📷🐧Dave Null🐧📸 is a user on mamot.fr. You can follow them or interact with them if you have an account anywhere in the fediverse. If you don't, you can sign up here.

Je rappelle que Moxie, l'auteur de signal, c'est le type qui a encenser l'utilisation de WhatsApp [1] parce que je cite « Nous avons travaillé avec whatsapp pour implémenter OMEMO ». Ce type est un putain de charlatan!

1. Implémentation privatrice de XMPP (modifiée), avec comme identifiant le numéro de téléphone >_< et appartenant à une entreprise, qui comme on le sait tous, est hyper-respectueuse de users, nommée facebook…

@devnull je ne comprends quel est le problème, peux tu m'expliquer pourquoi, selon toi, Moxie est un « charlatan » ?

@taziden Au hasard
- Promouvoir un outil proprio, inauditable, appartenant à facebook (très connu pour son respect des users…)
- Avoir menacé LibreSignal jusqu'à ce que le projet soit abandonné
_ Avoir écrire un énorme pavé de propagande contre la décentralisation en prétendant que ça empêche la sécurité?

@devnull il a fait pire que le promouvoir, il a participé à élaborer la fonctionnalité de chiffrement de bout en bout.

Tout en développant et faisant la promotion d'une alternative à côté, Signal.

Par ailleurs, je déteste l'attitude de Moxie vis-à-vis de LibreSignal, etc je suis en total désaccord sur son pavé anti-décentralisation.
Mais rien ne me permet de dire que c'est un charlatan.

La sécurité de Signal est *sérieuse* et n'est pas une escroquerie comme ton toot le laisse penser.

@devnull Je vois des gens qui se sont mis à flipper pour la sécurité de leurs échanges via Signal après ton message.

Tes mots ont une portée et un impact d'autant plus fort que tu te mets en position d'autorité et que tu parles de manière très affirmée.

Fais attention aux mots que tu emploies. Des gens te lisent.

@taziden @devnull
On peut reprocher beaucoup de choses à Signal, mais pas son e2e encryption. Sur ce point, c'est officiellement comme officieusement clean.

📷🐧Dave Null🐧📸 @devnull

@Cyphergoat @taziden Bah justement, j'ai jamais remis en cause le protocole… C'est l'attitude du gus et son status de guru qui pousse les gens à faire confiance à whatsapp/facebook, qui me sortent par le nez… Et aussi les permissions de l'application.

· Web · 1 · 0

@devnull @taziden
Ton toot semblait induire que l'outil était mauvais, fonctionnellement. Clairement 😕.

@devnull @Cyphergoat tu m'expliques l'intérêt d'avoir un outil de communication qui ne peut pas accéder à tes contacts ?

Il faut retaper tout ton carnet d'adresses dedans ? Super !

Et l'appli fonctionne même si on autorise pas toutes les permissions demandées.

@taziden Donc les identifiant signal sont des numéro de téléphone… super si on veut pas donner son identifié ou son numéro de téléphone à un contact…

@Cyphergoat

@devnull @Cyphergoat oui, ça n'est pas parfait pour toutes les situations, clairement. So what ?

@devnull @taziden En effet. Silence fonctionne par SMS, donc numéros only, pourtant je te vois pas dire que c'est de la merde :þ.

Modèle de menace => outil adapté. J'utilise pas Silence quand je veux rester anonyme, j'utilise pas XMPP+OTR quand les personnes ont mon numéro de téléphone et Silence d'installé sur leur mobile.

@Cyphergoat

J'estime que Silence est à utiliser entre gens qui ont déjà échangé leur téléphone, mais qui veulent anonymiser le contenu de leur conversation (les métadonnées sont connues), Signal passe par un serveur central, tant qu'il ne se permet pas de signaler aux autres que tu arrives sur signal (ou que tu es déjà présent) alors ça me va, sinon c'est déjà un risque en soi.

@devnull @taziden

@Cyphergoat @taziden Bah si tu veux chiffrer tes SMS… techniquement, t'es obligé de donner ton numéro >_<

Par contre par Internet, pas besoin. Et avec de la centralisation, du FUD anti-fédération de la part de l'auteur, du google cloud messaging… ça commence à faire un poil trop

@taziden @Cyphergoat Non, dire que les choix de l'auteur de signal n'inspirent pas confiance, et que le culte personnalité autour du gus pour encenser l'usage de whatsapp, est un problème, c'est juste un avis basé sur des faits, pas du FUD…

@devnull @Cyphergoat sauf que ce n'est absolument pas ce que tu disais dans ton premier toot, laissant des gens penser qu'il y avait un souci avec la sécu de Signal == faire du FUD.

@Cyphergoat @devnull FUD : Peur, Incertitude, et Doute, exactement les sentiments que tu as instillé à ces personnes.

@taziden @Cyphergoat Non, ça c'est ton interprétation personnelle. J'ai fait aucun reproche au protocole de chiffrement/au niveau de sécurité. J'ai critiqué l'attitude du gus contre la décentralisation et son encensement de whatsapp.

@devnull @Cyphergoat c'est pas *mon* interprétation. C'est ce que j'ai pu constater chez d'autres personnes.
Après tu en fais ce que tu veux hein. Si tu veux continuer à ranter et insulter les gens parce qu'ils utilisent pas les bons outils pour après venir dire qu'il "faut éduquer les gens" … libre à toi.

Pour moi, ce que tu fais est totalement contre-productif et participe à la mauvaise image qu'ont plein de gens de nos communautés.

@taziden @Cyphergoat Critiquer l'attitude de moxie, c'est insulter des gens?

Là c'est clairement toi qui fait du FUD en m'accusant de soit disant « insulter les gens »… Je crois qu'il vaut mieux qu'on arrête la discussion ici.

@devnull @taziden Pour ajouter de l'huile sur le brasero, je tiens à préciser que dans une conversation, il y a un émetteur et un/des récepteurs, et que si le message passe mal, c'est rarement uniquement la faute du/des récepteurs.

@devnull
De quel culte de la personnalité tu parles ?
Il tient un blog. Il fait des softs. Il gère une petite boîte. Dans le monde de l'infosec, il reste une figure relativement effacée.

En comparaison, je monte sur scène pendant 2h pour raconter litéralement ma vie… Du coup, j'aimerais bien comprendre.

Que tu ne sois pas d'accord avec ses idées, très bien, on peut en débattre. Est-ce nécessaire de l'attaquer personnellement ?

@Cyphergoat @taziden

@lunar Relativement efface du paysage de l'infosec, Mais culte de la personnalité quand même, en dehors de ce paysage. Je parles des gens qui balayent d'un revers de main le fait que whatsapp est privateur, en plus d'appartenir à facebook, pour utiliser moxie et le protocole de Signal, comme caution pour promouvoir whatsapp comme un outil qui permetterai de se protéger de la surveillance de masse…

Concernant moxie lui même, c'est pas des attaques personnelles 1/2

@lunar C'est juste le contexte que son attitude n'inspire aucune confiance

Son attitude envers LibreSignal et envers Wire [1], ses mensonges pro-centralisation [2] avec du FUD dedans, et la dépendance de signal aux services google, soit disant retirée [3], vont à l'encontre de ce qu'il prétend défendre. 2/2

1. medium.com/@wireapp/axolotl-an
2. signal.org/blog/the-ecosystem-
3. Mais enfait non, signal est toujours dépendant des services/applications google : twitter.com/aeris22/status/925

@devnull Ce tout le contraire d'un constat, c'est un jugement. On dirait que tu pars du principe que Moxie a les mêmes buts dans la vie que toi, et donc que tu lui en veux de les saboter. Alors qu'en fait, ce qu'il dit montre surtout que ses buts ne sont pas alignés avec, au moins, les miens, et j'ai l'impression une partie des tiens.

Maintenant, la question pour moi c'est : peut-on avoir néanmoins des intérets communs ?

@devnull Tu critiques le fait que Signal utilise des numéros de téléphones comme identifiants. Sauf que ce n'est pas un bug, c'est une feature vis-à-vis de ce que souhaite Moxie : massifier drastiquement l'usage du chifrement. On a des millards de SMS qui circulent en clair. Remplaçons-les par un équivalent chiffré.
Ça ne correspond ni à tes envies, ni à tes besoins ? Tant pis, on a quand même gagné le protocole de Signal, qui est bien mieux que tout ce qu'on avait jusque là pour l'IM.

@devnull Cela dit, pour ne te donner qu'un seul exemple : j'ai enfin un canal de communication chiffré dans lequel j'ai une bonne confiance — oui, Signal a bien plus été audité que d'autres outils, et reste libre — avec mon avocat. Rien n'avait fonctionné avant. Je n'aurais jamais pu lui imposer de changer ses habitudes de travail pour ma petite pomme.

@devnull Et damn, arrête de dire que Moxie ment quand il parle de (dé)centralisation. Que tu ne trouves pas ses arguments valables, soit, mais il ne ment pas quand il partage son analyse des systèmes décentralisés.
Toi, tu as peut-être des priorités, différentes. Tant mieux, discutons de stratégie. Mais ça ne sert à rien de se traiter de menteur·euse·s quand le « vrai » n'est pas la question.

@devnull Si je vais dans la rue demain et que demande « vous connaissez Moxie ? », j'ai de gros doutes qu'on me réponde « ah oui, il est génial ». Donc j'ai du mal à imaginer à qui tu as pu parler pour que ça se transforme en « culte de la personalité ».
Je viens de finir de lire « La Petite Communiste » de Lola Lafon. Ce n'est vraiment pas une expression qu'on devrait prendre à la légère.
fr.wikipedia.org/wiki/La_Petit

@devnull Concernant WhatsApp, je connais plein de militant·e·s qui s'en servent. J'étais content d'apprendre que leur communication était devenue plus diffiicile à espionner sans qui ni elleux ni moi ayons à faire d'efforts pour que ça arrive.

Maintenant, plutôt que d'être en colère contre Moxie ou même « les gens », une question que nous pourrions nous poser  : pourquoi est-ce qu'on n'arrive pas à transmettre aux autres l'importance d'utiliser des logiciels libres pour leur communications ?

@lunar Sauf que j'ai pas dit que c'était un bug… Quand on utilise Internet comme canal d'un outil se voulant provacy friendly, c'est mieux de pas identifier les personnes aussi finement que par un numéro de téléphone. Mais c'est même pas le.poibt.le plus récurrent/plus gros de ma critique. Le plus gros, c'est la dépendance à google et l'agressivité de moxie envers les projets tierces qui ont voulus être compatible avec Signal.

@lunar Chiffrer les SMS? Très bien, sauf qu'il y a Silence
- Pas besoin de data (oui, parce aue tout le monde ne l'as pas…)
- Ça juste marche sans dépendances aux gapps, signal les réclame encore (cf le lien donné précedemment)
- Les devs de Silence n'agressent pas les autres projets. L'attitude de moxie envers LibreSignal et wire ressemble à du copyright troll…

Pour whatsapp, c'est faire confiance au code proprio de fb, génial… Rien ne garanti que FB ne peut pas récupérer les clés privées…

@devnull
Prends-le temps de me lire au lieu de répéter ce que tu as déjà écrit et ce que tu sais que je sais déjà.

@lunar Tu t'arrête au numéro de téléphone, donc oui je me répète…
J'ai lu et oui je sais très bien.que tu le sais. C'est juste qu'on est pas d'accord. Tu semble considérer que comme c'est chiffré, c'est aussi bon à prendre, ça rends la surveillance de masse plus difficile.

Alors que je considère que facebook, et par extensions whatsapp, fait partie du problème, et n'est pas digne d'une once de confiance. Entre leurs business model, et leurs pratiques habituelles, il y a de quoi se méfier

@devnull Mais est-ce que tu t'es posé la question du pourquoi du succès de WhatsApp ? (Avant même le rachat par FaceBook.)

Les SMS illimités, c'est très localisé à la France. Pour ce que je connais pour l'Espagne, WhatsApp a surtout constitué une occasion de diminuer les factures, en plus de pouvoir échanger des photos.

Les personnes qui utilisent WhatsApp méritent qu'on puisse facilement surveiller leurs communicatiosn, selon toi ?

@lunar …Tu m'explique en quoi rappeler qu'un outil prorio developpé par une boite dont le business model est la surveillance de masse, et connu pour sa politique de censure, c'est dire ou sous entendre que les gens qui utilisent cet outil « méritent qu'on puisse facilement surveiller leurs communications » ? NON c'est juste avoir 0 confiance en fb

Il y a quelques années, on racontait que « le protocole skype est chiffré/compliqué à surveiller donc militant-friendly », on a vu ce que ça a donné…

@devnull Qui est-ce qui racontait que Skype était « militant-friendly » ?

Quand je donne l'exemple des militant·e·s en Espagne que je connais, illes utilisant *déjà* WhatsApp. L'arrivée du protocole Signal dans l'application a rendu plus difficile la surveillance de leurs communications.

Mais mon discours n'a pas changé : je leur en déconseille toujours l'usage et continue à expliquer le code et le développement fermé, ainsi que le modèle économique de Facebook.

@lunar Des bloggers avec beaucoup d'audience, genre Korben qui proposait d'utiliser skype pour se protéger du DPI [1]

Je t'ai jamais reproché d'avoir changé de discours, mais des gens dans la presse qui recommandent whatsapp « parce que signal », en passant sous silence (sans mauvais jeu de mots) son coté boite noire et les pratiques de fb, il y en à la pelle… Quelques exemples :
mobile.nytimes.com/2016/11/17/
recode.net/2017/4/15/15297316/
m.windowscentral.com/how-prote
1. korben.info/le-filtrage-par-dp

@devnull
Donc tu en veux personellement à moxie parce que tu as l'impression qu'il a aidé « l'ennemi » ?

@lunar Non, je lui reproche
- La dépandance à google
- Son copyright troll envers LibreSignal et wire, alors que travailler avec facebook, qui enferme les users dans sa plateforme prorio, ne le dérange pas plus que ça.

Si le but de son travail sur whatsapp, c'est juste de démocratiser la crypto, pourquoi avoir nuit à LibreSignal? Et pourquoi avoir dit à wire de payer une licence de 2.5M pour les binaires seulement, quand ils l'ont approché pour implementer Axolotl ? J'y vois de l'hypocrisie…

@devnull Je ne sais pas le détail pour Wire. Mais sachant que c'est du libre et que le protocole est documenté, si Wire veut utiliser le protocole Signal, c'est possible tout comme OMEMO le fait, non ?

@devnull Pour LibreSignal, j'ai bien davantage suivi.

Je comprends la position de Moxie. Entre autre pour avoir fait du support pour Tor. Chaque jour on avait une personne qui venait nous parler de TorMail. Un truc qu'on n'aurait jamais mis en place mais qui entretenait la confusion avec son nom et qui nous faisait perdre un temps effroyable. OWS est une toute petite équipe.

@taziden @Cyphergoat Et pour le reste (anonymisation), on est d'accord hein…