📷🐧Dave Null🐧📸 is a user on mamot.fr. You can follow them or interact with them if you have an account anywhere in the fediverse. If you don't, you can sign up here.

Je rappelle que Moxie, l'auteur de signal, c'est le type qui a encenser l'utilisation de WhatsApp [1] parce que je cite « Nous avons travaillé avec whatsapp pour implémenter OMEMO ». Ce type est un putain de charlatan!

1. Implémentation privatrice de XMPP (modifiée), avec comme identifiant le numéro de téléphone >_< et appartenant à une entreprise, qui comme on le sait tous, est hyper-respectueuse de users, nommée facebook…

@devnull je ne comprends quel est le problème, peux tu m'expliquer pourquoi, selon toi, Moxie est un « charlatan » ?

@taziden Au hasard
- Promouvoir un outil proprio, inauditable, appartenant à facebook (très connu pour son respect des users…)
- Avoir menacé LibreSignal jusqu'à ce que le projet soit abandonné
_ Avoir écrire un énorme pavé de propagande contre la décentralisation en prétendant que ça empêche la sécurité?

@devnull il a fait pire que le promouvoir, il a participé à élaborer la fonctionnalité de chiffrement de bout en bout.

Tout en développant et faisant la promotion d'une alternative à côté, Signal.

Par ailleurs, je déteste l'attitude de Moxie vis-à-vis de LibreSignal, etc je suis en total désaccord sur son pavé anti-décentralisation.
Mais rien ne me permet de dire que c'est un charlatan.

La sécurité de Signal est *sérieuse* et n'est pas une escroquerie comme ton toot le laisse penser.

@devnull Je vois des gens qui se sont mis à flipper pour la sécurité de leurs échanges via Signal après ton message.

Tes mots ont une portée et un impact d'autant plus fort que tu te mets en position d'autorité et que tu parles de manière très affirmée.

Fais attention aux mots que tu emploies. Des gens te lisent.

@taziden @devnull
On peut reprocher beaucoup de choses à Signal, mais pas son e2e encryption. Sur ce point, c'est officiellement comme officieusement clean.

📷🐧Dave Null🐧📸 @devnull

@Cyphergoat @taziden Bah justement, j'ai jamais remis en cause le protocole… C'est l'attitude du gus et son status de guru qui pousse les gens à faire confiance à whatsapp/facebook, qui me sortent par le nez… Et aussi les permissions de l'application.

· Web · 1 · 0

@devnull @taziden
Ton toot semblait induire que l'outil était mauvais, fonctionnellement. Clairement 😕.

@devnull @Cyphergoat tu m'expliques l'intérêt d'avoir un outil de communication qui ne peut pas accéder à tes contacts ?

Il faut retaper tout ton carnet d'adresses dedans ? Super !

Et l'appli fonctionne même si on autorise pas toutes les permissions demandées.

@taziden Donc les identifiant signal sont des numéro de téléphone… super si on veut pas donner son identifié ou son numéro de téléphone à un contact…

@Cyphergoat

@devnull @Cyphergoat oui, ça n'est pas parfait pour toutes les situations, clairement. So what ?

@devnull @taziden En effet. Silence fonctionne par SMS, donc numéros only, pourtant je te vois pas dire que c'est de la merde :þ.

Modèle de menace => outil adapté. J'utilise pas Silence quand je veux rester anonyme, j'utilise pas XMPP+OTR quand les personnes ont mon numéro de téléphone et Silence d'installé sur leur mobile.

@Cyphergoat

J'estime que Silence est à utiliser entre gens qui ont déjà échangé leur téléphone, mais qui veulent anonymiser le contenu de leur conversation (les métadonnées sont connues), Signal passe par un serveur central, tant qu'il ne se permet pas de signaler aux autres que tu arrives sur signal (ou que tu es déjà présent) alors ça me va, sinon c'est déjà un risque en soi.

@devnull @taziden

@Cyphergoat @taziden Bah si tu veux chiffrer tes SMS… techniquement, t'es obligé de donner ton numéro >_<

Par contre par Internet, pas besoin. Et avec de la centralisation, du FUD anti-fédération de la part de l'auteur, du google cloud messaging… ça commence à faire un poil trop

@taziden @Cyphergoat Non, dire que les choix de l'auteur de signal n'inspirent pas confiance, et que le culte personnalité autour du gus pour encenser l'usage de whatsapp, est un problème, c'est juste un avis basé sur des faits, pas du FUD…

@devnull @Cyphergoat sauf que ce n'est absolument pas ce que tu disais dans ton premier toot, laissant des gens penser qu'il y avait un souci avec la sécu de Signal == faire du FUD.

@Cyphergoat @devnull FUD : Peur, Incertitude, et Doute, exactement les sentiments que tu as instillé à ces personnes.

@taziden @Cyphergoat Non, ça c'est ton interprétation personnelle. J'ai fait aucun reproche au protocole de chiffrement/au niveau de sécurité. J'ai critiqué l'attitude du gus contre la décentralisation et son encensement de whatsapp.

@devnull @Cyphergoat c'est pas *mon* interprétation. C'est ce que j'ai pu constater chez d'autres personnes.
Après tu en fais ce que tu veux hein. Si tu veux continuer à ranter et insulter les gens parce qu'ils utilisent pas les bons outils pour après venir dire qu'il "faut éduquer les gens" … libre à toi.

Pour moi, ce que tu fais est totalement contre-productif et participe à la mauvaise image qu'ont plein de gens de nos communautés.

@taziden @Cyphergoat Critiquer l'attitude de moxie, c'est insulter des gens?

Là c'est clairement toi qui fait du FUD en m'accusant de soit disant « insulter les gens »… Je crois qu'il vaut mieux qu'on arrête la discussion ici.

@devnull @taziden Pour ajouter de l'huile sur le brasero, je tiens à préciser que dans une conversation, il y a un émetteur et un/des récepteurs, et que si le message passe mal, c'est rarement uniquement la faute du/des récepteurs.

@devnull
De quel culte de la personnalité tu parles ?
Il tient un blog. Il fait des softs. Il gère une petite boîte. Dans le monde de l'infosec, il reste une figure relativement effacée.

En comparaison, je monte sur scène pendant 2h pour raconter litéralement ma vie… Du coup, j'aimerais bien comprendre.

Que tu ne sois pas d'accord avec ses idées, très bien, on peut en débattre. Est-ce nécessaire de l'attaquer personnellement ?

@Cyphergoat @taziden

@lunar Relativement efface du paysage de l'infosec, Mais culte de la personnalité quand même, en dehors de ce paysage. Je parles des gens qui balayent d'un revers de main le fait que whatsapp est privateur, en plus d'appartenir à facebook, pour utiliser moxie et le protocole de Signal, comme caution pour promouvoir whatsapp comme un outil qui permetterai de se protéger de la surveillance de masse…

Concernant moxie lui même, c'est pas des attaques personnelles 1/2

@lunar C'est juste le contexte que son attitude n'inspire aucune confiance

Son attitude envers LibreSignal et envers Wire [1], ses mensonges pro-centralisation [2] avec du FUD dedans, et la dépendance de signal aux services google, soit disant retirée [3], vont à l'encontre de ce qu'il prétend défendre. 2/2

1. medium.com/@wireapp/axolotl-an
2. signal.org/blog/the-ecosystem-
3. Mais enfait non, signal est toujours dépendant des services/applications google : twitter.com/aeris22/status/925

@devnull Ce tout le contraire d'un constat, c'est un jugement. On dirait que tu pars du principe que Moxie a les mêmes buts dans la vie que toi, et donc que tu lui en veux de les saboter. Alors qu'en fait, ce qu'il dit montre surtout que ses buts ne sont pas alignés avec, au moins, les miens, et j'ai l'impression une partie des tiens.

Maintenant, la question pour moi c'est : peut-on avoir néanmoins des intérets communs ?

@devnull Tu critiques le fait que Signal utilise des numéros de téléphones comme identifiants. Sauf que ce n'est pas un bug, c'est une feature vis-à-vis de ce que souhaite Moxie : massifier drastiquement l'usage du chifrement. On a des millards de SMS qui circulent en clair. Remplaçons-les par un équivalent chiffré.
Ça ne correspond ni à tes envies, ni à tes besoins ? Tant pis, on a quand même gagné le protocole de Signal, qui est bien mieux que tout ce qu'on avait jusque là pour l'IM.

@devnull Cela dit, pour ne te donner qu'un seul exemple : j'ai enfin un canal de communication chiffré dans lequel j'ai une bonne confiance — oui, Signal a bien plus été audité que d'autres outils, et reste libre — avec mon avocat. Rien n'avait fonctionné avant. Je n'aurais jamais pu lui imposer de changer ses habitudes de travail pour ma petite pomme.

@devnull Et damn, arrête de dire que Moxie ment quand il parle de (dé)centralisation. Que tu ne trouves pas ses arguments valables, soit, mais il ne ment pas quand il partage son analyse des systèmes décentralisés.
Toi, tu as peut-être des priorités, différentes. Tant mieux, discutons de stratégie. Mais ça ne sert à rien de se traiter de menteur·euse·s quand le « vrai » n'est pas la question.

@devnull Si je vais dans la rue demain et que demande « vous connaissez Moxie ? », j'ai de gros doutes qu'on me réponde « ah oui, il est génial ». Donc j'ai du mal à imaginer à qui tu as pu parler pour que ça se transforme en « culte de la personalité ».
Je viens de finir de lire « La Petite Communiste » de Lola Lafon. Ce n'est vraiment pas une expression qu'on devrait prendre à la légère.
fr.wikipedia.org/wiki/La_Petit

@devnull Concernant WhatsApp, je connais plein de militant·e·s qui s'en servent. J'étais content d'apprendre que leur communication était devenue plus diffiicile à espionner sans qui ni elleux ni moi ayons à faire d'efforts pour que ça arrive.

Maintenant, plutôt que d'être en colère contre Moxie ou même « les gens », une question que nous pourrions nous poser  : pourquoi est-ce qu'on n'arrive pas à transmettre aux autres l'importance d'utiliser des logiciels libres pour leur communications ?

@lunar Sauf que j'ai pas dit que c'était un bug… Quand on utilise Internet comme canal d'un outil se voulant provacy friendly, c'est mieux de pas identifier les personnes aussi finement que par un numéro de téléphone. Mais c'est même pas le.poibt.le plus récurrent/plus gros de ma critique. Le plus gros, c'est la dépendance à google et l'agressivité de moxie envers les projets tierces qui ont voulus être compatible avec Signal.

@lunar Chiffrer les SMS? Très bien, sauf qu'il y a Silence
- Pas besoin de data (oui, parce aue tout le monde ne l'as pas…)
- Ça juste marche sans dépendances aux gapps, signal les réclame encore (cf le lien donné précedemment)
- Les devs de Silence n'agressent pas les autres projets. L'attitude de moxie envers LibreSignal et wire ressemble à du copyright troll…

Pour whatsapp, c'est faire confiance au code proprio de fb, génial… Rien ne garanti que FB ne peut pas récupérer les clés privées…

@devnull
Prends-le temps de me lire au lieu de répéter ce que tu as déjà écrit et ce que tu sais que je sais déjà.

@lunar Tu t'arrête au numéro de téléphone, donc oui je me répète…
J'ai lu et oui je sais très bien.que tu le sais. C'est juste qu'on est pas d'accord. Tu semble considérer que comme c'est chiffré, c'est aussi bon à prendre, ça rends la surveillance de masse plus difficile.

Alors que je considère que facebook, et par extensions whatsapp, fait partie du problème, et n'est pas digne d'une once de confiance. Entre leurs business model, et leurs pratiques habituelles, il y a de quoi se méfier

@devnull Mais est-ce que tu t'es posé la question du pourquoi du succès de WhatsApp ? (Avant même le rachat par FaceBook.)

Les SMS illimités, c'est très localisé à la France. Pour ce que je connais pour l'Espagne, WhatsApp a surtout constitué une occasion de diminuer les factures, en plus de pouvoir échanger des photos.

Les personnes qui utilisent WhatsApp méritent qu'on puisse facilement surveiller leurs communicatiosn, selon toi ?

@lunar …Tu m'explique en quoi rappeler qu'un outil prorio developpé par une boite dont le business model est la surveillance de masse, et connu pour sa politique de censure, c'est dire ou sous entendre que les gens qui utilisent cet outil « méritent qu'on puisse facilement surveiller leurs communications » ? NON c'est juste avoir 0 confiance en fb

Il y a quelques années, on racontait que « le protocole skype est chiffré/compliqué à surveiller donc militant-friendly », on a vu ce que ça a donné…

@devnull Qui est-ce qui racontait que Skype était « militant-friendly » ?

Quand je donne l'exemple des militant·e·s en Espagne que je connais, illes utilisant *déjà* WhatsApp. L'arrivée du protocole Signal dans l'application a rendu plus difficile la surveillance de leurs communications.

Mais mon discours n'a pas changé : je leur en déconseille toujours l'usage et continue à expliquer le code et le développement fermé, ainsi que le modèle économique de Facebook.

@lunar Des bloggers avec beaucoup d'audience, genre Korben qui proposait d'utiliser skype pour se protéger du DPI [1]

Je t'ai jamais reproché d'avoir changé de discours, mais des gens dans la presse qui recommandent whatsapp « parce que signal », en passant sous silence (sans mauvais jeu de mots) son coté boite noire et les pratiques de fb, il y en à la pelle… Quelques exemples :
mobile.nytimes.com/2016/11/17/
recode.net/2017/4/15/15297316/
m.windowscentral.com/how-prote
1. korben.info/le-filtrage-par-dp

@devnull
Donc tu en veux personellement à moxie parce que tu as l'impression qu'il a aidé « l'ennemi » ?

@lunar Non, je lui reproche
- La dépandance à google
- Son copyright troll envers LibreSignal et wire, alors que travailler avec facebook, qui enferme les users dans sa plateforme prorio, ne le dérange pas plus que ça.

Si le but de son travail sur whatsapp, c'est juste de démocratiser la crypto, pourquoi avoir nuit à LibreSignal? Et pourquoi avoir dit à wire de payer une licence de 2.5M pour les binaires seulement, quand ils l'ont approché pour implementer Axolotl ? J'y vois de l'hypocrisie…

@devnull Je ne sais pas le détail pour Wire. Mais sachant que c'est du libre et que le protocole est documenté, si Wire veut utiliser le protocole Signal, c'est possible tout comme OMEMO le fait, non ?

@lunar Je parle de la licence de la bibliothèque OMEMO, je parle de l'attitude de moxie, de ses menaces de copyright troll envers wire, et de la différence de traitement entre
- Une multinationale dont le business model EST la surveillance, et qui fait des choses dégueux, bien traitée
- Une boite de taille modeste, qui essaye de libérer son outil, et qui se frotte à l'attitude délirante de moxie

T'es sais bien que dans le milieu de la PI, la mauvaise foi ne manque pas…

medium.com/@wireapp/axolotl-an

@devnull
Je ne connais pas Alan Duric. Moxie a nié avoir demandé de l'argent : twitter.com/moxie/status/73023

Je suis désolé de voir que tu te fabriques un ennemi supplémentaires. On en a déjà bien assez pourtant.

@devnull Pour LibreSignal, j'ai bien davantage suivi.

Je comprends la position de Moxie. Entre autre pour avoir fait du support pour Tor. Chaque jour on avait une personne qui venait nous parler de TorMail. Un truc qu'on n'aurait jamais mis en place mais qui entretenait la confusion avec son nom et qui nous faisait perdre un temps effroyable. OWS est une toute petite équipe.

@devnull L'autre aspect de LibreSignal, c'est surtout que Moxie est fort disposé à accueillir des patchs dans Signal… mais personne ne les a écrit pendant longtemps. Quasiment personne n'a contribué au code de LibreSignal non plus. Du monde pour râler sur GitHub et faire pression, ça par contre, j'en ai vu.

@devnull Moxie ne croit plus au logiciel libre et au développement ouvert entre autre à cause de ce genre d'attitude. Je le regrette infiniment parce que ça exacerbe le problème.
Mais la situation aurait été fort différente si les discussions s'étaient faites autour de patchs et non pas autour de ce que Moxie aurait dû faire ou ne pas faire de son temps.

@lunar Les gens ont raler parce aue Moxie a interdit à LibreSognal de se connecter sur ses serveurs, pour causer avec les utilisateurs Signal. Le message qui en ressort c'est « Le seul moyen de discuter avec les users de Sigal, c'est d'utiliser Signal, donc d'accepter la dépendance gapps », l'abandon du projet suite à ça, c'est logique. Ça sert à rien de patcher/maintenir un outil devenu inutile (Sauf à avoir son propre serveur, coupé des users de Signal… C'était pas le but)

@devnull Tu ne veux pas accepter l'argument du sucroit de travail que cela représente ?

@lunar Non. Par contre je veux pas une dépendance générale à un nième outil basé sur une infra centralisée, dépendante d'une seule boite, d'un seul client googlisé, basé sur du vendor-locking, où on ne peut contacter les gens qui utilisent le moyen A, que si on utilise le moyen A. Liberté de choix, pouvoir se barrer en cas où sans perdre ses contacts, interoperablité, toussa toussa…

@devnull Mais c'est un projet fort différent de Signal ça.

Pas besoin de taper sur Moxie du coup.

@lunar En attendant, c'est Signal qui a le plus gros nombre de users parmi les clients IM libres. Beaucoup (hors geeks) vont pas utiliser une autre messagerie chiffrée, decentralisée à coté. C'est une injonction à choisir entre signal ou pas de contact du tout avec ces gens.

Faire du vendor-locking, c'est recréer le problème de dépendance qu'on a eu avec skype… ça me dérange.

Et l'autre truc qui me dérange, c'est de créer un SPoF comme moyen de lutter contre la surveillance de masse… Mouais :/

@devnull
Ma suggestion : reconsidère Signal autrement. Ce n'est ni un client IM, ni du libre au sens au toi tu l'entends.
Signal est un logiciel open source qui permet de chiffrer très facilement l'équivalent de SMS et appels sur mobile.
Il y a plein de place pour inventer d'autres choses. Hint : Briar

@lunar Je sais qu'il y a oleins de places/autres outils. C'est pas les outils qui manquebt, c'est les users.

Des projets techniquement et ethiquement bien pensés, il y a pleins qui finissent à l'abandon faute de comm'/promotion/userbase

@devnull
Mais ça, ce n'est pas la faute de Moxie. Et ça ne justifie pas de faire du FUD contre Signal.

@lunar Ah bon la dépendance à google cloud messaging/gapps et le choix de centralisation (SPoF), c'est du FUD? Ce sont des choix de moxie, pas l'effet de /dev/random…

@devnull
Relis ton message :
mamot.fr/@devnull/989518543266

(Et non, GCM n'est pas un choix de Moxie, ou alors autant que de décider de faire une appli Android et de chercher à optimiser la batterie.)

EOT.

@lunar Il a affirmé que whatsapp n'avait pas de backoor, il en sait rien (je doute qu'il a audité tout le code prorio de facebook. Et même si c'est le cas, pas de review indépendant possible), ça revient à encenser son usage en disant que c'est digne de confiance.

@lunar Et Silence a fait le choix de ne pas dépendre de gcm, c'est clairement pas l'appli qui bouffe le plis de batteries dans un device android… Surtout comparé aux google apps qui tournent en arrière plan en permanence

@devnull @lunar En même temps Silence a fait le choix d’utiliser un système de messagerie qui ne nécessite pas de poller comme un con pour savoir si on a reçu un message… #JDÇJDR

@aeris @lunar Et ça fonctionne bien comme système. Je vois pas trop pourquoi d'autres applis de messageries ne font pas comme Silence à ce niveau là

@devnull
Soit cohérent dans ta critique : tu ne peux pas râler de l'identifiant par numéro de tel. et vouloir un push par SMS pour éviter GCM.

@aeris

@lunar @devnull La différence est énorme quand même entre devoir connaître le n° de téléphone de son contact, et devoir leaker TOUS les numéros de TOUS ses contacts à un service privateur…

@aeris
Mais tu leaks déjà TOUS les numéros à ton opérateur mobile… il est pas privateur lui ?
@devnull

@lunar @devnull J’ai déjà énoncé mon point de vue à ce sujet. J’ai un *contrat* avec mon opérateur. Français. Poursuivable. Facilement.

@devnull @lunar Je le paie même tous les mois pour qu’il fasse son boulot. Sans parler aussi que je suis capable de communiquer avec d’autres fournisseurs. Sans soucis. #Décentralisation

@aeris @devnull @lunar (my 2 cents) pour l'optimisation de la batterie, y'a pas que PUSH (via GCM) ou WebSocket (RIP la batterie).

Conversations a développé un système efficace et économe (je reçois mes messages XMPP, j'ai pas de GCM vu que ni GApps ni microG, et Conversations dépasse rarement les 2% de conso journalière en idle.

Là où Signal chatouillait les 20% sans problème à rien faire (même pas m'avertir quand j'ai un nouveau message btw) en WebSocket. Une des raisons de son éviction.

@lunar @devnull @aeris (et personne n'a encore cité la dégradation volontaire de la robustesse de la vérification des clés des contacts sous des prétextes fallacieux ;) )

@lunar @aeris Dire que je suis pas cohérent, en sortant mes propos de leurs contexte, sur un point auquel j'ai déja répondu hier, c'est juste une attaque personnelle. Je répète

- C'est normal de communiquer son num de téléphone pour les SMS
- C'est PAS normal de donner son numéro de téléphone en passant par du data (en balançant son graph social à google qui plus est)

@devnull
À quel moment le graph social est balancé à Google  ?

@aeris

@lunar @aeris Du moment que les notifications passent par les serveurs de google ?

@devnull
La notification de GCM ne contient pas d'information sur la nature du message. C'est uniquement un signal pour l'application qui dit « réveille-toi, a priori, un truc t'attend ».
@aeris

@aeris
Silence est peut-être adapté aux messages écrits en France. Pas dans plein d'autres pays où les SMS sont chers. Silence ne chiffre pas les appels.

Ne dit pas « comme un con », le problème existe pour toutes les applis de messageries qui ne souhaitent pas passer par SMS. Hint : Briar

@devnull

@lunar @devnull Je dis « comme un con » parce que tout le monde cherche à faire des choses pas pensées pour vu les conditions actuelles de connectivité des mobiles.

@devnull @lunar On aurait du vrai internet et pas des trucs totalement WTF pour la connectivité, on n’aurait pas à poller comme des maboules pour arriver à faire communiquer des téléphones mobiles…

@aeris
Ce ne serait pas seulement au niveau d'Internet que ça joue. Il faudrait des piles réseaux en hardware capable de réveiller le processeur principal que lorsque c'est nécessaire.
@devnull

@lunar @devnull Ce que les SMS font déjà très bien et que les fabriquants auraient du penser depuis longtemps pour sauver nos batteries plutôt que de faire des monstres de consommation qu’ils sont aujourd’hui…

@devnull Tu ignores le contexte où une recherche de sécu mal comprise et mal promue amenait des journalistes à dire n'importe quoi. Un choix d'UX avec un potentiel impact sur la sécu n'était effectivement pas une backdoor.

@lunar J'ai pas dit que c'était une backdoor. J'ai dit qu'il peut pas affirmer/prouver qu'il y a pas de backdoor (en général. La formulation de sa phrase, "There's no whatsapp backdoor" étant générale…)

@devnull
Ce n'est pas ma lecture. C'est bien parce que les journalistes parlait de « whatsapp backdoor » suite au papier de recherche sus-mentionné. Il parlait bien de l'absence de reconfirmation manuelle en cas de changement de clés de chiffrement.

@lunar Oui, mais c'est pas parce aue que j'en ai pas la même.lecture que toi, que c'est du FUD. Ce qu'au moins une parti dee journalistes rétiendront de sa réponse, c'est qu'il y a pas debackdoor dans whatsapp en général…

@devnull Ça me paraît dangereux de reprocher à une personne des propos rapportés par des journalistes. Sinon, tu peux aussi me défoncer pour l'émission de France Inter sur le darknet.

@lunar Non, c'est pas des propos rapportés des journalistes, c'est sa phrase écrite sur son blog. "There's no whatsapp backdoor", c'est du présent de vérité générale… Difficil d'y lire autre chose que l'affirmation qu'il y a pas de backdoors dans whatapp

@taziden @Cyphergoat Et pour le reste (anonymisation), on est d'accord hein…