Toi aussi tu fait ça ?

Bonjour

J’ai pour projet de réaliser client alternatif à messenger, permettant aux utilisateurs ayant l’application de converser de manière encryptée entre eux, tout en essayant de remplacer l’application officiel de la manière la plus transparente possible, l’idée c’est que tu prends le portable de ta maman, tu désinstalle messenger, tu installe le client à la place, tu la connecte pis basta, c’est automatiquement encrypté avec les autres personnes qui utilisent l’application

J’ai par exemple 50 contacts dans messenger, comment je peux savoir qui de mes contacts à installé l’app alternative ?

Il est possible de faire ça avec des serveurs qui auraient une liste des utilisateurs utilisant l’appli, mais ça serait pas très optimal 😅

Je recherche donc des idées sans serveur(s) 😉

PS : le problème me fait penser à deux amis qui n’osent pas s’avouer qu’ils font tous les deux de la résistance, d’où le titre du sujet 😂

1ère idée imparfaite que j’ai eu :

J’utilise l’application sur mon téléphone. Je l’installe sur le portable de ma mère, en précisant dans sa configuration que moi j’utilise l’application. Cela permettra à l’application sur le portable de ma mère de "découvrir" le réseau d’utilisateurs en demandant à mon portable quels contacts qui utilise l’appli il connait

Cela pose le problème de la confiance dans la liste des personnes que l’on reçoit 🤔

Si tu fais des choses dans le dos des utilisateurs, tu es suspect. Personne ne sait ce que tu fais réellement, surtout s’ils ne sont pas développeur.

encrypté $\rightarrow$ chiffré

Sinon, pourquoi réinventer la roue ? Il existe des tas d’apps qui font déjà ça. Silence pour les SMS, et… ouais, j’ai pas d’exemple équivalent à Messenger, je suis pas vraiment utilisateur de ce genre d’app. Mais je suis certain que ça existe déjà.

@Unidan : l’application va être open source. L’idée c’est justement de ne pas impacter les utilisateurs lambdas, tout en améliorant leur hygiène numérique et celle de ceux avec qui ils conversent. C’est un but assumé.

@Breizh : je fait la faute à chaque fois, n’aurais tu pas un moyen memotechnique ?

Je n’en connais pas pour messenger, c’est pour ça que je fait ce projet

Pour les SMS il y a effectivement Silence que j’utilises au quotidien.

Pour les chats tel messenger, il y a Telegram¹, qui n’est que partiellement opensource (uniquement les clients, pas les serveurs).

Sinon, ce que j’utilises régulièrement également, c’est un serveur XMPP, tel que Hangouts ou serveur perso, avec un plugin OTR. Dans les applications permettant de faire du XMPP chiffré, il y a Chat Secure, ou via un PC Pidgin par exemple.

L’idée c’est que ça soit transparent pour les utilisateurs lambdas, qu’ils puissent toujours communiquer avec leur contacts de messenger, sans utiliser deux applis, à la manière de Silence par exemple.

Du coup Telegram n’est pas vraiment la même chose

La différence, c’est que les sms permettent d’envoyer des méta-données puisque Silence reconnaît un autre utilisateur de Silence. Mais c’est très peu probable que Messenger l’autorise de la même manière. Tu as déjà une solution pour envoyer des messages via messenger sans utiliser leurs applis officielles ?

Je ne pense pas que Silence reconnaisse un autre utilisateur de Silence. C’est l’utilisateur qui sait quel contact l’utilise, et qui décide de commencer la communication chiffrée avec ce contact. Par défaut, c’est envoyé en clair à tout le monde.

Je crois que tu as la possibilité d’envoyer des metadonnées (metadata). https://developers.facebook.com/docs/messenger-platform/reference/send-api#message

@Breizh : si, Silence le reconnait tout seul. Il envoie un message en clair au début, mais si je reçois un message en clair d’un utilisateur de Silence alors l’échange de clefs se fait automatiquement.

@Phigger : si tu le dis… c’est bizarre, il ne me l’a jamais fait.

Oui je peux, via une api non officielle qui simule l’utilisation de messenger. Pourquoi ne pas utiliser l’api officiel ? parce qu’il est certain que facebook n’autorisera pas longtemps d’utiliser leur api pour un projet leur nuisant.

malheureusement cela ne permet pas d’envoyer de métadonnées :-/

J’avais cru comprendre que tu gardais messenger pour pouvoir parler au gens qui n’ont pas ton application.

Le but étant de ne pas bouleverser les habitudes, et de ne pas ajouter encore une app pour discuter avec quelques personnes, l’application va totalement remplacer messenger :
- si les deux correspondant utilisent l’application, les messages sont chiffrés (et éventuellement transité par un réseau autre que facebook, à voir) - si au moins un des deux correspondants utilise messenger, les messages doivent passer normalement en clair par messenger.

Cela permettra de faire adopter l’application sans perdre ses contacts/habitudes

Le problème actuel est de savoir si le correspondant utilise lui aussi l’application

Le truc c’est que maintenant, Messenger intègre nativement le chiffrement des conversations.

Sur mon appli j’ai bien l’option d’activée, sans que j’ai eu à la changer :

Du coup, je vois pas trop ce qu’apporterait ton appli.

Messenger n’est pas opensource. Donc tu fait confiance à facebook sur le fait que cela soit réellement effectif.

Ensuite, cela ne chiffre que le contenu, et aujourd’hui, ce sont surtout les métadonnées qui intéressent, car elles révèlent énormément de chose.

Ok je comprends mieux.

Paradoxalement, même si c’est Facebook, je crois qu’ils chiffrent réellement. Ça les arrange eux aussi de pouvoir répondre aux gouvernements qu’ils ne peuvent pas transmettre les messages… Et puis, tu l’as dit, les métadonnées leur donnent les informations dont ils ont besoin.

Mais je ne suis toujours pas certain du besoin d’une telle appli. Parce que pour énormément de gens, chiffrer le contenu suffit à priori, surtout qu’ils n’imaginent pas nécessairement qu’il y a autre chose à chiffrer. Et si ce n’est pas le cas, ces personnes ont déjà une appli du genre Signal ou Telegram.

Du coup, cette appli me semble au milieu des deux préoccupations. Je vois mal les utilisateurs de Telegram passer par facebook, comme je vois mal convaincre un utilisateur de facebook changer d’application pour une similaire qui apporte quelque chose déjà partiellement supporté, pour un gain qui peut sembler faible.

la cible c’est les personnes "lambda" qui n’ont rien à cacher et qui en ont un peu rien à faire de leur hygiène numérique

la plupart des lambdas ont une confiance aveugle dans toutes les apps, encore plus si l’app est recommandée par "l’informaticien de la famille", qui lui s’intéresse à ces questions

Typiquement tu prends le portable de maman, de papa, …, tu désinstalle messenger, tu installe le client à la place, tu la connecte pis basta, ça leur change pas leur utilisation ils n’en n’ont rien à faire de pas utiliser l’appli officielle

Je vois ce que tu veux dire, mais dans ce cas ce client devra être très très similaire au client officiel. Si je change à un de mes proches son appli par un truc où il manque une fonctionnalité, chiffrement ou pas, j’me fait engueuler .

Puis si quelqu’un me fait assez confiance pour que je change son client, il me fait assez confiance pour changer de messagerie, au moins pour ses contacts qui l’ont déjà.

Je sais que ton but c’est d’éviter ça, mais n’oublie pas que changer de client est de toute façon contraignant .

Oui c’est prévu

Sauf que changer de messagerie pour ses amis qui l’ont déjà ça implique d’utiliser une app de plus, ce qui est assez contraignant à la longue. J’aimerais éviter de faire un standard de plus

de mes observations personnelles la majorité des gens n’en à rien à faire d’utiliser tel ou tel client, tant que ça change pas ses habitudes

Note qu’il y a un vaste consensus dans la communauté crypto / sécurité / privacy à propos de Telegram : ce n’est pas une messagerie sécurisée. Si tu veux une messagerie dont le chiffrement est réputé sûr, utilise Signal ou WhatsApp, évite Telegram. (Signal est open source et utilise un protocol ouvert, bien connu, bien étudié, bien compris, bien audité.)

• https://www.eff.org/node/82654
• https://gizmodo.com/why-you-should-stop-using-telegram-right-now-1782557415
• http://www.unseen-pedia.com/edward-snowden-wa-whatever-dont-use-telegram-messenger-app/
• https://neurogadget.net/2017/07/06/whatsapp-vs-telegram-which-app-is-more-secure/55430
• https://www.reddit.com/r/privacytoolsIO/comments/6r655i/telegram_isnt_safe/
• http://trendblog.net/whatsapp-signal-telegram-better/
• https://www.wired.com/2017/03/wikileaks-cia-hack-signal-encrypted-chat-apps/
• https://medium.com/@keivan/telegram-not-as-secure-as-you-might-think-19345976edad