@edasfr la centralisation c'est pas le mal absolue tant que le chiffrement est bon. Ça permet quand même pas mal de choses intéressantes qui sont difficiles sans centralisation. Ça assure déjà pas mal que tu tombes pas sur un serveur modifié qui keep les échanges.
J'adore la décentralisation, mais là pour le coup, Signal ça va...

@metal3d @edasfr Le serveur qui conserve les échanges n'est pas un problème si on est en pair-à-pair complet (car il n'y a pas de serveur) et pas trop grave s'il y a chiffrement de bout en bout.

@bortzmeyer @edasfr on est d'accord. Mais il n'empêche que rien ne va te garantir que le mec ne revend pas les liens entre les numéros de tel (qui sont en clair). Signal étant une fondation à but non lucratif, on a un peu plus l'assurance que de ce côté c'est clean. Avec des serveurs détenus par Monsieur X, c'est moins le cas.

@bortzmeyer @edasfr et le post de blog que j'ai déposé plus haut est assez clair sur le choix. C'est pas idiot de vouloir garantir un échange sans avoir un tordu qui a développé un plugin que les autres utilisateurs n'auront pas. Et donc avec un risque que les messages n'arrivent pas.

@bortzmeyer @edasfr et enfin, si le serveur est mal modifié, tu peux potentiellement t'inscrire sur un service avec chiffrement pété... Donc là, la centralisation c'est pas déconnant.

@metal3d @edasfr Je me répète mais, si le chiffrement est de bout en bout, le problème n'existe pas.

@bortzmeyer @edasfr si le serveur vire le chiffrement et te fourni une app à lui, l'utilisateur n'y voit que du feu...

@metal3d @edasfr Je ne vois pas comment. Chiffrement de bout en bout, ça veut dire que tout est controlé par le client et le serveur n'y peut rien.

@bortzmeyer @edasfr il suffit que le serveur chiffre les messages sortants, et que l'App envoie des messages en clair. C'est la même méthode qu'une attaque MITM sauf que là t'es consentant sans le savoir 😁

@metal3d @edasfr « que l'App envoie des messages en clair » Votre argument est toujours aussi incompréhensible. Si l'app envoie des messages en clair, ce n'est plus du chiffrement de bout en bout.

@bortzmeyer @edasfr mais qui te garantie que l'App non officielles chiffre de bout en bout ?

@bortzmeyer @edasfr ha donc le mec qui te fournie l'App il ne peut pas modifier son build localement avant de la poser sur le store ? ...
Quand le dit Éric, même Signal peut te fournir une app qui ne correspond pas aux sources vues sur le git. Donc il faut savoir en qui tu auras confiance. Je choisis de faire confiance à la fondation Signal.

@metal3d @edasfr Une attaque « supply chain » ? Le logiciel privateur a pile le même problème (et en plus grave).

Inscrivez-vous pour prendre part à la conversation
techlover

Technology lovers, here we are — (development, digital artwork, science…)