L'application de messagerie chiffrée Signal permet désormais aux utilisateurs de créer et de partager un nom d'utilisateur pour se connecter à d'autres personnes en toute sécurité. Après l'avoir mise à disposition en version bêta pendant quelques semaines, Signal a mis en place la prise en charge des noms d'utilisateur sur son service de messagerie chiffrée. Tout utilisateur peut ainsi ajouter un nom d'utilisateur facultatif qui le mettra en relation avec d'autres personnes sans partager son numéro de téléphone. D’un point de vue sécurité, c’est une avancée. Néanmoins, cette dernière vient avec un revers en matière de confidentialité.Avec la nouvelle version de Signal, il n'y aura plus de diffusion par défaut du numéro de téléphone à toutes les personnes à qui l'utilisateur envoie des messages, bien qu'il puisse opter pour cette possibilité. A chaque nouvelle conversation sur Signal, le numéro ne sera plus partagé du tout : Les contacts ne verront que le nom configuré lors de la création du profil Signal. Ainsi, même si le contact de l'utilisateur utilise un client Signal personnalisé, par exemple, il ne pourra toujours pas découvrir le numéro de l'utilisateur puisque le service ne le lui communiquera jamais. Le numéro de téléphone sera par contre toujours affiché aux contacts qui l'ont déjà enregistré dans leur téléphone.
Les utilisateurs ont en sus la possibilité de définir un nom d'utilisateur. Signal permettra aux utilisateurs de le modifier quand ils le souhaitent et de le supprimer quand ils n’en veulent plus. Au lieu de stocker directement le nom d'utilisateur dans les détails du compte de l’utilisateur, Signal en stocke un hachage cryptographique. La nouvelle version du service de messagerie utilise l'algorithme de hachage Ristretto 25519. Ce dernier stocke essentiellement un bloc de données aléatoires au lieu des noms d'utilisateur eux-mêmes. Cela s'apparente à la façon dont les services en ligne peuvent confirmer la validité du mot de passe d'un utilisateur sans stocker une copie du mot de passe lui-même.
Des rapports font néanmoins état de ce que, dans le cas où Signal reçoit une citation à comparaître exigeant la remise de toutes les données de compte relatives à un utilisateur ayant un nom d'utilisateur spécifique et actuellement actif au moment où Signal les consulte, elle sera en mesure de les relier à un compte. Cela signifie que Signal sera en mesure de communiquer le numéro de téléphone de l'utilisateur, ainsi que la date de création du compte et la date de la dernière connexion.
Signal ne peut cependant pas confirmer depuis combien de temps un nom d'utilisateur donné est utilisé, combien d'autres comptes l'ont utilisé dans le passé, ni quoi que ce soit d'autre à son sujet. Si l'utilisateur de Signal a brièvement utilisé un nom d'utilisateur puis l'a supprimé, Signal n'est même pas en mesure de confirmer qu'il a été utilisé au départ, et encore moins de savoir quels comptes l'ont utilisé auparavant. C'est cet état de choses qui rendra l'accès aux données par les autorités plus difficile.
En effet, les noms d'utilisateur étant conçus pour être éphémères, l'utilisateur peut créer un nouveau nom d'utilisateur spécialement pour une conférence à laquelle il souhaite paticiper ou pour une fête. Les gens peuvent se connecter à ce dernier via ce nom d'utilisateur, et ce dernier peut ensuite être supprimé après usage et remplacé par un nouveau au besoin.
La création d’un nom d'utilisateur se fait en accédant aux paramètres et en sélectionnant "Profil". Après avoir créé un nom d'utilisateur unique, l’utilisateur peut générer un code QR ou un lien qui renvoie les utilisateurs à son nom d'utilisateur dans l'application. Les autres utilisateurs peuvent également se connecter à un tiers en tapant son nom d’utilisateur dans la nouvelle barre de chat et en envoyant un message. Grosso, un utilisateur désireux de communiquer avec un tiers devra connaître son nom d'utilisateur exact et unique pour commencer à discuter avec lui sur Signal.
Bien que le fait de communiquer un nom d'utilisateur en lieu et place d’un numéro de téléphone puisse rendre l'envoi de messages par l'intermédiaire de l'application plus privé, il est possible que certaines personnes abusent de cette fonction pour se faire passer pour d'autres utilisateurs de l'application. Pour limiter ce risque, Signal suggère aux utilisateurs de comparer les numéros de sécurité, c'est-à-dire le code unique qui permet de vérifier l'identité de la personne à qui l'on envoie un message. L'application affiche en sus une bannière dans le cas des discussions de groupe avec plusieurs personnes portant le même nom.
Source : Signal
Et vous ?
Que pensez-vous de cette nouvelle fonctionnalité ? Les craintes mises en avant par les rapports y relatifs sont-elles justifiées ?Voir aussi :
Brian Acton, cofondateur WhatsApp, explique pourquoi il est parti de Facebook et a abandonné 850 millions de $ Signal, une application de messagerie rapide et sécurisée, approuvée par Snowden, mais est-elle vraiment plus sécurisée que ses concurrents ? Les grands FAI américains ne sont pas emballés par les projets de Google concernant le chiffrement DNS, voici pourquoi ils s'opposent à la mise en place du protocole DoH sur Chrome Le Low-Code et le No-Code amélioreraient le travail des développeurs selon Outsystems, toutefois, certains développeurs trouvent qu'ils manquent de flexibilité et de sécurité