Signal a renoncé à la fédération ... c'est le moment d'y revenir

Les utilisateurs de Signal en payent le prix cette semaine. Les serveurs de Signal sont en difficulté technique pour cause d’un afflux de nouvelles personnes inscrites, suite aux changement des conditions d’utilisation de Whatsapp. 50,000 hier parait-il.

Le projet Signal, bien que logiciel libre (client et serveur), n’est pas favorable à ce qui va autour. Il n’est par exemple pas question depuis 2016 qu’un client compatible se connecte aux serveurs. Il a aussi poliment mais fermement dit non merci aux propositions de faire des paquets pour Debian GNU/Linux. Et déclare abandonner l’idée de fédération:

It is unlikely that we will ever federate with any servers outside of our control again, it makes changes really difficult.

Une position qui ne s’est pas démentie depuis. Arcbouté sur le modèle centralisé, la migration des utilisateurs de Signal cette semaine pourrait avoir deux conséquences:

• L’audience de Whatsapp va en pâtir et passer de plus de 2 milliards à … plus de 2 milliards
• Les utilisateurs de Signal auront appris que 50,000 utilisateurs de plus c’est un peu la folie pour Signal et que ça s’écroule. Alors pour arriver à 1 million, sans parler d’un milliard… ils jouent pas dans la cour des grands, c’est clair (je noircis un peu le tableau mais c’est pas très loin)

On peut espérer que la conclusion sera de faire amende honorable et de changer d’attitude vis à vis de la fédération. Pour que la prochaine bêtise de Facebook permette à un milliard de personnes de s’échapper dans une constellation de services fédérés apparue dans la nuit.

Croisons les doigts

Merci @dachary pour ce poste bien sourcé !

Un peu facile de critiquer le passage à l’échelle par contre, + 50 000 utilisateurs / jour c’est compliqué à gérer si ton infrastructure est dimensionnée pour 1 000 fois moins, même dans un écosystème fédéré !

Je pense d’ailleurs que c’est le moment de mentionner de nouveau matrix pour ceux qui voudraient fuir whatsapp, idéalement chez un chaton proposant le service plutôt que sur le serveur principal

Merci pour ce message.
La question de la centralisation de Signal me turlupine en effet… et j’ai des difficultés à me convaincre dans un sens comme dans l’autre.

En particulier, je ne suis pas assez compétent pour estimer l’impact sur la sécurité que représenterait une fédération (y compris sur la question des mises à jour, des erreurs humaines…)

J’ai bien conscience que ce sont des peurs qui se rapprochent des arguments des logiciels privateurs, mais ici, des personnes risquent littéralement leur vie sur Signal. D’où ma difficulté à me faire un avis éclairé face à ceux dont j’estime la compétence très forte en matière de sécurité.

Un détail, mais ce sont plusieurs millions voire dizaines de millions de nouveaux utiisateurs!

S’il y avait une fédération de serveurs Signal chaque serveur serait maintenu dans des conditions de sécurité différentes. Il y en aurait qui seraient troués de partout et d’autres qui seraient maintenus avec soin. Note que l’argument qui est donné pour ne pas travailler à la fédération ce n’est pas que c’est moins sécurisé mais que c’est plus difficile. Certes. Mais c’est aussi tellement plus fragile de ne pas être fédéré, on s’en aperçoit maintenant.

Oui, je suis tout à fait d’accord sur la fragilité des systèmes centralisés. Et de façon générale (même si là, on ne dirait pas…), je suis très enthousiaste concernant les fédérations.

Mais dans ce cas précis, je suis sincèrement indécis (pour cette raison je ne défends pas des arguments forts). Je tiens pour assez crédible que Signal offre un des plus hauts niveau de sécurité (et de bonnes propriétés, forward secrecy, plausible deniability, expéditeur scellé, etc - des bonnes propriétés qui peuvent bien entendu exister dans des systèmes décentralisés) aujourd’hui, et que sa bonne utilisation laisse peu de marge à la négligence humaine. Il faudra juste faire attention de pas utiliser une ROM avec un clavier keylogger, ce genre de trucs.

Mais dans un système fédéré, la confiance étant distribuée (ce qui est en général une bonne chose), à chaque fois que je veux parler de manière strictement confidentielle à un interlocuteur, je dois regarder sur quelle instance il se trouve et évaluer moi-même son niveau de sécurité. Ça laisse beaucoup plus de place aux erreurs, aux backdoors, etc.

Du coup, ma position molle est un peu la suivante : en matière de vie privée, d’outils en ligne, de réseaux sociaux, je suis convaincu par la nécessité de décentraliser. En matière de sécurité, surtout quand il en va de la vie des gens (ce n’est pas un argument par les sentiments!), je suis moins sûr. Et je n’ai pas l’impression qu’il y a ait d’exemple vraiment réussi. Au fond, DNSSEC, c’est centralisé, OpenPGP, aujourd’hui ça l’est de fait, les PKI aussi…

Mais le débat reste entièrement ouvert, et très sincèrement je pense que Matrix remplit très bien les besoins en matière de confidentialité du grand public (répond bien au modèle de menace j’entends), et que des situations extrêmes comme celles que j’ai évoquées ne justifient donc pas un modèle centralisé pour tout le monde. Et ça se tient.

Au final… je n’arrive toujours pas à me fixer.

En même temps, imaginons un instant que dans un futur proche, quelqu’un dénonce avec force et raison la réalité du sérieux de la sécurité offert par ces gens (qui eux, se confortent dans leur conviction et n’entendent pas bouger). Quelle est alors l’alternative ?

En comparaison, si demain mon fournisseur de service smtp/imap me déplaît ou perd ma confiance, j’en change aisément et de façon transparente en changeant deux records dans mon DNS.

@PoluX j’entends tout à fait ton argument.

À titre très personnel, j’ai beaucoup plus de facilité à faire confiance à un groupe de personnes sur sa volonté de protéger ma vie privée (comme nous autres CHATONS!) qu’à un groupe de personnes sur sa capacité à assurer la sécurité de son infrastructure. Et en particulier, ma confiance pour l’équipe de Signal sur ce point est très haute ; j’aurais du mal à construire la même confiance pour d’autres communautés, ou bien il me faudrait à chaque fois du temps d’étude et d’expérience.

Or, dans un contexte où j’aurais un besoin très fort de confidentialité, cette incertitude peut être dangereuse.

Comme je le disais dans mon précédent post, on peut me répondre que je parle de cas extrêmes, et que de toute façon les personnes qui ont un tel besoin de confidentialité n’auraient pas « juste » Signal et sécuriseraient sur toute la chaîne.

Je fais juste part de mon sentiment, j’ai sincèrement du mal à me fixer sur une position.

Aujourd’hui, dans un contexte de très fort de confidentialité, je déconseille de mettre les informations concernées dans un technosystème, partiellement opaque et dépendant de la moitié de la planète.

Il me semble que ta remarque sort un peu du cadre de la discussion. À ce moment là, on jette tous les lanceur·se·s d’alerte numérique, Tor, Qubes/Whonix, parce que la chaîne est trop complexe, immaîtrisable, etc.

Pourquoi pas, mais c’est une proposition beaucoup plus large.

Si on pose comme axiome que de toute façon la confidentialité n’est pas atteignable sur des outils numériques (atteignable pas au sens de 100%, mais dans un modèle de menace donné), alors oui, moi je suis carrément ok pour abandonner toute centralisation…

Je ne sais pas. Perso si je veux éviter de me sacrifier, je ne mettrais clairement pas des informations mettant ma vie en danger dans les mains d’un ordiphone, de Signal, et d’un ordiphone destinataire dont j’ignore les pratiques.

Si on compare par exemple avec un système comme Enough ou SecureDrop, une idée importante me semble t’il c’est la création d’un îlot de confidentialité le moins « étendu » possible (Tails, Tor, et le service web derrière le THS, avec quelques précautions supplémentaires sur le matériel employé des deux bouts de la chaîne). Donc justement il s’agit le moins possible d’impliquer la moitié de la planète dans une technostructure opaque.

Et c’est malgré ça interrogeant i) sur notre capacité collective à promettre l’existence d’un tel îlot (car on voit bien que ça reste compliqué et limité), et ii) sur la capacité du lanceur d’alerte de ne pas se trahir par la violation accidentelle d’une hygiène fragile.

Clairement. Concrètement ce problème concerne une poignée de personnes dans le monde, même si on ratisse très large. Cela ne veut pas dire qu’il ne faut pas s’en occuper, au contraire et c’est ce qui a motivé mon année de bénévolat à la Freedom of the Press Foundation pour travailler sur SecureDrop: son président fait partie de cette minuscule population. Leur petit nombre présente un avantage essentiel: on peut faire, pour chacun·e d’eux/elles, un système ad-hoc.

Prenons le cas de E. Snowden qui a écrit qu’il n’est pas encore mort malgré le fait qu’il utilise signal quotidiennement. Comme le suggère justement PoluX, il ne faut pas faire confiance à des intermédiaires quand on veut communiquer confidentiellement. Mais je pense que les relations entre lui et Signal font que, dans son cas particulier, c’est moins un intermédiaire qu’une relation de confiance de personne à personne aussi forte qu’on peut l’imaginer.

Et pour en revenir à l’exemple de Signal, on peut imaginer que dans une fédération de serveurs je pourrais compter sur le fait que lorsque deux personnes communiquent sur le même serveur (et qu’elles gèrent ce serveur pour se passer d’intermédiaire), alors les messages n’en sortent pas et la sécurité est au maximum. Dit autrement, lorsque moi@monsignal.org discute avec toi@monsignal.org alors je pourrais être certain que le niveau de sécurité de la communication dépend exclusivement de la rigueur avec laquelle monsignal.org est géré. Par contre lorsque moi@monsignal.org communique avec autre@serveur.poubelle, alors je devrais avoir a l’esprit que le niveau de sécurité est aussi fort que le maillon le plus faible de monsignal.org et serveur.poubelle.

Dans le modèle centralisé de Signal tu n’as pas d’autre choix que de faire confiance à un acteur unique, ou pas du tout. C’est un choix binaire qui ne laisse place à rien d’autre. Dans le modèle fédéré tu peux toujours faire confiance à un acteur en particulier, mais tu as le choix entre une foultitude d’autres. Et si tu choisis de ne pas te soucier de la sécurité, tu es dans la même situation que mastodon: ça peut fuiter de partout.

Merci @dachary et @PoluX pour ces éléments très intéressants qui vont alimenter ma réflexion. Je suis d’accord avec les points que vous soulevez.

J’ai la sensation que le fait que Signal refuse de se fédérer n’est pas un choix technique, mais un choix d’image. Le concept de fédération est encore très mal compris (est-ce une question de temps ? on peut raisonnablement imaginer que oui, le concept de fournisseur mail étant plutôt bien compris).

Si Signal se fédère, que la sécurité d’une instance fédérée est à chier, qu’un·e utilisateurice en subit des préjudices suffisants pour être médiatisés, alors la confiance en Signal (en tant que logiciel, pas en tant qu’instance) va mécaniquement être affectée.

On pourrait alors imaginer un effet boomerang → finalement, Signal c’est pas si sécurisé, restons sur Telegram/WhatsApp.

J’ai vu passer sur Mastodon beaucoup de critiques de Signal suite à sa récente médiatisation, et la lecture de cette longue issue détruisant Signal donne encore des critiques supplémentaires possibles.

Ce qui m’amène à préciser ma difficulté de positionnement depuis le début de notre conversation : quelqu’un qui réalise que WhatsApp ne correspond pas à ses valeurs, entend que Signal est chouette, y va, puis se prend une horde de personnes lui expliquant qu’en vérité, Signal c’est pas beaucoup mieux, centralisé, hostile aux forks, à la fédération, hébergé sur AWS, etc, ça provoque tout de suite de l’impuissance.

« Si c’est pas sur Signal, je vais où alors ? »

Dans ce cas on pourra en effet conseiller des systèmes fédérés, mais il faudra prendre le temps d’expliquer :

« Si la personne que tu essayes de contacter est sur la même instance, et que tu as confiance dans l’honnêteté et la capacité des administrateurices de l’instance à assurer la sécurité de leur infrastructure, alors ton niveau de sécurité sera bon. En revanche, si la personne que tu essayes de contacter est sur une autre instance, alors ta confidentialité dépendra du maillon faible […] »

Ça ne fonctionne pas pour le grand public, qui restera sur les pires solutions (en général, on demande aux alternatives d’être exemptes de tout défaut, sinon on reste sur le premier choix qui comportait des défauts : ça, c’est au doigt mouillé mon impression). L’échec d’OpenPGP en est un exemple. Même chez le taux extrêmement faible de personnes qui utilisent des clés OpenPGP, l’heure est à la centralisation, fini les serveurs de clés distribués. Expliquer la toile de confiance, même à des informaticien·ne·s, est super technique, les trust signatures sont tellement relous que personne ne les utilise, etc.

Clairement, ça n’a pas de sens de pousser la comparaison OpenPGP/serveur de messagerie chiffré et fédéré. Je veux juste illustrer la complexité inhérente à l’explication de la sécurité des systèmes fédérés ou à confiance distribuée (qui est la même complexité que la modération ou le contenu accessible sur des systèmes fédérés).

J’ai donc peur : peur que lorsque l’on parle de confidentialité, un système qui n’est pas centralisé ne puisse pas assurer la confidentialité (et toutes les bonnes propriétés) des échanges pour le grand public (par manque d’information, par manque de compétences, par effet boomerang ou par manque de sécurité des instances), et que les gens restent sur des systèmes vraiment pas sécurisés.

Donc même si je peux paraître défendre un dogme centralisateur, c’est plutôt une peur de faire plus de mal que de bien dans le contexte actuel. Je comprends tous les arguments énoncés. Par ailleurs, quand ça ne concerne pas la confidentialité, je ne me pose même pas la question.

Ce en quoi je crois plutôt pas mal, c’est un système comme Tox. Pas d’instances, le souci ne se pose pas. Je n’arrive pas à estimer à quel point c’est ergonomique et facilement prenable en main pour le grand public.

+1 pour matrix
D’ailleurs après beaucoup de test et de réflexion c’est celui que je recommande.

C’est le mix imparfait mais optimum entre sécurité, simplicité, décentralisation, open source et richesse fonctionnelle.

ARN sans-nuage.fr propose maintenant un bridge signal+matrix+whatsapp

https://forum.chatons.org/t/interoperabilite-passerelle-de-groupes-signal-vers-matrix-et-ou-whatsapp/3391

Afin de faire un tour exhaustif de ce sujet, je (re)partage avec vous l’annonce de cette publication.

Je suis heureuse d’annoncer la publication de mon livre avec Ksenia Ermoshina, « Concealing for Freedom: The Making of Encryption, Secure Messaging and Digital Liberties » (Mattering Press, avril 2022, avec une préface de Laura DeNardis).

Le livre est publié en libre accès et disponible ici dans une variété de formats numériques :
https://www.matteringpress.org/books/concealing-for-freedom
Veuillez cependant envisager d’acheter une copie papier si vous ou votre bibliothèque universitaire pouvez le faire, cela aidera Mattering Press à prospérer.

La publication est accompagnée d’un article de blog qui réfléchit sur la relation entre les phénomènes et les événements décrits dans le livre et les événements actuels: https://www.matteringpress.org/blog/encryption-and-technologies-of-power-in-a-cyber-war-torn-world

Merci à tou.te.s ceux et celles qui nous ont soutenues au cours de cette recherche et de cet effort d’écriture (y compris de nombreux.ses membres de ce GDR), et qui envisagent de lire et/ou d’acheter le livre.

Très cordialement

Francesca (& Ksenia)

Je vous invite à le lire (à l’acheter?) .

[PS] J’avais croisé ces deux personnes à l’occasion du privacycamp2020 à Molenbeek, be. La veille, toujours sur cette belle commune de Molenbeek, j’avais également croisé un autre personnage, Sundar Puchaï. Je ne connaissais aucun des trois. Marrant, non ?

Ben tient, lire et maintenant rencontrer. Même à distance, ça vaut le coup et c’est jeudi 19 mai. Séminaire des groupes de travail «Centre Internet et Société» du cnrs - #13 par stephane