• brsrklf@jlai.lu
    link
    fedilink
    Français
    arrow-up
    30
    ·
    6 months ago

    Sources du dénigrement : “trust me, bro” par Elon Musk, Tucker Carlson, et le président de la techno concurrente.

    Je pense qu’on peut clore le dossier.

    • Bogasse@lemmy.ml
      link
      fedilink
      Français
      arrow-up
      11
      ·
      6 months ago

      Et aussi les groupes télégramme ne sont pas chiffrés de pair à pair (contrairement à signal), dans leur FAQ ils expliquent qu’ils me renforcent quand même les données avec une magouille qui me rend sceptique :

      To protect the data that is not covered by end-to-end encryption, Telegram uses a distributed infrastructure. Cloud chat data is stored in multiple data centers around the globe that are controlled by different legal entities spread across different jurisdictions. The relevant decryption keys are split into parts and are never kept in the same place as the data they protect. As a result, several court orders from different jurisdictions are required to force us to give up any data.

      • Jakylla@jlai.lu
        link
        fedilink
        Français
        arrow-up
        8
        ·
        edit-2
        6 months ago

        Ça reste quand même une sécurité de type “Trust me bro”, si la clef leak ou est donné à une autorité malveillante, l’ensemble des messages sont en clair

        [Edit] Ce qui, on se le dit bien, reste pour autant mieux que d’avoir les messages en clair dans une BDD non sécu

  • raiden@jlai.lu
    link
    fedilink
    Français
    arrow-up
    3
    ·
    edit-2
    6 months ago

    Faut pas éluder le propos parce que c’est l’autre malade qui le scande. On peut aussi avoir un avis objectif je pense.

    C’est pas le serveur de Signal qui est proprio? Ca intègre le service de Google Push … Personnellement ça m’inspire pas super confiance non plus.

    Quitte a être secure je préfère autant du Fédéré avec OTR/PGP sur un serveur que je maitrise et que je déploie ou alors une app 100% P2P. Tout le reste en serveur centralisé ça vaut pas grand chose coté vie privée. Après c’est aussi une histoire de sémantique ou je ne fais pas de distinguo entre vie privée et sécurité c’est pas le cas de tout le monde et j’entends tout à fait.

    • keepthepace@slrpnk.net
      link
      fedilink
      Français
      arrow-up
      3
      ·
      6 months ago

      Les paranos que je connais (et le gouvernement Fr quand il a voulu faire une messagerie secure) choisissent Matrix, un protocole complètement ouvert, fédéré et self-host. Ça vient avec ses propres problèmes mais c’est l’autre solution acceptable.

      Perso je trouve que Signal et Matrix sont les deux meilleures solutions. Après, toutes les solutions chiffrées E2E restent au dessus de Telegram AMHA, ce qui inclue la plupart des messageries modernes (oui, même Facebook messenger). Telegram est contrôlé par un Russe qui vit à Dubai. Qui a eu des démêlées avec le Kremlin mais « les a résolues en faisant plier le gouvernement russe ». Mouais.

      • raiden@jlai.lu
        link
        fedilink
        Français
        arrow-up
        1
        ·
        edit-2
        6 months ago

        Je préfère XMPP le fonctionnement du serveur Matrix est très consommateur de ressources. Il charge au démarrage tous les salons quitte à mettre le serveur qui l’heberge à genoux. XMPP est beaucoup moins gourmand et facilement deployable.

        Du coup comme un serveur Matrix c’est pas un petit serveur c’est en général un tiers de confiance et donc on revient au même problème selon moi. Donc je prvilégie un truc facile, sobre, deployable sans formation, pas forcément le truc le plus secure mais le truc le plus cohérent (pour moi).

        • keepthepace@slrpnk.net
          link
          fedilink
          Français
          arrow-up
          2
          ·
          6 months ago

          Ou mais XMPP y a personne dessus et les clients sont pas au point malgré un protocole qui a des décennies. À ce stade autant utiliser IRCv3.

          Et puis bon, y a des images docker, c’est pas non plus insurmontable d’installer une instance Matrix.

            • raiden@jlai.lu
              link
              fedilink
              Français
              arrow-up
              2
              ·
              6 months ago

              Ok c’est vrai ça. On s’habitue à des situations délétères mais c’est pas une solution en effet. ;)

          • nicocool84@sh.itjust.works
            link
            fedilink
            Français
            arrow-up
            1
            ·
            edit-2
            4 months ago

            y a personne dessus

            Le « marché » de XMPP c’est les chats de groupes privés (famille, copains…) et les chats 1:1 en ce moment, juger le nombre d’utilisateur sur les (rares) groupes publics c’est pas très pertinent.

            les clients sont pas au point

            Les vieux et/ou techno-incultes de ma famille utilisent Conversations, Quicksy et Monal sans problème, ça va le FUD?

            c’est pas non plus insurmontable d’installer une instance Matrix.

            …ouaip d’ailleurs, les salons jlai.lu sont sur… matrix.org, la mega grosse instance sur laquelle tout est. En avoir rien à foutre de la consommation énergétique du bousin, c’est pas très XXIè siècle quand même.

          • raiden@jlai.lu
            link
            fedilink
            Français
            arrow-up
            1
            ·
            edit-2
            6 months ago

            Je connais pas du tout IRCv3 tu piques ma curiosité. XMPP si on se limite a XMPP ouais c’est assez désert mais bon ça peux s’interfacer avec pleins de trucs dont IRC. Après, ok je te rejoins sur le fait que si on commence à mettre des passerelles en place sur son serveur (Matrix, IRC, etc) au final on est plus du tout dans un truc simple.

            C’est pas insurmontable mais tout de même très gourmand en ressources comparé a XMPP. Je te trouve dur avec les clients qu’est ce que tu leur reproche? Les plus avancés sont Gajim et Conversations. Si tu prends ceux-là en exemple quelle fonctionnalité essentielle te fais défaut?

    • rakoo@blah.rako.space
      link
      fedilink
      arrow-up
      2
      ·
      6 months ago

      Un serveur proprio ne change rien avec le chiffrement bout-à-bout et si tu peux avoir confiance dans le client (ce qui je crois est le cas de Signal ?). Google n’a pas accès au contenu des messages, ni même aux métadonnées; Google sait juste que tu utilises Signal.

      • raiden@jlai.lu
        link
        fedilink
        Français
        arrow-up
        0
        ·
        6 months ago

        Peut être mais quitte à choisir je préfère une solution que j’équilibre ou j’adapte même en choisissant de faire des erreurs que me reposer sur l’épaule d’un géant sans savoir où il va.

        Il y a de gros warning à mon sens: Siège social US + Serveur proprio + Play Store + Annuaire centralisé + Obligation du mail ou N° de Téléphone. C’est certainement très secure, prouvé et tout ce qui s’en suis. Par contre sur toutes les autres solutions fédérées personne ne me demande tout ça.

          • raiden@jlai.lu
            link
            fedilink
            Français
            arrow-up
            1
            ·
            6 months ago

            Oui Signal partage moins de metadatas. Mais les metadatas que XMPP envoie sont essentielles et non invasives, de plus il est possible de choisir ses serveurs de confiance et de paramétrer ce que tu envoies. https://xmpp.org/about/myths/

            Une discussion intéressante sur Hacker News soulève également le problème du numéro de téléphone qui est un “lien fort” ce qui se révèle à mon sens + problématique que des metadatas essentielles et limitées dont le protocole a besoin pour fonctionner. https://news.ycombinator.com/item?id=29871358

            On va croire que je suis un pro XMPP à fond alors qu’en fait pas forcément je l’ai déployé par le passé mais actuellement j’ai quelques adresses XMPP et je vais être honnête je m’en sers pas des masses. En réalité ça me semble être une bonne solution à mi chemin pour le particulier un peu curieux qui s’intéresse à sa vie privée. C’est formateur, la communauté est sympa et ça permet en déployant et configurant facilement de comprendre certains concepts.

        • rakoo@blah.rako.space
          link
          fedilink
          arrow-up
          1
          ·
          6 months ago

          (Je parlais juste du côté sécurité, il y a d’autres trucs comme ceux que tu cites qui me font dire que c’est pas la panacée non plus)

    • nicocool84@sh.itjust.works
      link
      fedilink
      Français
      arrow-up
      1
      ·
      6 months ago

      OTR c’est pas dépassé ? Pour info avec XMPP tu peux faire du GPG ou bien du OMEMO si tu veux être plus moderne (c’est le protocol E2EE de Signal, version XMPP).

      • raiden@jlai.lu
        link
        fedilink
        Français
        arrow-up
        1
        ·
        6 months ago

        Oui désolé je suis dépassé et ma langue a fourchée, OMEMO bien sûr! :)