut pas que ton doigt fourche).
              Tu peux plus lui envoyer de SMS tant qu'elle ne retrouve pas une connexion pour dépiler les messages chiffrés.

              https://github.com/signalapp/Signal-Android/issues/9864#issuecomment-756300408

              C'est du au fait que Signal veux respecter abolument l'ordre des messages.

              Du coup, t'es un peu bloqué car Android ne permet l'envoi de SMS que par l'appli par defaut :(

  • # Pas du mieux, du meilleur

    Posté par  . Évalué à 3. Dernière modification le 14 janvier 2021 à 18:29.

    La Poste veut être le Google français, aspirateur de données personnelles, elle a déjà les adresses postales de chacun qu'elle lie au coffre-fort numérique qu'elle propose comme service et dont elle scanne allégrement les documents présents.
    C'est pareil que le DMP de la Sécu, aucune confiance dans un service de l'Etat ou affilié. Parce que :
    - la solution technique centralisatrice alors que d'aucuns réclamaient d'autres solutions intrinsèquement plus sûre (cf. InterHOP)
    - ils ne mettront pas les moyens pour correctement protéger ce silo. Quand on voit comment les données médicales se promènent déjà allégrement partout et l'état de l'informatique à l'image du reste dans les hôpitaux.

    Si Signal a du succès c'est bien parce que la fusion FB/WA pose un problème de données personnelles. Des gens, minoritaires, s'en rendent compte.

    Mais au lieu de promouvoir du meilleur relatif à WhatsApp ("du moins pire") pourquoi ne pas profiter de ce moment pour promouvoir le meilleur tout court ?
    A savoir du décentralisé ou au moins du fédéré/distribué ? Restent en lice donc Jami, Tox et Matrix/Riot/Element.

    C'est d'autant plus important que :
    - il n'y a que nous, libristes, qui tiendront ce discours, donc il faut que nous le tenions
    - notre choix influence le succès de ces solutions dans un cercle vertueux ou au contraire pour tomber dans l'oubli.
    C'est important notamment pour les applis P2P, plus il y aura de monde, mieux cela fonctionnera.
    - enfin, le centralisé a déjà montré ses faiblesses : sans même parler du n° de téléphone, Signal a été victime en Russie, p.ex., de l'abandon du domain fronting chez AWS et GCP (ou Cloudflare?).
    - le P2P, a pu montrer sa force : une appli, privatrice, a été utilisée à Honk Kong, comme messagerie pendant les manifestations car les réseaux été coupées.

    Ainsi, si Signal se trouve en défaut, il nous faudra recommencer les efforts pour faire passer à d'autres applis ? Autant les promouvoir dès maintenant.

    Tox a l'inconvénient de n'avoir pas de client iOS.
    Restent Jami, que je teste en ce moment et Element, qui fonctionne pour 500 000 comptes en Allemagne pour l'éducation.

    MAJ : et au "si c'est gratuit, c'est vous le produit", La Quadrature le remplace par "si c'est vous le produit, ce n'est pas gratuit."

    • [^] # Re: Pas du mieux, du meilleur

      Posté par  (site web personnel) . Évalué à 6.

      Le mieux est l'ennemi du bien. Ne pas l'oublier.

      "La première sécurité est la liberté"

    • [^] # Re: Pas du mieux, du meilleur

      Posté par  . Évalué à 4. Dernière modification le 15 janvier 2021 à 11:31.

      C'est rigolo de connaître tous ces réseaux et d'oublier de mentionner xmpp qui est le plus mature de tous et dont il y a des super développeurs actifs qui publient souvent sur ce site (salutàtoi, movim).

      cf Mon avis
      https://linuxfr.org/nodes/122931/comments/1837649

      https://solar.lowtechmagazine.com/fr/ pour les amoureux de la technique élégante

    • [^] # Re: Pas du mieux, du meilleur

      Posté par  (site web personnel) . Évalué à 3.

      La Poste veut être le Google français (…) scanne allégrement les documents présents.

      C'est-à-dire ? Tu as des éléments de preuve ?
      Car si on lit les conditions générales, ce n'est pas le cas :

      13.2. Accès aux données de l’Abonné

      Les Données à caractère personnel propres à Digiposte ne seront en aucun cas vendues, partagées ou communiquées à des tiers qui ne seraient pas impliqués dans les traitements associés au Service Digiposte.

      Pensez à l'environnement avant d'imprimer ce commentaire - Please consider the environment before printing this comment

      • [^] # Re: Pas du mieux, du meilleur

        Posté par  . Évalué à 3. Dernière modification le 16 janvier 2021 à 10:56.

        Un article sur les moyens que se donne La Poste pour valoriser les données personnelles :
        article de Bastamag
        Bastamag n'est pas ma tasse de thé mais l'article est bon.

        Je discutais avec quelqu'un lorsqu'il a reçu une notification qui l'a interpellé sur son téléphone. La Poste félicitait ce père de compter un nouveau diplômé dans la famille. Sa fille venait de déposer son diplôme fraîchement acquis dans Digiposte…
        Là il s'est dit qu'il était peut-être temps de changer.

        Cela ne montre pas une liaison La Poste-Digiposte mais qu'il y a bien analyse… pour usage interne.

        Enfin pour montrer le sérieux, un "petit incident technique"

        Bref, La Poste. Grande entreprise à qui l'état demande de faire du chiffre en proposant un service non libre : bisou.

  • # signal sur FDroid ?

    Posté par  . Évalué à 1.

    Je ne trouve pas de client signal sur FDroid.
    Telegram n'est peut être pas mieux que watzap en terme de vie privée mais a un client open source du FDroid. Ce qui fait que je suis sûr sur mon telephone lineage qu'il ne capte pas mes contacts.

    • [^] # Re: signal sur FDroid ?

      Posté par  (site web personnel) . Évalué à 4.

    • [^] # Re: signal sur FDroid ?

      Posté par  . Évalué à 2.

      Cela passe par les serveurs de Telegram, donc pas besoin d'avoir une appli privatrice pour qu'il récupère potentiellement les contacts.

    • [^] # Re: signal sur FDroid ?

      Posté par  . Évalué à 2.

      Tu peux l’avoir dans des dépôts tierces parties, par exemple le dépôt fdroid-firefox de Ricki Hirner.

      • [^] # Re: signal sur FDroid ?

        Posté par  . Évalué à 6. Dernière modification le 14 janvier 2021 à 21:02.

        J'étais enthousiaste mais:

        ggpservices :(

        et impossible de le contourner contrairement à certaines application (ouisncf, geev, mabanque, j'en passe)

        Sauf que j'ai pas de compte google :'(

        • [^] # Re: signal sur FDroid ?

          Posté par  . Évalué à 4. Dernière modification le 14 janvier 2021 à 21:05.

          Signal n’a pas besoin de GCM pour fonctionner, s’il ne les détecte pas il utilise une connexion websocket pour la réception des messages (il faut juste désactiver « l’optimisation de la batterie » sur Signal dans les paramètres d’Android).

          J’utilise Signal sur un téléphone qui n’a pas les GApps installées et ça fonctionne très bien.

          • [^] # Re: signal sur FDroid ?

            Posté par  . Évalué à 1.

            Ton téléphone est peut être rooté, pas le mien.

            • [^] # Re: signal sur FDroid ?

              Posté par  . Évalué à 3.

              Non, il ne l’est pas.

              • [^] # Re: signal sur FDroid ?

                Posté par  . Évalué à 1.

                Alors tu es chanceux mais sur le mien, il n'en démord pas.
                Si je clique sur update il me demande un compte google. Si je clique à côté, il ne se passe rien, je ne peux que cliquer sur "next" et il me redemande la même chose.

                • [^] # Re: signal sur FDroid ?

                  Posté par  . Évalué à 2.

                  L’application est libre, le code est disponible sur GitHub et tu peux ouvrir une issue en suivant ce guide : Submitting useful bug reports.

                  Tu as aussi Signal Community si tu cherches du support.

                  • [^] # Re: signal sur FDroid ?

                    Posté par  . Évalué à 4.

                    Je ne doute pas d'y arriver un jour mais je suis dans le cas de @ComputingFroggy, je ne cherche pas tant pour moi que pour d'autres, non informaticiens. Si c'est pour les pousser à créer un compte google…

                    • [^] # Re: signal sur FDroid ?

                      Posté par  . Évalué à 2.

                      Je crois qu'il suffit des désactiver les Google Play Services pour pouvoir l'utiliser sans problème. Ici, le logiciel te demande une mise à jour comme si les Google Play était présent…

                      • [^] # Re: signal sur FDroid ?

                        Posté par  . Évalué à 2.

                        Merci pour ta suggestion.
                        Malheureusement, non, justement, ggplay est désactivé sur mon téléphone. Certaines applications s'en plaignent mais fonctionnent quand même.

    • [^] # Re: signal sur FDroid ?

      Posté par  . Évalué à 2.

      Tu peux également récupérer l'apk directement sur le site de Signal : https://signal.org/android/apk/
      Une fois installé via cet apk, Signal envoit une notification lorsque une nouvelle version est disponible et se met à jours après validation de l'utilisateur.

      • [^] # Re: signal sur FDroid ?

        Posté par  . Évalué à 2.

        Merci pour le lien.

        Ça change pas le comportement sur mon mobile. Il veut updater "Google Play services" et comme j'ai pas de compte google, ça s'arrête là. Sniff!

  • # Pensez à bien détruire votre compte Whatsapp

    Posté par  . Évalué à 5.

    Pour supprimer son compte :

    • Ouvrir WhatsApp
    • Aller dans More options > Settings > Account > Delete my account.
    • Entrer votre numéro de téléphone au format international (+33…)
    • Appuyer sur DELETE MY ACCOUNT
    • Sélectionner une raison (Other)

    Ainsi vous allez détruire :

    • votre compte
    • votre historique
    • vos groupes
    • vos backups Google Drive

    Mais :

    • Ça peut prendre 90 jours (or on a moins d'un mois pour le changement de licence ?)
    • Des copies des informations personnelles restent dans les sauvegardes après 90 jours
    • Ça n'a pas d'impacts sur les messages déjà envoyés (ça on s'en doute)
    • les logs vont rester dans la base mais seront dissociés des informations personnelles (lire : vos méta-données seront utilisées et vous servirez de proxy pour faire le lien entre les utilisateurs et alimenter le réseau social, malgré la destruction : une honte)
    • ils vont garder nos infos dans tous les cas pour des questions de problèmes juridiques, de violations de conditions ou pour éviter des préjudices (il faut aller lire les conditions en petit pour en savoir plus)

    Raison de plus pour offrir un "signal" clair et détruire son compte.

    • [^] # Re: Pensez à bien détruire votre compte Whatsapp

      Posté par  . Évalué à 7.

      Raison de plus pour offrir un "signal" clair et détruire son compte.

      Comment on fait quand on a pas. On en crée un et on le détruit dans la foulée ?

      Je me sens un peu comme un non fumeur envieux d'un fumeur qui arrive enfin à arrêter.

    • [^] # Re: Pensez à bien détruire votre compte Whatsapp

      Posté par  (site web personnel, Mastodon) . Évalué à 3.

      Sais-tu s'il sera possible de détruire son compte passé le 8 février si l'on accepte pas les nouvelles conditions d'utilisation (et à supposer que l'accès à l'appli en soit bloqué, y compris en Union européenne) ?

      • [^] # Re: Pensez à bien détruire votre compte Whatsapp

        Posté par  . Évalué à 5.

        Le RGPD les y contrains. Tu peux demander à récupérer toutes les données qu'ils ont sur toi et à les supprimer. On appel ça le droit à l'effacement.

        https://linuxfr.org/users/barmic/journaux/y-en-a-marre-de-ce-gros-troll

        • [^] # Re: Pensez à bien détruire votre compte Whatsapp

          Posté par  . Évalué à 4.

          Je ne sais pas pourquoi, mais j'ai comme un doute sur la réalité d'un quelconque effacement de données. Comme il n'y a aucun moyen de le vérifier, ils peuvent certifier la main sur le cœur qu'ils ont supprimé tes données et ne pas le faire.
          Et comme en informatique tout ce qu'il est possible de faire sera fait un jour, j'ai même tendance à penser que c'est toujours comme ça, les données ne sont jamais effacées, quoi qu'ils disent. Au mieux il y aura toujours un bug qui fait qu'un backup sera « oublié » quelque part au fond d'une cave d'un datacenter.

          • [^] # Re: Pensez à bien détruire votre compte Whatsapp

            Posté par  . Évalué à 4.

            Tu veux dire que tu as plus confiance en la fonction intégrée à l'application aujourd'hui qu'en l'invocation du RGPD après le 8 février ?

            Et comme en informatique tout ce qu'il est possible de faire sera fait un jour, j'ai même tendance à penser que c'est toujours comme ça, les données ne sont jamais effacées, quoi qu'ils disent. Au mieux il y aura toujours un bug qui fait qu'un backup sera « oublié » quelque part au fond d'une cave d'un datacenter.

            Ils peuvent jouer, mais il faut :

            • ne pas avoir de fuite de données
            • ne pas avoir d'enquête diligentée
            • ne pas avoir d'employés qui parlent (les employés des GAFAM sont plutôt loquaces)

            Les lois qui sont mises en places actuellement (on pensent beaucoup au RGPD, mais ce n'est pas la seule et il n'y a pas que l'union européenne) indexe les amendes sur le nombre d'utilisateurs ou en pourcentage du CA de la maison mère (pour google on parle d'alphabet par exemple) voir parlent d'interdiction sur le territoire ou de démantèlement.

            Donc oui ils peuvent, comme tu peux ne pas payer ton parcmètre, mais ils y a un moment où il va falloir qu'ils se rendent compte qu'ils sont très observé et que les sanctions peuvent devenir dangereuses.

            Mais dis-moi, si les lois ne représentent rien pour eux, pourquoi ont-ils modifié leurs conditions d'utilisations pour faire du recoupement de données facebook/whatsapp ? Ils auraient déjà pu le faire techniquement.

            https://linuxfr.org/users/barmic/journaux/y-en-a-marre-de-ce-gros-troll

          • [^] # Re: Pensez à bien détruire votre compte Whatsapp

            Posté par  . Évalué à 1.

            J'ai plutôt l'impression qu'ils vont passer tes données dans une moulinette spéciale pour extraire le plus d'infos possible avant d'effectivement l'effacer.

            Et il me semble bien (à vérifier) que tu n'as pas de droits particuliers sur les données extraites par un algo à partir de tes données.

            https://solar.lowtechmagazine.com/fr/ pour les amoureux de la technique élégante

            • [^] # Re: Pensez à bien détruire votre compte Whatsapp

              Posté par  . Évalué à 2.

              J'ai plutôt l'impression qu'ils vont passer tes données dans une moulinette spéciale pour extraire le plus d'infos possible avant d'effectivement l'effacer.

              Ça c'est fait en continue au fur et à mesure.

              Et il me semble bien (à vérifier) que tu n'as pas de droits particuliers sur les données extraites par un algo à partir de tes données.

              Ça devient complexe. Ils est impossible d'extraire le poids que tes données ont eu sur l'apprentissage d'un réseau de neurone par exemple. Le seul moyen technique serait d'obliger à détruire/reconstruire. Ce qui est de toute manière fait quoi qu'il arrive.

              Pour faire des calculs sur des comportements, la majeure partie (celle qui fait du business, le reste c'est de la R&D) utilisent des données extrêmement fraiches. Pour amazon par exemple, les modèle d'achats de décembre n'ont plus d'intérêt aujourd'hui et n'auront pas d'intérêt en décembre prochain non plus.

              Pour des aspect plus simples, on doit pouvoir calculer l'inverse de ton usage pour le soustraire, mais je ne suis pas certains que ce soit enviable. Est-ce que tu veux que tes achats soient soustrait du CA d'une entreprises par exemple ?

              https://linuxfr.org/users/barmic/journaux/y-en-a-marre-de-ce-gros-troll

  • # Pourquoi ne pas passer sur un vrai réseau décentralisé éprouvé ?

    Posté par  . Évalué à 10. Dernière modification le 14 janvier 2021 à 22:46.

    J'ai plusieurs amis dans le même cas qui sont entrain de sortir de what's ap. Malheureusement, avec le matraquage publicitaire de signal (y'a même le monde qui s'y met), on oublie juste l'essentiel je trouve : le partage de l'infrastructure par plusieurs acteurs et l'ouverture du réseau.

    Signal a pour lui d'être libre côté client et serveur (ce qui est déjà super!) par contre, il n'y a qu'une société qui gère ce réseau.

    J'ai retesté xmpp, que j'avais abandonné il y a quelques années à cause de sa complexité et ses clients pas totalement compatibles, et j'ai été très agréablement surpris !

    Avec Quicksy sous android, c'est d'une simplicité déconcertante l'installation et l'utilisation (testé sur un téléphone tiers). N'ayant pas de smartphone, j'ai lié mon adresse xmpp (jid) avec mon numéro de téléphone pour que mes amis puissent me retrouver automatiquement. Ça m'a coûte 5€ mais vu le travail du développeur, ça me paraît juste. Mes amis par contre n'auront rien à payer.

    • disponible sur le store google et fdroid
    • pour le côté messagerie rapide, ras, tout fonctionne : autocollants, accusés, statu en cours d'écriture, partage de fichiers sons, images et vidéos de façon instantanné avec redimensionnement et ré-encodage transparent si ils sont trop gros
    • chiffrage omemo de bout en bout pour au minimum tous les comptes qui ont été crée avec quicksy
    • chat vidéo et ou audio en live fonctionnel
    • possibilité de créer très simplement des groupes de discussion privé et publics avec partage de toutes les ressources qui y ont été postés
    • je me suis monté un petit blog avec movim avec cette même adresse xmpp. Je peux partager le lien html statique publique et mes correspondants pourront commenter les articles depuis leur compte xmpp sous movim

    bref ça roule d'enfer, c'est le retour gagnant d'xmpp :) !

    https://solar.lowtechmagazine.com/fr/ pour les amoureux de la technique élégante

    • [^] # Re: Pourquoi ne pas passer sur un vrai réseau décentralisé éprouvé ?

      Posté par  . Évalué à 3.

      Matrix / Element
      Les messages au-dessus signalent que Matrix/Element fonctionne bien. Mais mon expérience est mauvaise, avec un seul contact et sur l'appli F-Droid. Mais ce contact a essayé avec plusieurs destinataires, en appli F-droid et GNU/Linux et mêmes problèmes :
      - contacts sur matrix.org qui ne sont pas trouvés
      - les appels A/V souvent n'aboutissent pas
      - écho affreux chez mon destinataire (à cause de mon Fairphone 2 ?)
      Saturation des serveurs Matrix ? Vous avez testé d'autres instances publiques ?

      Jami
      Les problèmes :
      - les messages ne sont reçus que parfois des jours après… et viennent d'un coup, et pourtant l'appli est en tâche de fond.
      - les appels A/V souvent n'aboutissent pas
      - écho affreux chez mon destinataire (à cause de mon Fairphone 2 ?)
      - transfert de fichiers fonctionnant rarement ("pair injoignable")

      Je n'ai pas creusé pour l'instant mais si vous avez des problèmes similaires.

      Du coup, XMPP avec Blabber (serveur allemand) :
      Cela fonctionne nickel, je reprends les atouts :
      - décentralisé
      - pas de numéro de tél.
      - groupes
      - réactif (y compris pour les accusés de réception)
      - QR code

      Si mes souvenirs sont bons le QR code dans Jami, représente l'adresse mais aussi certifie un équipement pour cette adresse. Je ne sais pas s'il en est de même pour Element et Blabber.

      • [^] # Re: Pourquoi ne pas passer sur un vrai réseau décentralisé éprouvé ?

        Posté par  . Évalué à 4. Dernière modification le 27 janvier 2021 à 09:49.

        Si mes souvenirs sont bons le QR code dans Jami, représente l'adresse mais aussi certifie un équipement pour cette adresse.

        Pour autant que je puisse en juger à l’œil, les QR codes sur mon PC et de mon smartphone sont identiques. Fort heureusement d'ailleurs, car je me verrais mal d'avoir à donner autant d'identifiants que d'appareils sur lesquels j'utilise un même compte Jami !

        Pour les autres problèmes évoqués sur Jami, je n'ai pas cette mauvaise expérience mais mon utilisation est pour le moment très restreinte ; un seul correspondant. Ceci dit, même si je considère que Jami fonctionne bien pour mon usage limité, ça reste un projet en plein développement avec une nouveauté importante (les groupes) qui induit de nombreux changements, notamment sur la synchronisation des messages (y compris sur les conversations 1-1 puisque ces dernières s'effectueront aussi dans le cadre technique d'un groupe).

        Un point important avec Jami : c'est du distribué, pas du décentralisé => il n'y a pas de serveur intermédiaire => il est impossible pour Jami d'envoyer un message si le destinataire n'est pas connecté ; il le prend en compte localement et je suppose qu'il réessaie périodiquement mais il est possible que dans le cas d'un fichier, il se contente de refuser immédiatement, d'où peut-être le "pair injoignable". Par ailleurs, à l'arrivée, la version Android de Jami utilise le système de push de Google, ce qui n'est pas le cas de la version F-Droid, ça peut aussi expliquer des différences de comportement (un bug sur une version et pas sur l'autre).

        Bref, pour moi, Jami reste la cible "idéale" mais pour ceux qui veulent une solution aujourd'hui et maintenant, il vaut mieux faire un autre choix (XMPP a ma préférence idéologique sur Matrix).

        • [^] # Re: Pourquoi ne pas passer sur un vrai réseau décentralisé éprouvé ?

          Posté par  . Évalué à 1.

          Merci pour ce retour. J'obtiens "pair injoignable" la plupart du temps alors que le destinataire est bien connecté puisqu'il est affiché avec un point vert.
          D'un côté comme de l'autre c'est la version F-Droid.

          Pour le QR code, je ne me souviens donc plus où j'ai vu cela. Et du coup, ce ne doit pas être le QR code, mais un autre moyen pour que la rencontre physique des correspondants apporte une précaution supplémentaire à l'avenir. Je sais encore moins comment.

          • [^] # Re: Pourquoi ne pas passer sur un vrai réseau décentralisé éprouvé ?

            Posté par  . Évalué à 3.

            mais un autre moyen pour que la rencontre physique des correspondants apporte une précaution supplémentaire à l'avenir.

            Jami est multi-devices pour un même compte et, d'un point de vue fonctionnel, ne permet pas à un contact de choisir/savoir à quel device de son correspondant il s'adresse (son correspondant peut lui en donner la possibilité s'il le souhaite en créant plusieurs comptes dédiés chacun à un device mais ils ne seront pas synchronisés entre eux).

            Pour en revenir à l'aspect sécurité que tu évoques, il y a deux façons d'installer un compte déjà existant sur un nouveau device :

            1) soit en le "reliant" (avec échange d'un code PIN) à un autre device ayant déjà le compte en question ; on est dans ce cas en principe sûr que cette nouvelle instance du compte est aussi "authentique" que l'autre (désolé si je n'ai pas le bon vocabulaire, je ne suis pas un spécialiste), C'est peut-être ça que tu as vu mais les contacts ne sont pas impliqués dans cette opération et une fois le compte installé sur le nouveau device, rien ne permet (au niveau de l'UI, du moins) aux contacts de les distinguer.

            2) soit en "restaurant" une copie du compte (volée sur un des devices ayant ce compte installé ou bien sur une sauvegarde) => si cette copie est non chiffrée, on peut alors usurper l'identité, et le correspondant n'a aucun moyen de savoir que ce nouveau device est "illégitime". D'où la nécessité de protéger le fichier de compte sur chaque device via l'option "mot de passe" de Jami (ou via un chiffrement du système de fichiers sous-jacent). Ceci dit, il n'y a rien de spécifique à Jami si ce n'est que comme il n'y a pas de serveur central, il semble difficile d'avertir le titulaire qu'un nouveau device s'est connecté sur le compte comme le font de nombreux services cloud.

        • [^] # Re: Pourquoi ne pas passer sur un vrai réseau décentralisé éprouvé ?

          Posté par  . Évalué à 0. Dernière modification le 28 janvier 2021 à 09:37.

          Question efficacité et rapidité, l'infrastructure XMPP n'a plus rien a prouver est de plus standard. Mais peut-être que ça serait intéressant de faire un mix des deux : un client XMPP standard + des fonctions pair à pair de jami comme réseau de secours si le serveur principale a des problèmes ou est en surcharge, JamiX :p (où le retour de X org ;)

          Mais est-ce que le coût de développement supplémentaire est pertinent pour un usage dégradé.. et il faut que d'autres clients implémente jami pour que ça soit intéressant globalement. Il faudrait aussi sûrement trouver d'autres usages propres au p2p pour justifier ça.

          https://solar.lowtechmagazine.com/fr/ pour les amoureux de la technique élégante

  • # Financement de Signal

    Posté par  . Évalué à 4. Dernière modification le 14 janvier 2021 à 23:30.

  • # Briar

    Posté par  . Évalué à 4. Dernière modification le 15 janvier 2021 à 08:34.

    Sans doute pas une alternative grand public, mais une alternative quand même qui n'a pas encore été mentionnée : qui a de l'expérience avec Briar ?

    C'est une appli de messagerie complètement décentralisée, chiffrée de bout en bout, qui essaie de fonctionner même quand internet est KO, et qui utilise Tor le reste du temps.

    Briar permet aussi de publier des blogs et de mettre en place des forums non censurables.

    Ses inconvénients : destinée principalement aux activistes, Briar est sobre en matière de contenu : du texte et des smileys, mais pas d'images ni d'audio/video. Un client pour ordinateur de bureau existe, mais pas de client iOS.

    https://briarproject.org/how-it-works/

  • # telegram vs signal sur ubuntu et ubuntu touch

    Posté par  . Évalué à 2.

    Je voulais partager mes retours d'expérience, et les différences que j'ai constaté entre ces deux applications

    Sur ubuntu,
    - telegram ne permet que les appels audios uniquement
    - signal autorise les appels videos en plus

    Pas d'audio-conférence disponible pour ces applications. J'en parle même pas de la viso-conférence.

    Sur ubuntu touch,
    - signal n'y est pas disponible, mais on peut utiliser axolotl
    - les deux app ne permettent pas les appels videos. Par contre, seul télegram autorise les appels audios

    Une dernière note sur axalotl
    - Je n'ai pas utilisé cet application pendant deux ans, vu que le nombre de contact que j'avais dessus (sur signal) se comptait sur le bout des doigts. Quand je l'ai mis à jour, toutes mes conversations ont été supprimées.
    Je peux le confirmer puisque j'ai temporairement vu mes anciennes conversations sur l'ordinateur avec signal, avant que tout disparaisse.

  • # J'ai ouvert les vannes

    Posté par  (site web personnel) . Évalué à 9.

    Je n'aurai jamais cru déchaîner autant les foules avec mon petit journal (que j'avais commencé dans le forum "Cherche logiciel" mais quand j'ai élargi le propos, je l'ai mis dans un journal).

    Merci à tous pour vos réponses, me voilà maintenant bien plus savant, sur Signal et ses concurrents.

    MA conclusion est que Signal est la bonne solution pour moi et mes groupes (amis et famille).
    Comme je l'ai déjà indiqué, communiquer mon n° de téléphone ne me dérange pas, puisque les gens à qui je m'adresse l'ont déjà. Pour le reste, je fais "confiance" à Signal, tout en surveillant un peu quand même, ce qu'il s'y passe. Et s'il faut changer un jour … et bien je le ferais. Perdre l'historique des messages de rencart pour aller balader ou bien de blagues, n'est pas un réel problème.
    Le gros avantage de Signal est que de nombreux médias en ont parlé (je n'aurai pas de réflexion "d'où ça sort, ton truc tout pourri") et que c'est facile à installer et à utiliser.

    Encore merci à tous pour ces échanges.

    • [^] # Re: J'ai ouvert les vannes

      Posté par  . Évalué à 4.

      Au contraire ton journal tombe à pic dans ce contexte.
      Comme moi aussi "on me demande quoi faire" je m'étais dit que j'allais demander à la communauté et hop, ton journal. Nickel.

      Moi aussi ce serait plutôt Signal pour les amis et la famille. On est plutôt sur Telegram en ce moment mais je sais qu'ils veulent monétiser et que c'est pas chiffré E2E. Je pousserai la migration quand j'aurai réglé mon problème d'installation sur huawei.

      Pour la suite - car il y aura une suite - il y a vraiment beaucoup de candidats : xmpp, matrix, delt-achat, bitmessage. Pour beaucoup, face à un système centralisé, le souci est l'annuaire : comment retrouver un ami.

      • [^] # Re: J'ai ouvert les vannes

        Posté par  . Évalué à 1. Dernière modification le 18 janvier 2021 à 17:55.

        Pour beaucoup, face à un système centralisé, le souci est l'annuaire : comment retrouver un ami.

        Concernant xmpp, 2 solutions faciles après avoir installé quicksy sur ton tel :
        - ton ami ne veux pas se plonger dans les détails technique, donc tu lui fait installer quicksy. Pour le coup vous vous retrouverez automatiquement via votre numéro de téléphone.
        - ton ami est geek et a déjà une adresse xmpp, tu lui envoi un sms et il te l'enverra (comme son nouveau mail) et tu la rajoute manuellement sur ton logiciel. Si cet amis accepte de donner 5€ a un dev compétent, il peux aussi lier son adresse xmpp au numéro de tel dans quicksy pour que sa découverte soit totalement transparente.

        https://solar.lowtechmagazine.com/fr/ pour les amoureux de la technique élégante

        • [^] # Re: J'ai ouvert les vannes

          Posté par  . Évalué à 2.

          On parle de remplacer whatsapp : quid des appels audio et vidéos avec Qicksy ?

          • [^] # Re: J'ai ouvert les vannes

            Posté par  . Évalué à 2.

            Quicksy (tout comme Conversations, Movim et Siskin) permet les appels audio/vidéo à 2 personnes, pour peu que le serveur XMPP de l'appelant prenne en charge STUN/TURN. Et il y en a de plus en plus dans ce cas.

            • [^] # Re: J'ai ouvert les vannes

              Posté par  . Évalué à -1. Dernière modification le 18 janvier 2021 à 21:54.

              Je sais. Mais l'argument pour Quicksy c'était une configuration "facile" où l'utilisateur n'a besoin de s'occuper de rien. Mais ce faisant il n'a pas appel audio ou vidéo.

              Dans le cadre de ce journal où la question posée est par quoi remplacer whatsapp pour ses proches, il reste du chemin à faire. Et avant d'arriver au bout de ce chemin, je ne vois guère que Signal (j'ai installé Jami dont le concept me séduit pas mal mais tant qu'il n'y a pas au moins les groupes je ne peux pas davantage le proposer à mes proches que du xmpp).

              • [^] # Re: J'ai ouvert les vannes

                Posté par  . Évalué à 1. Dernière modification le 18 janvier 2021 à 22:49.

                Il y a les appels vidéo. Je l'ai utilisé aujourd'hui..

                bref, essayes tu verras, ça marche au poil les appels audio et vidéo entre utilisateurs quicksy (et conversations.im)

                Pour les autres geek qui ont déjà une adresse xmpp c'est au cas par cas (et rien ne leur interdit de se prendre une adresse quicksy). Pour la majorité des gens, ça fonctionnera sans aucun problème.

                https://solar.lowtechmagazine.com/fr/ pour les amoureux de la technique élégante

                • [^] # Re: J'ai ouvert les vannes

                  Posté par  . Évalué à 3.

                  J'avais vraiment essayé et je viens de le refaire. Alors, soit je suis aveugle, soit l'ergonomie n'est pas évidente du tout pour mon pauvre cerveau, car la seule chose que je vois c'est la possibilité d'envoyer des fichiers audio et vidéo, pas de faire des appels audio et vidéo.

                  Tu peux me décrire comment faire car c'est ce qui m'avait arrêté dans mon test initial de Quicksy ?

                  (J'ai testé entre deux comptes créés directement sur l'application Quicksy, avec deux téléphones différents bien sûr).

                  • [^] # Re: J'ai ouvert les vannes

                    Posté par  (Mastodon) . Évalué à 2.

                    J'avais vraiment essayé et je viens de le refaire. Alors, soit je suis aveugle, soit l'ergonomie n'est pas évidente du tout pour mon pauvre cerveau, car la seule chose que je vois c'est la possibilité d'envoyer des fichiers audio et vidéo, pas de faire des appels audio et vidéo.

                    Je me sens moins seul :-)
                    J'ai ce genre d'expérience avec Movim et Conversations: pas moyen (pour moi) de trouver comment faire des appels vidéos.

                    Surtout, ne pas tout prendre au sérieux !

                    • [^] # Re: J'ai ouvert les vannes

                      Posté par  . Évalué à 3.

                      D'une façon générale, ça ne peut marcher que si les serveurs xmpp des correspondants supportent la fonctionnalité, ce n'est pas lié au client : tant Conversations que Movim supportent les appels vidéos, il me semble. Mais, justement, dans le cas de deux correspondants sur quicksy.im, utilisant le client Quicksy, c'est supposé marcher et pourtant je n'y arrive pas.

                      • [^] # Re: J'ai ouvert les vannes

                        Posté par  (site web personnel) . Évalué à 3.

                        Vérifie si des deux côtés il y a une souscription mutuelle. Dans le client Quicksy, dans les détails du contact, il faut avoir « Envoyer mes màj de disponibilité » et « Recevoir ses màj de disponibilité » cochés, du côté de chaque correspondant.

                  • [^] # Re: J'ai ouvert les vannes

                    Posté par  . Évalué à 1. Dernière modification le 19 janvier 2021 à 12:30.

                    alors (avec un correspondant qui utilise quicksy ou movim) :
                    - tu sélectionnes le contact
                    - à côté du nom du contact tu as à droite une icône qui représente un petit combiné "old school"
                    - quand tu le sélectionnes, il te propose appel audio ou appel vidéo

                    https://solar.lowtechmagazine.com/fr/ pour les amoureux de la technique élégante

                  • [^] # Re: J'ai ouvert les vannes

                    Posté par  . Évalué à 4.

                    C'est officiellement confirmé : je suis aveugle, je viens seulement de voir le téléphone old school ! Je crois que je vais essayer de sortir discrètement de ce fil sans me faire remarquer…

                    • [^] # Re: J'ai ouvert les vannes

                      Posté par  . Évalué à 2.

                      J'ai peut être parlé trop vite : je vois (maintenant) un téléphone à droite de mon contact, mais lui lui ne l'a pas. De là à penser que je ne l'avais pas non plus au début mais qu'il est apparu suite à je ne sais quelle manip, il n'y a qu'un pas que je suis tenté de suivre car ce téléphone, il est quand même difficile à rater.

                      Donc pour le moment je peux appeler mon correspondant mais lui ne peut pas m'appeler…

                      • [^] # Re: J'ai ouvert les vannes

                        Posté par  (site web personnel) . Évalué à 2.

                        Une reconnexion, un redémarrage ? Si ton correspondant a bien une version de Quicksy à jour, a bien les 2 cases cochées pour les mises à jour de disponibilité, c’est peut-être quelque chose à tenter. Cette fonction, comme d’autres choses, sont assez récentes, et ont peut-être encore des améliorations à avoir. Et les moyens derrière XMPP ne sont pas comparables aux gros acteurs comme Signal et WhatsApp.

                    • [^] # Re: J'ai ouvert les vannes

                      Posté par  (Mastodon) . Évalué à 2.

                      C'est officiellement confirmé : je suis aveugle, je viens seulement de voir le téléphone old school ! Je crois que je vais essayer de sortir discrètement de ce fil sans me faire remarquer…

                      Je cherche encore dans Conversations… à toute fin utile, je vais prendre RDV chez mon ophtalmo.

                      Surtout, ne pas tout prendre au sérieux !

                      • [^] # Re: J'ai ouvert les vannes

                        Posté par  (Mastodon) . Évalué à 2.

                        Je l'ai trouvé le vieux téléphone mais ma vue n'est pour rien dans mes échecs précédents.

                        Il me semble qu'il faut que le contact soit connecté pour que le téléphone apparaisse. Faut le savoir.

                        Sinon, premier test d'appel vidéo pas super convaincant.

                        Surtout, ne pas tout prendre au sérieux !

                        • [^] # Re: J'ai ouvert les vannes

                          Posté par  . Évalué à 4.

                          Il me semble qu'il faut que le contact soit connecté pour que le téléphone apparaisse. Faut le savoir.

                          Dans mon cas les deux étaient connectés (je le sais car j'avais les deux smartphones sous la main) mais il n'y avait que moi avec l’icône old phone. Puis mystérieusement, sans rien faire, quand j'ai regardé quelques heures plus tard, l’icône est apparu sur l'autre aussi.

                          C'est un peu gênant mais on peut supposer que c'est un bug qui sera corrigé, ça n'invalide pas la solution, ça empêche juste de la conseiller tout de suite à n'importe qui. Il me reste à tester la qualité des appels.

            • [^] # Re: J'ai ouvert les vannes

              Posté par  . Évalué à 3. Dernière modification le 19 janvier 2021 à 15:45.

              Et il y en a de plus en plus dans ce cas.

              quicksy.im n'est pas dans la liste que tu cites, ceci explique peut-être cela…

        • [^] # Re: J'ai ouvert les vannes

          Posté par  . Évalué à 3. Dernière modification le 19 janvier 2021 à 10:12.

          Ayant ré-installé Quicksy pour re-faire un test sur les appels audio et vidéo que je n'ai pas vu la première fois, je m'aperçois que les messages échangés lors de la première installation ne sont plus lisibles. L'appli me dit que les messages n'ont pas été chiffrés pour cet appareil (alors qu'il s'agit du même téléphone et de la même SIM). S'il faut que l'utilisateur fasse une manipulation sur les clés pour qu'elles survivent d'une installation à l'autre ou à un changement d'appareil, on s'éloigne de ce qu'on appelle une "solution facile". Je ne suis pas contre un léger prix à payer pour une plus grande ouverture mais il manque à minima une alerte lors de l'installation pour avertir l'utilisateur qu'il doit faire quelque chose pour sauvegarder ses clés (de mémoire, cette alerte existe sous Jami).

          • [^] # Re: J'ai ouvert les vannes

            Posté par  . Évalué à 2.

            Tu as la fonction "créer une sauvegarde" dans les paramètres qui est fait pour ça. Ça récupère tes données et ta clef omemo. C'est le genre de manipulation qui ne me paraît pas extraordinaire quand on change de téléphone.

            Sinon c'est vrai que si il régénère une clef quand on le réinstalle, il serait judicieux de l'indiquer quelque part. Je ferai une issue sur le github à l'occasion :)

            https://github.com/iNPUTmice/Conversations#how-do-i-backup--move-conversations-to-a-new-device

            https://solar.lowtechmagazine.com/fr/ pour les amoureux de la technique élégante

            • [^] # Re: J'ai ouvert les vannes

              Posté par  . Évalué à 2.

              C'est le genre de manipulation qui ne me paraît pas extraordinaire quand on change de téléphone.

              Non, je suis d'accord. Encore faut-il que les convertis de whatsapp/signal, qui eux n'avaient pas ce souci, le sachent via un warning (dès le premier lancement après l'installation, attendre de changer de téléphone n'est pas prudent car on peut le perdre).

  • # L'avis d'un expert sécurité

    Posté par  . Évalué à -7.

    C'est Signal:
    Texte du lien

  • # Pérennité d'un identifiant xmp/matrix/... vs pérennité d'un n° de téléphone

    Posté par  . Évalué à 2.

    Une question qui peut se poser par rapport aux solutions basées sur le numéro de téléphone comme Whatsapp ou Signal est celle de la pérennité de l'identifiant (xmpp, matrix, …) qui dépend de celle du serveur sur lequel le compte a été créé.

    Je pense pouvoir garder mon numéro de téléphone très longtemps et, en principe, ça ne dépend que de moi. Ce n'est pas le cas d'un identifiant xxx@serveur-xmpp sur un serveur qui peut disparaître pour plein de raisons que je ne maîtrise pas.

    • [^] # Re: Pérennité d'un identifiant xmp/matrix/... vs pérennité d'un n° de téléphone

      Posté par  (site web personnel) . Évalué à 2.

      Pour le numéro de téléphone, je connais pas mal de personnes qui en ont changé, même plusieurs fois. Il peut y a diverses raisons à cela, comme un changement de pays, une offre différente, etc.

      Pour XMPP, c’est comme pour les emails. Le mieux, mais pas le plus généralisé, est d’avoir son propre nom de domaine, et ensuite on peut changer de fournisseur sans changer d’identifiant. Et même, peut-être qu’on peut avoir des outils pour simplifier la migration, avec ou sans changement d‘identifiant.

      Aussi, si tu veux maitriser le seveur XMPP, tu peux avoir le tiens. C’est beaucoup plus simple et léger qu’être son propre fournisseur de téléphone, Signal (et dans ce cas, ce n’est même pas fédéré) et dans une moindre mesure, Matrix.

      • [^] # Re: Pérennité d'un identifiant xmp/matrix/... vs pérennité d'un n° de téléphone

        Posté par  . Évalué à 2. Dernière modification le 19 janvier 2021 à 18:08.

        Il peut y a diverses raisons à cela, comme un changement de pays, une offre différente, etc.

        Une grande majorité de gens ne change pas de numéro et, quand bien même ça dépend en général d'eux : que ce soit pour un changement d'offre ou même si un opérateur fait faillite, la portabilité assure le maintien chez un autre opérateur.

        Pour XMPP, c’est comme pour les emails.

        C'est vrai mais il y a quand moins de chance de voir gmail disparaître qu'un serveur xmpp. Et puis les mails, c'est comme ça, j'ai pas le choix alors que pour la messagerie, j'ai le choix.

        Le mieux, mais pas le plus généralisé, est d’avoir son propre nom de domaine.

        C'est mon cas pour les mails mais est-ce que ça s'applique à xmpp ? Est-ce que je peux communiquer à mes contacts un id de la forme xxx@mondomaine tout en ayant un compte yyy@unserveurxmpp (avec yyy pouvant être différent de xxx car peut-être déjà pris sur le serveur xmpp en question) ?

        Aussi, si tu veux maîtriser le serveur XMPP, tu peux avoir le tiens.

        Non merci !

        • [^] # Re: Pérennité d'un identifiant xmp/matrix/... vs pérennité d'un n° de téléphone

          Posté par  (site web personnel) . Évalué à 3.

          Une grande majorité de gens ne change pas de numéro et, quand bien même ça dépend en général d'eux : que ce soit pour un changement d'offre ou même si un opérateur fait faillite, la portabilité assure le maintien chez un autre opérateur.

          La portabilité n’existe pas forcément dans tous les pays, ou n’est pas toujours gratuit, et peut comprendre des délais. Je ne connais pas de portabilité entre les pays. Et les opérateurs sont parfois aussi un peu nuls, et si tu veux changer d’offres chez le même opérateur sans payer plus, tu changes de numéro.
          Bon perso, je n’ai jamais changé mon numéro depuis que j’en ai eu un (après tous mes amis), et j’ai gardé mon numéro français alors que je ne réside plus en France, et j’ai du coup deux numéros.

          C'est vrai mais il y a quand moins de chance de voir gmail disparaître qu'un serveur xmpp. Et puis les mails, c'est comme ça, j'ai pas le choix alors que pour la messagerie, j'ai le choix.

          C’est marrant, avant Gmail faisait du XMPP fédéré. Et j’ai une adresse XMPP en @im.apinc.org depuis bien longtemps, que j’utilise toujours, et alors même que l’association APINC n’est plus. J’ai perdu mes contacts Gmail, mais pas le reste.

          C'est mon cas pour les mails mais est-ce que ça s'applique à xmpp ?

          Oui. Plusieurs fournisseurs le permettent, comme JabberFR (comme indiqué récemment ici), conversations.im ou Hot-Chilli.

          Est-ce que je peux communiquer à mes contacts un id de la forme xxx@mondomaine tout en ayant un compte yyy@unserveurxmpp (avec yyy pouvant être différent de xxx car peut-être déjà pris sur le serveur xmpp en question) ?

          Tu veux dire un alias ? Je ne sais pas. Mais tu peux avoir un compte xxx@mondomaine chez le fournisseur unserveurxmpp qui le permet.

    • [^] # Re: Pérennité d'un identifiant xmp/matrix/... vs pérennité d'un n° de téléphone

      Posté par  . Évalué à 6.

      En France, un numéro de téléphone est plutôt pérenne, oui.

      Par contre, je n'en ai qu'un seul. C'est un problème, comment je fais pour séparer vie privée et vie professionnelle ? Ou gérer mes différentes identités en ligne, comme mon pseudonymat sur ce site, et mon identité « officielle » sur d'autres ?

  • # Pourquoi ca me rappelle Skype ?

    Posté par  . Évalué à 4.

    Je suis bien conscient que Signal est pour le moment la moins mauvaise solution grand public, mais j'ai comme l'impression que c'est le meme style de situation que les migrations MSN vers Skype il y a 10 ans, avant le rachat par MS…

    Meilleur en sécurité, utilisable, passe a travers toutes les configs réseaux …

    Et peu après le rachat, tous les points ont été démontés un par un par MS.

    Je suis le seul à avoir cette impression ?

    • [^] # Re: Pourquoi ca me rappelle Skype ?

      Posté par  . Évalué à 2.

      Euh, on parle de logiciels libres.

      • [^] # Re: Pourquoi ca me rappelle Skype ?

        Posté par  . Évalué à 6.

        Logiciel libre en lecture seule…
        Dans le sens où son job principal est la communication avec leur silo, et la moindre modification du soft t'éjecte de ce silo.
        Rien ne l'interdit, mais ça encourage le côté "suis nous et ferme-la" qui colle moyennement avec certaines valeurs qu'on colle au libre. (Zenitram dirait qu'on les colle sans qu'elles y soient a l'origine, m'enfin c'est une autre histoire)

        J'espère que ça ne tournera pas dans le même sens et que signal ne commencera pas a démonter ses propres qualités (volontairement ou pas) comme l'avait fait Skype, sous l'impulsion de MS.

  • # Non, Signal n’est pas la bonne alternative.

    Posté par  (site web personnel) . Évalué à 6.

    • Signal n’est pas fédéré, et fier d’être donc centralisé. En utilisant tous Signal, on dépend tous d’un même fournisseur. C’est un peu mieux que WhatsApp, c’est libre, et on peut théoriquement refaire un autre Signal ailleurs, au besoin, même si ce n’est vraiment pas facile et ferait tout de même une nouvelle migration pour tous les utilisateurs.

    • Signal nécessite un smartphone Android avec un compte Google ou un iTruc. Je cite : « To use the Signal desktop app, Signal must first be installed on your phone. » Il y a peut-être des solutions de contournements, mais en général ça ne leur plait pas. Ils ne mettent pas en avant le téléchargement direct de l’APK pour Android, mais cela reste possible.

    • Ils ne veulent pas être sur F-Droid. Ils ne peuvent pas l’interdire, mais pour être sur le dépôt officiel de F-Droid, il faut l’accord de Signal. Les dépôts alternatifs pour F-Droid ont moins de succès, tout relatif, par rapport au dépôt F-Droid. Bizarre.

    • Signal ne veut pas de fork sur leur instance (et rappel, leur instance n’est pas fédérée).

    • Signal dépend d’un numéro de téléphone. Ça va peut-être changer, ou non. Et en général ils peuvent changer leurs règles comme ils veulent.

    • Signal n’est pas si sécurisé, moins que XMPP avec OMEMO. Peut-être qu’il peut y avoir des améliorations, ou peut-être des régressions, et comme on dépend d’un seul fournisseur…

    • Une association fondation sans but lucratif n’est pas une garantie pour œuvrer au bien commun. Et puis, c’est une entreprise à but lucratif, Signal Messenger LLC, filiale de Signal Technology Foundation qui développe Signal. Qu’est-ce qui empêche le rachat de Signal Messenger LLC ou de Signal directement ?

    • Signal utilise l’infrastructure des gros (Amazon, Google, Microsoft, Cloudfare). On peut vérifier avec les adresses.

      Amazon: textsecure-service.whispersystems.org, cdn.signal.org, sfu.voip.signal.org
      Google: storage.signal.org, contentproxy.signal.org
      Microsoft: api.directory.signal.org, api.backup.signal.org
      Cloudflare: cdn2.signal.org

    On peut développer encore la critique.

    Je pense que la bonne alternative est XMPP. C’est le standard, évolutif, fédéré. On peut même s’héberger soi-même sans machine de guerre, ou faire confiance à un hébergeur de notre choix. On constate une bonne évolution ces derniers temps, avec pourtant peu de moyens en comparaison à bien d’autres acteurs. Il y a des améliorations à faire encore, c’est sûr, mais c’est aussi à nous de faire en sorte que cela devienne la norme, en évitant par exemple Signal ou dans une moindre mesure Matrix.
    On peut aussi promouvoir des systèmes avec d’autres principes, comme Jami et Silence, avec leurs avantages et inconvénients.

  • # L'ironie

    Posté par  . Évalué à 0.

    Ce qui est ironique, c'est que les gens qui crient le plus à cause des conditions générales de WhatsApp, sont les premiers à utiliser FaceBook qui a les mêmes (si c'est pas pire), et ce depuis un moment.

Suivre le flux des commentaires

Note : les commentaires appartiennent à celles et ceux qui les ont postés. Nous n’en sommes pas responsables.