Je rappelle que Moxie, l'auteur de signal, c'est le type qui a encenser l'utilisation de WhatsApp [1] parce que je cite « Nous avons travaillĂ© avec whatsapp pour implĂ©menter OMEMO ». Ce type est un putain de charlatan!

1. Implémentation privatrice de XMPP (modifiée), avec comme identifiant le numéro de téléphone >_< et appartenant à une entreprise, qui comme on le sait tous, est hyper-respectueuse de users, nommée facebook


@devnull je ne comprends quel est le problÚme, peux tu m'expliquer pourquoi, selon toi, Moxie est un « charlatan » ?

@taziden Au hasard
- Promouvoir un outil proprio, inauditable, appartenant à facebook (trùs connu pour son respect des users
)
- Avoir menacé LibreSignal jusqu'à ce que le projet soit abandonné
_ Avoir Ă©crire un Ă©norme pavĂ© de propagande contre la dĂ©centralisation en prĂ©tendant que ça empĂȘche la sĂ©curitĂ©?

@devnull il a fait pire que le promouvoir, il a participé à élaborer la fonctionnalité de chiffrement de bout en bout.

Tout en développant et faisant la promotion d'une alternative à cÎté, Signal.

Par ailleurs, je déteste l'attitude de Moxie vis-à-vis de LibreSignal, etc je suis en total désaccord sur son pavé anti-décentralisation.
Mais rien ne me permet de dire que c'est un charlatan.

La sécurité de Signal est *sérieuse* et n'est pas une escroquerie comme ton toot le laisse penser.

@devnull Je vois des gens qui se sont mis à flipper pour la sécurité de leurs échanges via Signal aprÚs ton message.

Tes mots ont une portée et un impact d'autant plus fort que tu te mets en position d'autorité et que tu parles de maniÚre trÚs affirmée.

Fais attention aux mots que tu emploies. Des gens te lisent.

@taziden @devnull
On peut reprocher beaucoup de choses Ă  Signal, mais pas son e2e encryption. Sur ce point, c'est officiellement comme officieusement clean.

Follow

@Cyphergoat @taziden Bah justement, j'ai jamais remis en cause le protocole
 C'est l'attitude du gus et son status de guru qui pousse les gens à faire confiance à whatsapp/facebook, qui me sortent par le nez
 Et aussi les permissions de l'application.

· Web · 0 · 1 · 0

@devnull @taziden
Ton toot semblait induire que l'outil Ă©tait mauvais, fonctionnellement. Clairement 😕.

@devnull @Cyphergoat tu m'expliques l'intĂ©rĂȘt d'avoir un outil de communication qui ne peut pas accĂ©der Ă  tes contacts ?

Il faut retaper tout ton carnet d'adresses dedans ? Super !

Et l'appli fonctionne mĂȘme si on autorise pas toutes les permissions demandĂ©es.

@taziden Donc les identifiant signal sont des numéro de téléphone
 super si on veut pas donner son identifié ou son numéro de téléphone à un contact


@Cyphergoat

@devnull @Cyphergoat oui, ça n'est pas parfait pour toutes les situations, clairement. So what ?

@devnull @taziden En effet. Silence fonctionne par SMS, donc numĂ©ros only, pourtant je te vois pas dire que c'est de la merde :ĂŸ.

ModÚle de menace => outil adapté. J'utilise pas Silence quand je veux rester anonyme, j'utilise pas XMPP+OTR quand les personnes ont mon numéro de téléphone et Silence d'installé sur leur mobile.

@Cyphergoat

J'estime que Silence est à utiliser entre gens qui ont déjà échangé leur téléphone, mais qui veulent anonymiser le contenu de leur conversation (les métadonnées sont connues), Signal passe par un serveur central, tant qu'il ne se permet pas de signaler aux autres que tu arrives sur signal (ou que tu es déjà présent) alors ça me va, sinon c'est déjà un risque en soi.

@devnull @taziden

@Cyphergoat @taziden Bah si tu veux chiffrer tes SMS
 techniquement, t'es obligé de donner ton numéro >_<

Par contre par Internet, pas besoin. Et avec de la centralisation, du FUD anti-fĂ©dĂ©ration de la part de l'auteur, du google cloud messaging
 ça commence Ă  faire un poil trop

@taziden @Cyphergoat Non, dire que les choix de l'auteur de signal n'inspirent pas confiance, et que le culte personnalité autour du gus pour encenser l'usage de whatsapp, est un problÚme, c'est juste un avis basé sur des faits, pas du FUD


@devnull @Cyphergoat sauf que ce n'est absolument pas ce que tu disais dans ton premier toot, laissant des gens penser qu'il y avait un souci avec la sécu de Signal == faire du FUD.

@Cyphergoat @devnull FUD : Peur, Incertitude, et Doute, exactement les sentiments que tu as instillé à ces personnes.

@taziden @Cyphergoat Non, ça c'est ton interprétation personnelle. J'ai fait aucun reproche au protocole de chiffrement/au niveau de sécurité. J'ai critiqué l'attitude du gus contre la décentralisation et son encensement de whatsapp.

@devnull @Cyphergoat c'est pas *mon* interprétation. C'est ce que j'ai pu constater chez d'autres personnes.
AprĂšs tu en fais ce que tu veux hein. Si tu veux continuer Ă  ranter et insulter les gens parce qu'ils utilisent pas les bons outils pour aprĂšs venir dire qu'il "faut Ă©duquer les gens" 
 libre Ă  toi.

Pour moi, ce que tu fais est totalement contre-productif et participe à la mauvaise image qu'ont plein de gens de nos communautés.

@taziden @Cyphergoat Critiquer l'attitude de moxie, c'est insulter des gens?

LĂ  c'est clairement toi qui fait du FUD en m'accusant de soit disant « insulter les gens »  Je crois qu'il vaut mieux qu'on arrĂȘte la discussion ici.

@devnull @taziden Pour ajouter de l'huile sur le brasero, je tiens à préciser que dans une conversation, il y a un émetteur et un/des récepteurs, et que si le message passe mal, c'est rarement uniquement la faute du/des récepteurs.

@devnull @Cyphergoat pour moi, t'es insultant/méprisant ici :
mamot.fr/@devnull/989523621997

Mais sinon, oui, restons-en lĂ .

@devnull
De quel culte de la personnalitĂ© tu parles ?
Il tient un blog. Il fait des softs. Il gÚre une petite boßte. Dans le monde de l'infosec, il reste une figure relativement effacée.

En comparaison, je monte sur scÚne pendant 2h pour raconter litéralement ma vie
 Du coup, j'aimerais bien comprendre.

Que tu ne sois pas d'accord avec ses idĂ©es, trĂšs bien, on peut en dĂ©battre. Est-ce nĂ©cessaire de l'attaquer personnellement ?

@Cyphergoat @taziden

@lunar Relativement efface du paysage de l'infosec, Mais culte de la personnalitĂ© quand mĂȘme, en dehors de ce paysage. Je parles des gens qui balayent d'un revers de main le fait que whatsapp est privateur, en plus d'appartenir Ă  facebook, pour utiliser moxie et le protocole de Signal, comme caution pour promouvoir whatsapp comme un outil qui permetterai de se protĂ©ger de la surveillance de masse


Concernant moxie lui mĂȘme, c'est pas des attaques personnelles 1/2

@lunar C'est juste le contexte que son attitude n'inspire aucune confiance

Son attitude envers LibreSignal et envers Wire [1], ses mensonges pro-centralisation [2] avec du FUD dedans, et la dépendance de signal aux services google, soit disant retirée [3], vont à l'encontre de ce qu'il prétend défendre. 2/2

1. medium.com/@wireapp/axolotl-an
2. signal.org/blog/the-ecosystem-
3. Mais enfait non, signal est toujours dépendant des services/applications google : twitter.com/aeris22/status/925

@devnull Ce tout le contraire d'un constat, c'est un jugement. On dirait que tu pars du principe que Moxie a les mĂȘmes buts dans la vie que toi, et donc que tu lui en veux de les saboter. Alors qu'en fait, ce qu'il dit montre surtout que ses buts ne sont pas alignĂ©s avec, au moins, les miens, et j'ai l'impression une partie des tiens.

Maintenant, la question pour moi c'est : peut-on avoir nĂ©anmoins des intĂ©rets communs ?

@devnull Tu critiques le fait que Signal utilise des numĂ©ros de tĂ©lĂ©phones comme identifiants. Sauf que ce n'est pas un bug, c'est une feature vis-Ă -vis de ce que souhaite Moxie : massifier drastiquement l'usage du chifrement. On a des millards de SMS qui circulent en clair. Remplaçons-les par un Ă©quivalent chiffrĂ©.
Ça ne correspond ni Ă  tes envies, ni Ă  tes besoins ? Tant pis, on a quand mĂȘme gagnĂ© le protocole de Signal, qui est bien mieux que tout ce qu'on avait jusque lĂ  pour l'IM.

@devnull Cela dit, pour ne te donner qu'un seul exemple : j'ai enfin un canal de communication chiffrĂ© dans lequel j'ai une bonne confiance â€” oui, Signal a bien plus Ă©tĂ© auditĂ© que d'autres outils, et reste libre â€” avec mon avocat. Rien n'avait fonctionnĂ© avant. Je n'aurais jamais pu lui imposer de changer ses habitudes de travail pour ma petite pomme.

@devnull Et damn, arrĂȘte de dire que Moxie ment quand il parle de (dĂ©)centralisation. Que tu ne trouves pas ses arguments valables, soit, mais il ne ment pas quand il partage son analyse des systĂšmes dĂ©centralisĂ©s.
Toi, tu as peut-ĂȘtre des prioritĂ©s, diffĂ©rentes. Tant mieux, discutons de stratĂ©gie. Mais ça ne sert Ă  rien de se traiter de menteur·euse·s quand le « vrai Â» n'est pas la question.

@devnull Si je vais dans la rue demain et que demande « vous connaissez Moxie ? Â», j'ai de gros doutes qu'on me rĂ©ponde « ah oui, il est gĂ©nial Â». Donc j'ai du mal Ă  imaginer Ă  qui tu as pu parler pour que ça se transforme en « culte de la personalitĂ© Â».
Je viens de finir de lire « La Petite Communiste Â» de Lola Lafon. Ce n'est vraiment pas une expression qu'on devrait prendre Ă  la lĂ©gĂšre.
fr.wikipedia.org/wiki/La_Petit

@devnull Concernant WhatsApp, je connais plein de militant·e·s qui s'en servent. J'étais content d'apprendre que leur communication était devenue plus diffiicile à espionner sans qui ni elleux ni moi ayons à faire d'efforts pour que ça arrive.

Maintenant, plutĂŽt que d'ĂȘtre en colĂšre contre Moxie ou mĂȘme « les gens Â», une question que nous pourrions nous poser  : pourquoi est-ce qu'on n'arrive pas Ă  transmettre aux autres l'importance d'utiliser des logiciels libres pour leur communications ?

@lunar Sauf que j'ai pas dit que c'Ă©tait un bug
 Quand on utilise Internet comme canal d'un outil se voulant provacy friendly, c'est mieux de pas identifier les personnes aussi finement que par un numĂ©ro de tĂ©lĂ©phone. Mais c'est mĂȘme pas le.poibt.le plus rĂ©current/plus gros de ma critique. Le plus gros, c'est la dĂ©pendance Ă  google et l'agressivitĂ© de moxie envers les projets tierces qui ont voulus ĂȘtre compatible avec Signal.

@lunar Chiffrer les SMS? TrĂšs bien, sauf qu'il y a Silence
- Pas besoin de data (oui, parce aue tout le monde ne l'as pas
)
- Ça juste marche sans dĂ©pendances aux gapps, signal les rĂ©clame encore (cf le lien donnĂ© prĂ©cedemment)
- Les devs de Silence n'agressent pas les autres projets. L'attitude de moxie envers LibreSignal et wire ressemble à du copyright troll


Pour whatsapp, c'est faire confiance au code proprio de fb, génial
 Rien ne garanti que FB ne peut pas récupérer les clés privées


@devnull
Prends-le temps de me lire au lieu de répéter ce que tu as déjà écrit et ce que tu sais que je sais déjà.

@lunar Tu t'arrĂȘte au numĂ©ro de tĂ©lĂ©phone, donc oui je me rĂ©pĂšte

J'ai lu et oui je sais trÚs bien.que tu le sais. C'est juste qu'on est pas d'accord. Tu semble considérer que comme c'est chiffré, c'est aussi bon à prendre, ça rends la surveillance de masse plus difficile.

Alors que je considÚre que facebook, et par extensions whatsapp, fait partie du problÚme, et n'est pas digne d'une once de confiance. Entre leurs business model, et leurs pratiques habituelles, il y a de quoi se méfier

@devnull Mais est-ce que tu t'es posĂ© la question du pourquoi du succĂšs de WhatsApp ? (Avant mĂȘme le rachat par FaceBook.)

Les SMS illimités, c'est trÚs localisé à la France. Pour ce que je connais pour l'Espagne, WhatsApp a surtout constitué une occasion de diminuer les factures, en plus de pouvoir échanger des photos.

Les personnes qui utilisent WhatsApp mĂ©ritent qu'on puisse facilement surveiller leurs communicatiosn, selon toi ?

@lunar 
Tu m'explique en quoi rappeler qu'un outil prorio developpĂ© par une boite dont le business model est la surveillance de masse, et connu pour sa politique de censure, c'est dire ou sous entendre que les gens qui utilisent cet outil « mĂ©ritent qu'on puisse facilement surveiller leurs communications » ? NON c'est juste avoir 0 confiance en fb

Il y a quelques annĂ©es, on racontait que « le protocole skype est chiffrĂ©/compliquĂ© Ă  surveiller donc militant-friendly », on a vu ce que ça a donné 

@devnull Qui est-ce qui racontait que Skype Ă©tait « militant-friendly » ?

Quand je donne l'exemple des militant·e·s en Espagne que je connais, illes utilisant *déjà* WhatsApp. L'arrivée du protocole Signal dans l'application a rendu plus difficile la surveillance de leurs communications.

Mais mon discours n'a pas changĂ© : je leur en dĂ©conseille toujours l'usage et continue Ă  expliquer le code et le dĂ©veloppement fermĂ©, ainsi que le modĂšle Ă©conomique de Facebook.

@lunar Des bloggers avec beaucoup d'audience, genre Korben qui proposait d'utiliser skype pour se protéger du DPI [1]

Je t'ai jamais reprochĂ© d'avoir changĂ© de discours, mais des gens dans la presse qui recommandent whatsapp « parce que signal », en passant sous silence (sans mauvais jeu de mots) son cotĂ© boite noire et les pratiques de fb, il y en Ă  la pelle
 Quelques exemples :
mobile.nytimes.com/2016/11/17/
recode.net/2017/4/15/15297316/
m.windowscentral.com/how-prote
1. korben.info/le-filtrage-par-dp

@devnull
Donc tu en veux personellement Ă  moxie parce que tu as l'impression qu'il a aidĂ© « l'ennemi Â» ?

@lunar Non, je lui reproche
- La dépandance à google
- Son copyright troll envers LibreSignal et wire, alors que travailler avec facebook, qui enferme les users dans sa plateforme prorio, ne le dérange pas plus que ça.

Si le but de son travail sur whatsapp, c'est juste de démocratiser la crypto, pourquoi avoir nuit à LibreSignal? Et pourquoi avoir dit à wire de payer une licence de 2.5M pour les binaires seulement, quand ils l'ont approché pour implementer Axolotl ? J'y vois de l'hypocrisie


@devnull Je ne sais pas le dĂ©tail pour Wire. Mais sachant que c'est du libre et que le protocole est documentĂ©, si Wire veut utiliser le protocole Signal, c'est possible tout comme OMEMO le fait, non ?

@devnull Pour LibreSignal, j'ai bien davantage suivi.

Je comprends la position de Moxie. Entre autre pour avoir fait du support pour Tor. Chaque jour on avait une personne qui venait nous parler de TorMail. Un truc qu'on n'aurait jamais mis en place mais qui entretenait la confusion avec son nom et qui nous faisait perdre un temps effroyable. OWS est une toute petite Ă©quipe.

@taziden @Cyphergoat Et pour le reste (anonymisation), on est d'accord hein


Sign in to participate in the conversation
La Quadrature du Net - Mastodon - Media Fédéré

Bienvenue dans le media fédéré de la Quadrature du Net association de défense des libertés. Les inscriptions sont ouvertes et libres.
Tout compte créé ici pourra a priori discuter avec l'ensemble des autres instances de Mastodon de la fédération, et sera visible sur les autres instances.
Nous maintiendrons cette instance sur le long terme.