La communication instantanée

Pourquoi pas Signal ?

Très souvent, lorsque l'on cherche une alternative à WhatsApp, une alternative est mise en évidence : Signal. Alors que WhatsApp appartient à Méta, la maison mère de Facebook, Signal se présente comme une application plus respectueuses de nos données.

De fait, Signal présente des avantages indéniables par rapport à WhatsApp :

:green_heart: Recommandée entre autres par Edward Snowden et l'EFF et …

:green_heart: Financée par des personnes fiables, son montage légal, une organisation à but non lucratif, devrait empêcher Signal de tomber dans de mauvaises mains.

:green_heart: Le logiciel est libre : Tant le code des applications que nous installons que nos téléphones que celui du serveur sont accessibles publiquement. Quiconque a les compétences pour lire ce code peut vérifier que Signal n'inclut pas de porte dérobée... Le logiciel n'est pas une boite noire.

:green_heart: Même si certains commentateurs considèrent que Signal pourrait avoir un chiffrement plus robustre encore, Signal a développé un mécanisme de chiffrement permettant une confidentialité persistente dont le principe a inspiré d'autres applications (par exemple par Matrix).

:green_heart: Pour éviter d'avoir trop d'informations à fournir (ou à divulguer involontairement en cas d'attaque), Signal ne conserve les contenus échangés qu'un minimum de temps.

Ce n'est cependant pas une alternative dont nous parlerons aujourd'hui. Pourquoi ?

• D'une part, Signal ressemble beaucoup à WhatsApp, tant à l'installation qu'à l'utilisation. Si l'on sait utiliser WhatsApp, on sait donc en principe utiliser Signal sans réelle difficulté.
  
• D'autre part, c'est un service "centralisé", basé en plus sur une identité bien réelle : le numéro de téléphone.

Qu'entend-on par là ?

Une application de messagerie instantanée peut fonctionner de différentes manière :

💡 Un service centralisé implique que tout le monde doive créer un compte sur le même serveur pour utiliser le service (exemple : tout le monde doit s'inscrire sur WhatsApp pour communiquer avec les personnes qui sont sur WhatsApp). Ceci crée une dépendance forte vis à vis d'une unique entité.

💡 Il existe des réseaux décentralisés et fédérés qui permettent d'utiliser un service mais de choisir où l'on souhaite s'inscrire — un peu comme pour l'email.

La forme du réseau est importante et révélatrice de l'autonomie qu'on laisse aux abonné⋅e⋅s.

Revenons à Signal...

:broken_heart: Sa structure est centralisée. Il n'y a qu'un serveur et il doit être utilisé par celles et ceux qui veulent communiquer ensemble. On peut théoriquement installer son propre serveur, mais il ne sera possible de communiquer qu'avec ses seul⋅e⋅s abonné⋅e⋅s. Cela crée une dépendance forte à la fondation qui détient Signal... qui a déjà annoncé qu'elle cesserait de proposer le service en France si la loi Narcotrafic venait à être adoptée). Comme il s'agit d'une fondation états-uniennes, on peut aussi se poser la question de sa pérennité suite à la réélection de Trump.

:broken_heart: Un compte Signal est lié à un numéro de mobile (smartphone ou GSM, avec une inscription un rien plus compliquée dans ce dernier cas). En Belgique, les numéros de GSM sont liés à une carte d'identité, ce qui rend l'anonymat moins sûr.

:broken_heart: 1 numéro de GSM ⇔ 1 compte Signal…
Donc (pour une utilisation par des travailleurs) Signal n'est pas compatible avec le droit à la déconnexion si l'employeur ne fournit pas un n° professionnel (et un smartphone).

:broken_heart: Comme Signal ne garde pas les contenus délivrés aux appareils abonnés, il n'y a pas d'historique et chaque nouvelle installation (sur smartphone, tablette ou sur PC) démarre donc avec un historique vide.

Un tour des messageries instantanées et de leurs caractéristiques

Si Signal n'est pas une bonne solution à adopter, passons en revue les autres alternatives... : https://cloud.dossogne.eu/s/iBxKzSfiNgD53p6

Au côté des fonctionnalités, le type de réseau et les licences logicielles sont importantes. Lorsque les services ont une architecture centralisée, les conditions d'utilisations peuvent se révéler importantes aussi... Ne faudrait-il pas d'ailleurs questionner la manière dont nous les adoptons sans nous poser de questions ? L'appréciation des conditions d'utilisation et la confiance octroyée à un prestataire de service sont forcément subjectives, mais elles devraient faire l'objet d'une attention.

Ce petit guide reprend les bonnes pratiques et les critères pour adopter ou non un service numérique : https://cloud.dossogne.eu/s/wPCatoqk6DqAKE3

Matrix

Parmi les alternatives existantes, Matrix est une première application qui remplit toutes les conditions pour être l'application de communication instantanée à privilégier...

:green_heart: Matrix n'est pas un logiciel une appli ou une plateforme, mais un protocole. Cela signifie que dire « on va communiquer via Matrix » est aussi peu contraignant pour nos contacts que dire « on va communiquer par e-mail ». Difficile d'imposer moins de contraintes…

:green_heart: On a le choix des logiciels “clients” à installer sur nos appareils (et il y a même un choix— beaucoup plus restreint — pour les logiciels “serveurs”). Même si la possibilité de créer des logiciels propriétaires (= pas libres) existe théoriquement, je n'en connais pas et il est probable que peu d'utilisateurs veuillent s'en servir (et introduire un doute sur ce qui ce passe avec leurs données). Les différents logiciels libres disponibles offrent un choix bien suffisant !

:green_heart: Comme n'importe qui peut installer (sans frais de licence) un serveur Matrix et que les serveurs sont fédérés, il y a un énorme choix de fournisseurs de comptes Matrix, qui devraient vous permettre de communiquer avec n'importe qui sur un serveur Matrix en lien avec les autres. C'est comme ça que vous pouvez affirmer ne contraindre personne, même pas dans le choix du prestataire à qui faire confiance.

:green_heart: La sécurité est loin d'être en reste, puisque le gouvernement français a fait développer Tchap, une plateforme basée sur Matrix (et son prédécesseur Riot) pour garantir la confidentialité de ses échanges? Tchap n'est pas fédéré et fonctionne donc en vase clos.

:green_heart: Un compte Matrix n'est pas lié à un appareil ou à un numéro de téléphone. Même pas à une adresse mail, si on accepte le risque de ne pas pouvoir réinitialiser un mot de passe oublié. On peut donc ouvrir de multiples comptes Matrix. Autant qu'on le désire. Ceci est compatible avec le droit à la déconnexion et ouvre la possibilité aux employeurs d'utiliser Matrix dans le cadre du travail.

:green_heart: Il est possible d'utiliser Matrix sans l'installer sur un appareil. Le logiciel client “Element” donne accès à une version en ligne, que l'on peut utiliser à partir d'un navigateur web, comme Firefox … pourvu qu'on ait ses mots de passe sous la main ! Toutefois, il est conseillé de disposer aussi d'une session Element sur un téléphone ou un logiciel sur son ordinateur car l'accès via l'interface web se déconnecte parfois, ce qui a pour conséquence d'empêcher le déchiffrement des messages.

:green_heart: Le serveur peut conserver l'historique des conversations et changer d'appareil ou réinstaller son client Matrix n'a pas pour conséquence de perdre ses contenus passés. Afin de ne pas risquer que ce contenu se retrouve exposé suite à une attaque (ou à l'indélicatesse d'un administrateur du serveur), il existe un système de chiffrement contrôlé par le client. Le résultat en est que ce qui se trouve sur le eserveur est indéchiffrable, y compris pour les personnes qui le gèrent.

:green_heart: Pas besoin d'avoir une GSM ou un smartphone !

Mais…

:broken_heart: Comme l'application n'identifie pas les utilisateur·ice·s en fonction de leur numéro de téléphone, il est moins facile de trouver une personne à qui parler et de savoir qui dans son entourage a déjà l'application. Il faudra connaître son identifiant, un identifiant qui comme le service est décentralisé se construit en deux parties... comme l'e-mail !

:broken_heart: Il y a un petit prix à payer pour conjuguer sécurité, disponibilité de l'historique et accessibilité : Si l'usage d'un mot de passe pour s'identifier sur sa plateforme n'étonnera personne, la nécessité d'avoir un second mot de passe, pour déchiffrer son historique est beaucoup moins commune et rend l'usage de Matrix un poil moins évident. A noter qu'une fois qu'une session est connectée, une procédure de vérification par le biais d'émoji peut être utilisée. Le chiffrement de Matrix reste toutefois un peu complexe à utiliser.

Un tutoriel pour l'installation

A trouver ici :

DeltaChat

:green_heart: Comme pour Matrix, différents clients peuvent être utilisés (bien que pour le moment, comme le système est récent, seuls deux clients existent à notre connaissance : Delta Chat (multiplateforme) et ArcaneChat (sur Android).

:green_heart: La liberté de choix du fournisseur de service est totale puisqu'il est même possible d'utiliser sa propre boite mail pour utiliser DeltaChat. Il est toutefois recommandé d'utiliser une boite mail séparée car le trafic généré par Delta Chat peut perturber l'usage "normal" d'une boite mail. Les développeur·euse·s de DeltaChat développent par ailleurs une version optimisée d'un serveur mail adapté à la messagerie instantanée.

:green_heart: C'est une adresse e-mail qui est utilisée pour DeltaChat mais cette adresse peut ne pas être à notre nom et avoir été crée juste pour cet usage. Une inscription via l'application sur l'un des serveurs mail proposé par DeltaChat (en réalité, une version un peu modifiée d'un serveur mail classique pour la messagerie instantanée) génère par ailleurs une adresse email sur base d'une chaîne de caractères aléatoire.

:green_heart: L'application permet d'utiliser plusieurs comptes - et donc des identités (noms, adresse email) différentes.

:green_heart: Le logiciel existe sur smartphone et sur ordinateur. Un smartphone n'est pas obligatoire pour activer le service et l'usage peut se faire uniquement sur ordinateur.

:green_heart: DeltaChat peut être installé facilement sur différents appareils, ce qui permet de l'utiliser à la fois sur son téléphone et sur son ordinateur, mais aussi d'avoir un backup de ses messages en cas de perte ou vol.

Mais...

:yellow_heart: Comme pour Matrix, il faut connaître préalablement l'identifiant - le mail -associé à une personne pour pouvoir la contacter. DeltaChat simplifie cependant ce processus en permettant d'ajouter facilement un contact via un lien ou le scan d'un QR Code.

:broken_heart: Si le compte n'a pas été installé sur différents appareils, la capacité de récupération de l'historique en cas de réinstallation dépend de l'historique gardé au niveau du serveur et d'avoir préalablement réalisé un export de son compte et de ses clés de chiffrement - une procédure qui peut être risquée car cet export permet la réinsallation du compte par toute personne qui s'en emparerait (il doit donc être stocké en lieu sûr).

:broken_heart: Les appels audio ne sont pas pris en charge. Le client alternatif Android ArcaneChat propose une fonctionnalité d'appel mais celle-ci n'est pas native à l'application et passe par un autre service : Jitsi (cela requiert donc éventuellement l'installation de cette seconde application pour que les appels soient confortables).

Un serveur, kezako ?

Lorsqu'il est question de services décentralisés comme Matrix ou DeltaChat, on mentionne souvent le terme "serveur". Qu'entend-t-on par là ?

Le terme serveur peut désigner à la fois une machine avec un matériel (hardware) spécifique, généralement placée dans un centre de données, et un logiciel qui propose un service aux utilisateur·ice·s via le réseau. L'ensemble des services de type cloud / drive, e-mail ou messagerie que nous utilisons nécessitent que des données voyagent sur le réseau - pour synchroniser entre différents appareils ou atteindre leur correspondant - ce qui nécessite la plupart du temps qu'un serveur relaie l'information.

On peut visualiser ce qui se passe comme dans ce schéma : des appareils clients se connectent au serveur (représenté comme un gros tiroir plein de trucs) pour récupérer ou envoyer de l'information - par exemple, récupérer de nouveaux e-mails ou envoyer un nouveau message à destination d'un·e correspondant·e, ou accéder à des photos ou des documents stockés en ligne dans le cas d'un service de type cloud.

Dans le cas de l'e-mail ou d'un service de messagerie comme Matrix, le serveur (le gros tiroir) s'occupera d'acheminer le message vers le serveur du ou de la destinataire de l'échange, auquel il ou elle se connectera pour récupérer l'information.

💡 Dans le schéma plus haut des logiciels libres et des réseaux fédérés à volonté, chaque nœud de couleur est un serveur qui se connecte à d'autres. Les points plus petits sont des utilisateur·ice·s qui se connectent à ce serveur pour envoyer et recevoir des messages.

Des chatons pour décentraliser et libérer l'internet

Le collectif des CHATONS, pour "Collectif des Hébergeurs Alternatifs, Transparents, Ouverts, Neutres et Solidaires" recense des hébergeurs qui fournissent des services en ligne libres, éthiques et décentralisés.

Sur leur site internet, on peut faire des recherche par service (par exemple, chercher les chatons qui proposent des serveurs Matrix où s'inscrire), par proximité (par exemple, chercher des chatons en Belgique) ou en fonction d'autres critères (par type de structure, modèle économique, etc.).

En Belgique, Domaine Public propose un serveur Matrix.

⚠️ L'inscription doit se faire d'abord depuis un ordinateur, car pour éviter les faux comptes spams, une inscription chez Domaine Public nécessitera de renseigner un jeton d'authentification au moment de l’inscription. Voir ici : https://www.domainepublic.net/Ouverture-d-un-compte-matrix.html