
Ce qui est à la fois légitime pour certains et une potentielle aubaine pour les individus mal intentionnés
L'application de messagerie chiffrée Signal permet désormais aux utilisateurs de créer et de partager un nom d'utilisateur pour se connecter à d'autres personnes en toute sécurité. Après l'avoir mise à disposition en version bêta pendant quelques semaines, Signal a mis en place la prise en charge des noms d'utilisateur sur son service de messagerie chiffrée. Tout utilisateur peut ainsi ajouter un nom d'utilisateur facultatif qui le mettra en relation avec d'autres personnes sans partager son numéro de téléphone. D’un point de vue sécurité, c’est une avancée. Néanmoins, cette dernière vient avec un revers en matière de confidentialité.
Avec la nouvelle version de Signal, il n'y aura plus de diffusion par défaut du numéro de téléphone à toutes les personnes à qui l'utilisateur envoie des messages, bien qu'il puisse opter pour cette possibilité. A chaque nouvelle conversation sur Signal, le numéro ne sera plus partagé du tout : Les contacts ne verront que le nom configuré lors de la création du profil Signal. Ainsi, même si le contact de l'utilisateur utilise un client Signal personnalisé, par exemple, il ne pourra toujours pas découvrir le numéro de l'utilisateur puisque le service ne le lui communiquera jamais. Le numéro de téléphone sera par contre toujours affiché aux contacts qui l'ont déjà enregistré dans leur téléphone.
Les utilisateurs ont en sus la possibilité de définir un nom d'utilisateur. Signal permettra aux utilisateurs de le modifier quand ils le souhaitent et de le supprimer quand ils n’en veulent plus. Au lieu de stocker directement le nom d'utilisateur dans les détails du compte de l’utilisateur, Signal en stocke un hachage cryptographique. La nouvelle version du service de messagerie utilise l'algorithme de hachage Ristretto 25519. Ce dernier stocke essentiellement un bloc de données aléatoires au lieu des noms d'utilisateur eux-mêmes. Cela s'apparente à la façon dont les services en ligne peuvent confirmer la validité du mot de passe d'un utilisateur sans stocker une copie du mot de passe lui-même.
Des rapports font néanmoins état de ce que, dans le cas où Signal reçoit une citation à comparaître exigeant la remise de toutes les données de compte relatives à un utilisateur ayant un nom d'utilisateur spécifique et actuellement actif au moment où Signal les consulte, elle sera en mesure de les relier à un compte. Cela signifie que Signal sera en mesure de communiquer le numéro de téléphone de l'utilisateur, ainsi que la date de création du compte et la date de la dernière connexion.
Signal ne peut cependant pas confirmer depuis combien de temps un nom d'utilisateur donné est utilisé, combien d'autres comptes l'ont utilisé dans le passé, ni quoi que ce soit d'autre à son sujet. Si l'utilisateur de Signal a brièvement utilisé un nom d'utilisateur puis l'a supprimé, Signal n'est même pas en mesure de confirmer qu'il a été utilisé au départ, et encore moins de savoir quels comptes l'ont utilisé auparavant. C'est cet état de choses qui rendra l'accès aux données par les autorités plus difficile.
En effet, les noms d'utilisateur étant conçus pour être éphémères, l'utilisateur peut créer un nouveau nom d'utilisateur spécialement pour une conférence à laquelle il souhaite paticiper ou pour une fête. Les gens peuvent se connecter à ce dernier via ce nom d'utilisateur, et ce dernier peut ensuite être supprimé après usage et remplacé par un nouveau au besoin.
La création d’un nom d'utilisateur se fait en accédant aux paramètres et en sélectionnant "Profil". Après avoir créé un nom d'utilisateur unique, l’utilisateur peut générer un code QR ou un lien qui renvoie les utilisateurs à son nom d'utilisateur dans l'application. Les autres utilisateurs peuvent également se connecter à un tiers en tapant son nom d’utilisateur dans la nouvelle barre de chat et en envoyant un message. Grosso, un utilisateur désireux de communiquer avec un tiers devra connaître son nom d'utilisateur exact et unique pour commencer à discuter avec lui sur Signal.
Bien que le fait de communiquer un nom d'utilisateur en lieu et place d’un numéro de téléphone puisse rendre l'envoi de messages par l'intermédiaire de l'application plus privé, il est possible que certaines personnes abusent de cette fonction pour se faire passer pour d'autres utilisateurs de l'application. Pour limiter ce risque, Signal suggère aux utilisateurs de comparer les numéros de sécurité, c'est-à-dire le code unique qui permet de vérifier l'identité de la personne à qui l'on envoie un message. L'application affiche en sus une bannière dans le cas des discussions de groupe avec plusieurs personnes portant le même nom.
Source : Signal
Et vous ?

Voir aussi :




Vous avez lu gratuitement 3 articles depuis plus d'un an.
Soutenez le club developpez.com en souscrivant un abonnement pour que nous puissions continuer à vous proposer des publications.
Soutenez le club developpez.com en souscrivant un abonnement pour que nous puissions continuer à vous proposer des publications.