Utiliser Signal impose la présence de l’espion de Google

La semaine dernière, j’ai vu beaucoup de publicité sur Internet à propos du fait que les serveurs de Signal avaient peu de métadonnées à donner au FBI. Même Snowden recommande Signal et tance Google.

Sois je suis aveugle, soit les autres le sont. À mon grand désespoir, Signal repose sur le service Push de Google (Google cloud messaging). Or celui-ci est accessible uniquement aux appareils Android ayant installé les Google Apps et utilisant un compte Google. Pour rappel, les Google Apps ne font pas partie d’AOSP, la partie libre d’Android. Le code source est opaque et seul Google sait ce qu’il peut faire avec vos données. Ce que l’on sait par contre, c’est que les Google Apps ont les droits root (c’est pour cela qu’il n’est pas possible de les installer avec la méthode classique des APK), tournent en permanence, remontent des données en continu au serveurs de Google, permettent d’effacer/remplacer n’importe quelle application silencieusement et même d’effacer toutes les données du téléphone à distance.

La création d’un compte Google implique l’acceptation des conditions générales de Google spécifiant qu’on y laisse moult informations de vie privée, à commencer par son numéro de téléphone. Ensuite, en opt-out (à la manière de Windows 10), les Google Apps envoient par défaut la liste de vos contacts, l’agenda, l’historique de vos appels reçus et émis, votre position au moins une centaine de fois par jour, et même les données de configuration de vos applis pour que vous puissiez aisément transférer vos données sur un autre appareil.

Donc pour moi, la première mesure d’hygiène, c’est de réinstaller un OS comme Cyanogen sans le mouchard de Google. Mais dans ce cas, impossible d’utiliser Signal ???

Est ce que Edward Snowden utilise un téléphone qui remonte toute sa vie privée à Google en plus de lui donner l’accès complet à distance ? Je suis assez interloqué sur ce point.

Pour ma part, pour la messagerie instantanée, j’utilise Conversations avec mon propre serveur Jabber. Ca fonctionne très bien. Mon serveur étant auto-hébergé, je n’ai pas de soucis sur les données qu’il contient (mot de passe et liste de contact).

D’ailleurs, je me demande où la boulimie d’informations de Google et Microsoft va s’arrêter. Google s’attaque à la vie à la maison. Microsoft à la vie au bureau. Que va-t-il rester dans 5 ans de lieux et moments privés ?

32 réactions sur “ Utiliser Signal impose la présence de l’espion de Google ”

  1. HucSte

    Ahh, quand même …
    Enfin, un qui en parle !
    J’ai fait le même constat le jour où j’ai désinstallé « Google Services Play » de mon smartphone – Signal ne voulait plus fonctionner – et j’avais une fenêtre d’avertissement m’informant du propos.
    Donc, sincèrement, la sécurité de Signal me pose clairement question, vu ce genre de dépendance …
    Je te remercie d’en parler ouvertement !

  2. Pierre

    Pour ma part j’utilise Silence (ex-SMSSecure) qui a l’avantage de fonctionner sans devoir activer les données mobiles.

  3. Tuxicoman Auteur Article

    LibreSignal n’est plus maintenu et abandonné car Moxie ne veut pas que des applis autres que la sienne utilisent son serveur.
    https://github.com/LibreSignal/LibreSignal/issues/37#issuecomment-217211165

    Comme Signal est basé sur un noeud central et non sur la fédération de noeuds comme Jabber, c’est une sacrée balle dans le pied des implémentations tierces puisqu’il faut aussi programmer la partie serveur (non libre).

    J’utilise aussi Silence pour les SMS.

  4. disanv parean

    Effectivement, il semble que cela marche. En tout cas Signal ne pleure plus parce que je n’ai pas les Google Apps. A voir si les notifications fonctionnent.

  5. SohKa

    En même temps, qui utilise uniquement et strictement un market alternatif d’application libre (c’est mon cas avec F-droid) ? Dès le moment où tu acceptes les Google Apps sur ton smartphone, tu ne peux, de toutes manières, rien cacher à Google, Signal ou pas. D’ailleurs, ça m’hérisse de voir des défenseurs des libertés individuelles et du logiciel Libre utiliser ces services privateurs par facilité et critiquer les utilisateurs de Windows.

    Soit dit en passant, même Cyanongenmod intègre les trackers de Google (il me semble que c’est toujours le cas, l’article est un peu vieux). https://blogs.fsfe.org/torsten.grote/2013/04/03/cyanogenmod-removes-tracking-opt-out-reverses-decision-still-uses-google-analytics/

  6. Ping De Signal à Silence

  7. Tuxicoman Auteur Article

    @SohKa : Je viens de regarder le code source de Cyanogenmod 13. GoogleAnalytics n’est plus utilisé pour remonter les stats.
    Les stats sont maintenant remontées aux serveurs suivants :
    https://stats.cyanogenmod.org/submit
    https://shopvac.cyngn.com/community/heartbeat
    https://account.cyngn.com/api/v1/community/heartbeat_token

    Si on regarde ce qui se faisait à l’époque de la critique (https://github.com/CyanogenMod/android_packages_apps_Settings/blob/09616382733e7d0c6df8f9292b198bea7381e079/src/com/android/settings/cmstats/ReportingService.java), on peut voir que les stats remontées par Google Analytics n’avaient rien de personnel (deviceName, deviceVersion, deviceCountry)

  8. SohKa

    @Tuxicoman : Ok, merci pour l’info. Perso’, je suis sous Replicant en ce moment. Pour être honnête, c’est limite pas vivable. Mais tant qu’il n’y aura pas d’alternative libre…

  9. genma

    Comme d’autres personnes de mon entourage, j’utilise aussi Silence qui permet de faire comme Signal, à savoir des échanges chiffrés, mais au moins ça ne passe par les serveurs de Google (mais l’opérateur téléphonique a toujours les métadonnées de qui parle à qui, quand, mais ne sait pas ce qui se dit).

  10. jp.fox

    Pour ma part, je préconise plutôt ce que tu utilise : un serveur XMPP connu et un client XMPP utilisant OTR (Conversations ou Xabber). Ensuite, pour les SMS c’est Silence aussi.
    Pour info, on vit très bien avec AOSP (Paranoid Android sur mon tel) juste avec f-droid comme source d’apps.

  11. Koolok

    Yop,
    J’ai contacté whispersystems (le 26 septembre), justement pour qu’il ajoute Signal à F-droid.org, voici leur réponse :

    Masha Kolenkina (Open Whisper Systems)
    Sep 27, 16:22 MST

    Hi Koolok,

    Signal is officially distributed through the Google Play store and Apple Store. Only these versions are supported. GCM is used as a wakeup event for your device. So after you receive that notification, Signal will request a message from our servers. GCM does not see any of your encrypted messages.

    If you are using a version that you have obtained from other sources, then it is not supported and communication can fail. If messages fail to send or you can not receive them, then there is a communication breakdown. This can happen if one person is not on an official version of Signal. We want Signal to work and communication to continue. If you do not want to use the official versions then there is no further support.

    You can read more on the support page here: http://support.whispersystems.org/hc/en-us/articles/213190817-Why-do-I-need-Google-Play-installed-to-use-Signal-​

    On apprend pas grand chose de nouveau, mais je trouve l’explication peut crédible, quelqu’un pourrait confirmer que c’est du flanc ?

    Pour ma part je reste sûr telegram. Pour les appels chiffrés vous utilisez quoi ?

  12. Tuxicoman Auteur Article

    @Koolok : Pour les appels chiffrés, tu peux installer Mumble sur un serveur par exemple.

    Franchement, si c’est juste pour faire wakeup, c’est abusé. Dans un système fédératif, chacun pourrait choisir son serveur de wakeup (comme on le fait pour son serveur XMPP). Je n’ai aucun soucis de batterie ni de message qui n’arrive pas instantanément en ayant mon application android connectée à mon serveur XMPP.

  13. narz

    Vous semblez tous oublier que l’intérêt de Signal par rapport à Textsecure/SmsSecure, ainsi que les autres clients xmpp otr, c’est justement le fait qu’il soit centralisé !

    Comment efface-t-on efficacement les métadonnées si le serveur n’est pas central ?

    Ensuite l’histoire des gapps me gène également, mais à part dénoncer cet état de fait, avez vous des éléments concrets sur ce que Google est capable d’intercepter de Signal ? Ça m’intéresse beaucoup.

    Parce que si Signal est une des messageries les plus sécurisée pour le commun des mortels, c’est que ça s’installe simplement et impose une sécurité maximum par défaut.

    Je vois pas comment faire installer des clients xmpp +otr (ainsi que l’inscription à un compte tiers) simplement déjà que j’ai du mal à les faire passer sur Signal…

  14. Tuxicoman Auteur Article

    Il n’y a rien que tu puisses cacher à un programme qui est root sur ton OS.
    Utiliser Signal c’est mieux que rien, mais si Google veut tes messages, ou que la NSA demande à Google de le faire, il n’y aura aucun soucis pour eux pour le faire de façon transparente et en masse.
    Tu connais conversations.im ?

  15. narz

    @tuxicoman

    Oui je connais, ce n’est pas moi le problème, mais mes contacts qui ne sont pas tous informaticiens ou intéressés par ces sujets. C’est pour ça que Signal est le meilleur compromis je pense.

    Ensuite les contacts qui utilisent conversation (xmpp…), il faut les «former» au chiffrement. Aucune garantie qu’il ne fasse pas ça n’importe comment, ou qu’ils pomment leurs ids/reset leurs clés…

    Ensuite pour la protection des metadatas, les services décentralisés c’est mort :/

    Ensuite je suis en train de tester https://microg.org/ (donné par un autre commentaire sur cet article) qui émule les services google pour pouvoir utiliser les apps sans gapps. Et ça fonctionne avec Signal. Que du bon non ?

  16. Mr.H

    Article intéressant et qui n’est pas nouveau sur ce fameux problème de Signal utilisant le GCM de Google. Pour ma part je suis sur CM (sans aucun gapps), j’utilise F-droid ainsi que Raccoon pour télécharger sur PC les quelques apps uniquement disponibles sur le PlayStore (comme Signal) et pour lesquelles je n’ai pas trouvé d’équivalent sur F-droid. Avec l’appli de https://microg.org/ (dont il suffit d’ajouter le répertoire dans f-droid pour la télécharger), je peux utiliser sans problème Signal. J’aurais bien sûr préférer ne pas avoir à faire tout ça, comme par exemple utiliser Linphone (chiffrable, p2p) mais c’est de loin le meilleur compromis que j’ai trouvé pour faire accepter à tous les contacts une appli qui ne nécessite *aucune* configuration pour communiquer, y compris en audio… Car oui, les gens ne veulent pas faire l’effort de comprendre (et encore moins avoir à configurer quoi que ce soit), mais si on leur présente qqch qui fonctionne « comme whatsapp », la pilule passe bien mieux, et en cela Signal mérite un énorme merci.
    De plus, son premier audit est encourageant : http://www.darknet.org.uk/2016/11/signal-messaging-app-formal-audit-results-are-good/

  17. Mr.H

    PS : pour ceux que ça intéresse, voici le lien vers Raccoon : http://www.onyxbits.de/raccoon
    C’est un programme open source et cross-platform qui permet de télécharger sur son PC les applis du Google PlayStore. A la différence du louable google play downloader de tuxicoman (uniquement dispo sur Linux), on peut aussi télécharger des applis payantes (ou préalablement payées) mais en nécessitant bien sûr d’ouvrir un compte Google ou en réutilisant celui déjà créé. Ensuite de les retransférer sur son smartphone et de les installer ;)

    Encore une fois, le mieux est bien sûr de ne avoir à faire tout ça, mais si on n’a pas le choix, ça permet au moins de ne pas installer les gapps sur son mobile !

  18. Cadence

    Pour avoir testé, je confirme également que Raccoon fait le job.
    Je l’ai installé sous mon w7 en dual-boot.

    J’ai également fait une demande de création de paquet rpm, pour GooglePlaydownloader, à la communauté de Mageia (ma distribution Linux).
    Si ça peut aider =)

  19. Ping Signal : Discutez chiffré | Handigy

  20. Ping Signal, sans Google Apps – Tuxicoman

  21. Ping Signal : Discuter chiffré – Hublog

  22. Poujol-Rost Mathias

    Un an après cet article, Signal existe en version Desktop désormais Win/ Mac/ Debian-based (pas encore testé personnellement).

    Mais Silence n’est toujours dispo QUE sur Android ! :/

Laisser un commentaire

Ce site utilise Akismet pour réduire les indésirables. En savoir plus sur comment les données de vos commentaires sont utilisées.