MATRIX vs SIGNAL vs XMPP : Quelle messagerie instantanée utiliser ?

Pour partager sur des sujets qui nous tiennent à cœur...
Avatar de l’utilisateur⋅rice
Leslie
Équipe ADDPK
Messages : 2412
Inscription : 28 juin 2015, 10:45
> VILLE : Nantes
> ASSO : Aucune
> Joignable sur MATRIX ? : Oui :-)
Contact :

MATRIX vs SIGNAL vs XMPP : Quelle messagerie instantanée utiliser ?

Message par Leslie »

Nous sommes quelques un⋅e⋅s sur le forum a désormais être sur le réseau indépendant et fédéré "Matrix" :D, qui est une alternative libre à Whatsapp.

Je viens donc de rajouter un champs de profil pour permettre de l'indiquer. Si l'on parcourt les sujets du forum via un ordi, on peut maintenant voir s'afficher cette indication à gauche du message posté :
Matrix_Profil_ADDPK.png
Matrix_Profil_ADDPK.png (45.38 Kio) Consulté 3930 fois

Pourquoi se retrouver sur Matrix, puisque nous avons déjà le forum ?

Le format du forum est particulièrement adapté pour permettre une grande visibilité sur le web, permettre à tout le monde de nous retrouver, et contribuer ainsi à rendre l'ADD / le parkour accessible à toustes.

Il permet aussi d'organiser plus facilement nos week-ends ADDPK en distinguant les différents sujets liés, de plus aisément poursuivre des discussions de fond, de répertorier et documenter les spots ou encore d'afficher d'avance les sessions locales.

Mais il peut s'avérer pratique de pouvoir rester en contact via un réseau de messagerie instantanée, de pouvoir s'appeler ou de créer un salon de discussion avec les divers membres avec qui on a partagé de chouettes moments, pour plus facilement continuer à échanger en dehors de l'ADD / parkour. :)

Pourquoi Matrix ?

Matrix, fait parti des réseaux sociaux libres, c'est-à-dire qu'il n'appartient à pas une entreprise, mais est développée par la communauté internationale des logiciels libres qui promeut l'accessibilité des outils informatiques pour toustes, le respect de la vie privée et la coopération.

Pas de pub, donc, sur ce réseau ni un quelconque espionnage des interactions entre personnes, puisque personne ne se fait de bénéfices dessus. Pas d'actionnaires à satisfaire, juste le développement d'un idéal de monde basé sur le partage et le respect.

Bien sûr, les discussions de groupe, ainsi que les appels audio et vidéos en tête à tête peuvent être chiffrées de bout en bout.

Matrix n'est pas le seul réseau de messagerie instantanée à reposer sur les logiciels libres (il y a aussi Signal et en parti seulement, Télégram) mais il est le seul (pour ce type de communication) à être décentralisé et fédéré, cela veux dire que toutes les données ne sont pas regroupées sur les serveurs d'un même organisme, mais qu'il s'agit de plusieurs serveurs interconnectés pouvant appartenir à différents orgas, ce qui permet d'éviter tout abus de pouvoir et les pressions politiques pour désactiver le chiffrement, ainsi que répartir les coûts pour garantir la pérennité du réseau (les coûts étant financés par les dons des utilisateur⋅rice⋅s).

Il n'exige pas de donner son numéro de téléphone pour s'inscrire et il est possible de se connecter via son mobile ou son ordi., ce qui permet une flexibilité très appréciable.


Bref, il est possible de rejoindre le réseau Matrix via différentes applications (c'est la liberté de choix :D ), mais la plus abouti à l'heure actuelle est Element : https://element.io
Donc si vous voulez nous rejoindre, je vous suggère de l'utiliser.

Vous pouvez soit :
Element.png
Element.png (161.64 Kio) Consulté 3930 fois
CreationCompteMatrix.png
CreationCompteMatrix.png (173.69 Kio) Consulté 3930 fois
Et une fois que vous avez votre compte, vous pouvez retrouver vos contacts soit via leurs adresses e-mails (si iels ont autorisé le fait d'être découvert⋅e ainsi, soit via leurs identifiants qui ressemble à @pseudo:matrix.org

Mais pour les membres du forum, il y a maintenant la possibilité d'indiquer directement son identifiant sur son profil (visible uniquement que lorsque l'on est connecté⋅e).

Vous le retrouverez dans la partie "Contacter".
Voilà en exemple le mien : https://addpk.org/memberlist.php?mode=viewprofile&u=49

Avatar de l’utilisateur⋅rice
Leslie
Équipe ADDPK
Messages : 2412
Inscription : 28 juin 2015, 10:45
> VILLE : Nantes
> ASSO : Aucune
> Joignable sur MATRIX ? : Oui :-)
Contact :

Re: MATRIX vs SIGNAL vs XMPP : Quelle messagerie instantanée utiliser ?

Message par Leslie »

Pour retrouver le salon de discussion lié au forum, vous pouvez faire une recherche en tapant "ADDPK" et vous tomberez sur celui-ci :
ADDPKsurMatrix.png
ADDPKsurMatrix.png (36.38 Kio) Consulté 799 fois
Vous pouvez ensuite cliquer dessus pour le rejoindre. 8-)

D'un téléphone portable, vous verrez deux icônes en bas de l'écran :
  • Une petite bulle pour les conversations privées en tête à tête :
Pour rentrer en contact avec quelqu'un⋅e en particulier, il faut cliquer sur la bulle, puis sur bulle+.

Ensuite vous pouvez entrer l'identifiant de la personne que vous rechercher (qui sera au format @identifiant:matrix.org), la sélectionner et cliquer sur "Créer" (une conversation) en haut à droite.
  • Un # pour les salons de groupe :
Pour parcourir les salons existants, il faut donc cliquer sur #, puis sur #+.

Avatar de l’utilisateur⋅rice
Leslie
Équipe ADDPK
Messages : 2412
Inscription : 28 juin 2015, 10:45
> VILLE : Nantes
> ASSO : Aucune
> Joignable sur MATRIX ? : Oui :-)
Contact :

Re: MATRIX vs SIGNAL vs XMPP : Quelle messagerie instantanée utiliser ?

Message par Leslie »

Si vous nous rejoignez sur le salon, pensez à nous glisser un mot pour nous indiquer que vous nous avez retrouvé via le forum ADDPK en guise d'intro, pour qu'on sache d'où vous venez. ;)
(Et qu'on s'assure que vous vous n'êtes pas juste quelqu'un qui teste tous les salons publics de Matrix sans s’intéresser à leur contenu !! )

EDIT du 10/08/21 :
Les informations postés dans les messages suivants, concernant la sécurité, font débat :
Leslie a écrit :
10 août 2021, 20:52
Mayt a écrit :
09 août 2021, 13:35
Après je vois bien que ça dépend des besoins et de la sensibilité des gens à ces questions, donc c'est surtout pour mettre en avant d'autres options que je prend la peine d'écrire tout ça, pas forcément pour dire "Ah Matrix c'est pas bien faut arrêter !" ^^
Bah en fait avec ton discours alarmiste, si je trouve que cela s'apparente à dire ça. Après que toi tu ne sois pas convaincu de la pertinence et de la fiabilité de Matrix, je peux l'entendre, mais ce qui me gène c'est que tu fais parfois des affirmations fausses, comme j'ai commencé à souligner dans mes réponses, ou trop incomplètes pour les mettre en perspective, à mon sens.
Et cela peut générer plus de confusions pour toute personne qui sera trop découragée pour approfondir le sujet avec nous, je pense.

Avatar de l’utilisateur⋅rice
Mayt
Messages : 22
Inscription : 07 février 2018, 15:42
> VILLE : France
> ASSO : Aucune

Re: MATRIX vs SIGNAL vs XMPP : Quelle messagerie instantanée utiliser ?

Message par Mayt »

Coucou juste un petit mot pour souligner que Matrix a de (grosses) lacunes en terme de sécurité. Si les messages en eux même sont (relativement) bien chiffrés, le protocole est une véritable passoire et la totalité des métadonnées est accessible au quidam pour peu qu'il partage un salon en commun avec vous, et facilement connectable par les serveurs qui fournissent Matrix.

De la même façon que les email, en proposant un service décentralisé et modérément sécurisé, Matrix expose ses utilisateurs au bon vouloir des acteurs majeurs du domaine (ici: Element.io, mais il faut s'attendre si le protocole se développe à voir une adoption plus large, et pourquoi pas voir d'ici quelques années Google, Yahoo, Microsoft et les autres fournir des comptes matrix à la façon dont ils fournissent aujourd'hui des comptes email. D'ailleurs, c'est un phénomène qu'on peut déjà observer avec d'autres phénomènes concurrents de Matrix comme XMPP (dont je vais reparler dans un petit moment). La question qu'il faut donc se poser quand on aborde un protocole comme Matrix, XMPP ou simplement les email, est la question de la confiance : certes, Matrix est un protocole libre, ouvert, décentralisé... mais c'est aussi le cas des email, et peut-on faire confiance aux email pour nous protéger de la surveillance des acteurs majeurs d'internet et des fournisseurs que nous pouvons être amenés à utiliser ? Hum. Non. Peut-on alors faire confiance à Matrix ? Et bien... si le contenu des messages lui-même est chiffré, voilà la liste des données qui ne sont officiellement pas chiffrées sur Matrix et donc, en somme, publiques et collectées par les entreprises qui fournissent Matrix, comme Element.io :
  • Le champ "envoyeur" et "destinataire" des messages qui vous envoyez
  • L'identifiant unique de votre téléphone
  • L'heure d'envoi des messages et l'heure éventuelle de leur édition
  • L'entrée et la sortie de groupes (de manière général, les événements liés à un groupe)
  • Les réactions à d'autres messages
  • Les accusés de lecture et de réception
  • Les différents noms d'utilisateurs/surnoms que vous utilisez
  • Les photos
Je ne vous cache pas que c'est beaucoup. En fait, une telle quantité de donnée, couplée à des techniques de data-mining modernes, peuvent révéler votre identité, vos centres d'intérêt, probablement votre état de santé, ainsi que plein d'autre choses croustillante sur vous dont il faut s'attendre à ce qu'elles soient vendues au plus offrant (si ce n'est pas déjà le cas, rappelons qu'Element.io est une entreprise qui pourrait très bien déjà vendre ce type données) et régulièrement piratées. Pire : ces données également sont partagées avec les serveurs de tout vos contacts, donc en plus de devoir faire confiance à votre propre fournisseur d'accès à Matrix, vous devez également faire confiance à tous vos contacts pour ne pas choisir un fournisseur qui pourrait vous nuire. Dernier point noir : si le chiffrement est automatique dans les conversations privées, il ne l'est pas dans les groupes, il est donc facile de se retrouver par inadvertance dans un groupe non-chiffré ou mal configuré, ce qui implique que le contenu des messages peut également être collecté par le serveur, en plus des données de la liste...

Image

Un exemple des données qui fuitent depuis Matrix : https://snippets.serpentsec.1337.cx/mat ... data-leaks

Ces fuites de données sont principalement lié à l'aspect fédéré de Matrix, en effet, si des systèmes fédérés sans fuite de métadonnées sont à l'étude depuis quelques années (voire https://secushare.org/comparison), aucun de ces systèmes ne sont aujourd'hui utilisable par le grand public, et aujourd'hui l'aspect fédéré nuit à la confidentialité des échanges plutôt que l'inverse. À titre de comparaison, un réseau centralisé comme signal ne possède que deux métadonnées pour votre message : le numéro du destinataire et l'heure d'envoi, et ces données sont supprimées dès la réception du message. C'est déjà beaucoup, mais c'est beaucoup moins.

Dans une perspective de sécurité, aujourd'hui, il est certain qu'il est plus sûr d'utiliser un service centralisé qu'un service fédéré. Signal étant un organisme à but non lucratif développant un logiciel libre, les avantages en terme d'indépendance financière, de transparence du projet et de liberté d'utilisation sont les mêmes que sur Matrix : il existe des clients Signal pour mobile, mais également des clients développés par la communauté pour Windows, MacOS et Linux, le code est librement consultable ce qui permet à des experts d'en vérifier régulièrement la sécurité, etc.

L'avantage des services fédérés sur les services centralisés est toute foi non négligeable politiquement, cela permet d'éviter qu'une entité centrale, sur le long terme, s'approprie un service et ne le détourne de l'usage qui en est fait dans son propre intérêt. La robustesse de cette approche est maintes fois démontrée par l'histoire de l'email : malgré un prédation des plus grand géants du web depuis des décennies, le protocole email est libre, on peut utiliser des clients mails de notre choix comme Thunderbird et s'affranchir de l'interface propriétaire du fournisseur de mail qu'on a choisi, on peut s'envoyer des mails entre fournisseurs concurrents, etc.

Malgré des tentatives historiques, les protocoles fédérés de messagerie instantanée n'ont jamais atteint la même pérennité que les email. Le protocole XMPP, similaire au protocole email mais spécialisé dans la messagerie instantanée, n'en est pas passé loin : il y a quelques années, on pouvait chatter entre Facebook Messanger, Skype et Google Hangout en utilisant le protocole XMPP. Devant le faible entrain des utilisateurs et pour des raisons financières, ces entreprises ont toutes les trois laissées tombées le protocole XMPP, et bien que certaines l'utilisent encore en interne, les réseaux de ces entreprises ne sont plus fédérés. Il est notable que certains fournisseurs d'email dans la sphères linuxienne et/ou militant (riseup.net, les fournisseurs de la Fédération des fournisseurs d'accès associatifs (https://www.ffdn.org/), etc.) fournissent pour la plupart toujours le protocole XMPP et que les principaux clients de messagerie libres (Pidgin et Thunderbird) supportent tout les deux ce protocole, qui permet donc de chatter directement depuis votre adresse mail. Comme les email, XMPP peut être chiffré, proposant donc un niveau de sécurité similaire à Matrix (les désavantages de la fédération sont également présents avec XMPP). Toutefois, on peut noter plusieurs avantages majeurs à XMPP : moins de métadonnées sont visibles, elles ne peuvent pas fuiter d'un serveur à l'autre, et surtout, le protocole est relativement rependu. De nombreux fournisseurs d'accès, y compris commerciaux, fournissent encore XMPP aujourd'hui, alors que Matrix repose presque exclusivement sur matrix.org. Cela s'explique par les coûts ahurissants que représente l’hébergement d'un serveur pour Matrix : le protocole est très peu optimisé (bien que toujours en développement) et les volumes de données sont colossaux (chaque hébergeur doit héberger une copie de tout les messages des *autres* hébergeurs de vos contacts). Cela conduit à beaucoup de duplication inutile de données et des coûts élevés, ce qui décourage d'autres acteurs qu'Element.io d'entrer dans la course. Plus d'infos ici : https://lukesmith.xyz/articles/matrix-vs-xmpp

Dans l’ensemble, donc, même si j'ai conscience qu'XMPP, de part son age et son adoption principalement par des communautés d'utilisateurs de Linux, est un peu moins facile d'accès, et qu'il ne propose pas de chiffrement par défaut (il faut l'activer manuellement, ce qui est plus ou moins compliqué selon le logiciel utilisé), il laisse fuiter beaucoup moins de métadonnées et est une fédération beaucoup plus décentralisée et techniquement aboutie que Matrix.

Pour conclure, vous faites bien ce que vous voulez, mais si vous voulez miser sur la sécurité la plus haute, je vous conseille vivement de laisser tomber Matrix et compagnie et de migrer vers Signal en attendant qu'un solution plus aboutie techniquement comme RetroShare soit disponible pour le grand public. Si à l'inverse vous voulez miser sur une fédération, essayez donc XMPP, c'est grave sous-côté, mieux sécurisé, plus répandu et plus robuste que Matrix. Voilà ! <3

PS : si y'a une forte demande, je pourrais me motiver à faire un petit tuto XMPP+chiffrement avec Thunderbird ou Pidgin, dites-moi ! (sinon les moteurs de recherche sont vos amis :p)

PPS : https://riseup.net/fr/security

Avatar de l’utilisateur⋅rice
Leslie
Équipe ADDPK
Messages : 2412
Inscription : 28 juin 2015, 10:45
> VILLE : Nantes
> ASSO : Aucune
> Joignable sur MATRIX ? : Oui :-)
Contact :

Re: MATRIX vs SIGNAL vs XMPP : Quelle messagerie instantanée utiliser ?

Message par Leslie »

Coucou Mayt !

Contente que tu t’intéresses au sujet ! ;)

Alors, je n'ai pas le temps de rebondir sur tout, mais je vais répondre à quelques points :
Mayt a écrit :
31 juillet 2021, 12:41
L'identifiant unique de votre téléphone
Contrairement à Signal, il n'y a pas besoin de donner son numéro de téléphone pour être sur le réseau Matrix, ce qui était un élément décisif pour moi, car trop de choses peuvent être relié via notre numéro de téléphone.

On peut choisir d'être retrouvable via son numéro, mais c'est optionnel. Moi, j'ai choisi de ne pas l'indiquer.
Idem pour la ou les adresses e-mail, on peut choisir ou non d’être retrouvable par ses contacts via son adresse e-mail ou non. Moi j'ai choisi de l'être pour une de mes adresses e-mail seulement, mais pas pour les autres.

D'ailleurs on peut accéder au réseau Matrix sans téléphone portable, directement via son PC, contrairement à Signal, et ça c'est aussi un grand +.

J'ai testé Signal sur mon mobile, et il a fallu que je fasse une manip particulière pour pouvoir l'installer car mon téléphone fonctionne avec une version déGooglisée d'Android (LineageOS), et Signal utilise par défaut certains services propriétaires de Google Play, comme Google Cloud Messaging pour notifier les utilisateurs des nouveaux messages reçus.

(Et il est claire que je souhaite faire ma vie sans Google (et encourager les autres à vivre sans aussi ! :lol: )

Cette manip n'était pas pratique, et je ne pourrais pas la conseiller à tout le monde. Et de toute façon, ça m'a agacé qu'on puisse me retrouver sur Signal avec mon numéro de téléphone alors que je ne le souhaitais pas.
Au moins, avec Matrix, je choisi à qui je donne mon identifiant. :D

Mmmh... la sécurité des échanges et métadonnées ? Ce n'est pas toujours la priorité : tout dépends ce sur quoi, et avec qui on discute.
Moi sur Matrix, je suis sur beaucoup de salon publics (voir la liste de plusieurs salons francophones ici : https://app.element.io/#/group/+liste-s ... matrix.org) et les discussions sont aussi ouvertes que sur ce forum car l'objectif est justement de s'ouvrir à un maximum de personnes : les discussions ne sont pas secrètes.
Et les salons ADDPK ne sont pas chiffrés justement, car il n'y a pas plus d'infos confidentielles que sur les pages web publiques de ce forum. Son utilité par rapport au forum est juste d'être plus réactif, car il s'agit d'une messagerie instantanée.


Il n'y a que les échanges privées que j'ai besoin de sécuriser.
Je suis passée par le serveur Matrix pour créer mon compte et les salons que j'y ai développé, par facilité. Mais j'ai pas mal de potes sur Matrix qui font tourner leur propres serveurs sans problèmes. Après faut être motivé⋅e⋅s, et ce n'est pas pour l'instant une de mes priorités, mais au moins, c'est possible.

Les systèmes centralisés, moi ça m'inspire pas confiance : Signal a été sous très forte pression pour casser le chiffrement sous l'administration Trump. La fondation, aussi éthique soit-elle, ne peut qu'être plus fragile fasse aux pressions politiques. Avec Matrix, il n'y a pas ce soucis.

ce qui décourage d'autres acteurs qu'Element.io d'entrer dans la course
Ah mais il y en a plein d'autres ;) : https://matrix.org/clients

Bref, en ce qui me concerne, j'ai attentivement étudié le pour et le contre de toutes les messageries instantanées, et Matrix, est le seul réseau qui répond à ce qui m’apparaît être le plus important, donc je m’investis à 200% pour contribuer à développer la communauté francophone sur ce réseau. :P

Je ne retournerai donc pas sur Signal, Telegram, XMPP ou chiffrement avec Thunderbird.

Après, oui, tout est question de priorités, et cet article qui compare la sécurité de Signal avec la liberté de Matrix, le met bien en perspective :
https://matrix.org/blog/2020/01/02/on-p ... us-freedom

Ceci dit Mayt, ça ne te dit pas de te joindre à nous lors de notre escapade ADDPK d'août ? On pourrait rediscuter de tout ça de vive voix ! :mrgreen:

Avatar de l’utilisateur⋅rice
Leslie
Équipe ADDPK
Messages : 2412
Inscription : 28 juin 2015, 10:45
> VILLE : Nantes
> ASSO : Aucune
> Joignable sur MATRIX ? : Oui :-)
Contact :

Re: MATRIX vs SIGNAL vs XMPP : Quelle messagerie instantanée utiliser ?

Message par Leslie »

Signal sans Google ?

Apparemment ce sujet a bien plus de visibilité que je ne pensais, puisque suite au message que j'ai posté hier, on m'a contacté directement pour savoir comment mettre à jour Signal sans passer par Google ! :lol:

Alors, je vais détailler ma réponse ici, au cas où elle serve à d'autres ! ;)

Il est en effet possible de télécharger Signal sans Google ici : https://signal.org/android/apk/
... avec un super message d'avertissement "Danger zone" :lol: :
Screenshot_20210801_072634.png
Screenshot_20210801_072634.png (92.27 Kio) Consulté 1014 fois
Bref, moi encore une fois, je ne recommande pas cette méthode car je ne recommande pas l'appli et son réseau du tout.

Au moins avec Matrix, les applis pour s'y connecter, comme Element et les autres, sont disponibles via le catalogue d’applications libres, F-droid : https://www.f-droid.org

L’interopérabilité de Matrix
Mayt a écrit :
31 juillet 2021, 12:41
essayez donc XMPP, c'est grave sous-côté
Si tu veux rester sur XMPP, ça devrait être possible à terme de communiquer entre les 2 réseaux, puisque le concept même de Matrix est de favoriser l'interopérabilité.
Il y a un pont informatique qui est en développement : https://matrix.org/docs/projects/as/matrix-xmpp-bridge

Amandine Le Pape & Matthew Hodgson
Mayt a écrit :
31 juillet 2021, 12:41
les entreprises qui fournissent Matrix, comme Element.io :
Je tiens aussi à rappeler que l'entreprise qui fournie Element.io, c'est pas n'importe laquelle, c'est New Vector, fondée par le duo franco-britannique Amandine Le Pape et Matthew Hodgson qui sont à l'origine même du protocole Matrix et qui défendent des idéaux forts concernant la liberté et le respect de la vie privée.
Et là, bien sûr tout est une question de confiance, car on pourrait me dire que Mark Zuckerberg a le même genre de discours, mais les actions mises en place ne sont pas les mêmes, donc niveau crédibilité, on est pas sur la même planète. :lol:
Mayt a écrit :
31 juillet 2021, 12:41
pourquoi pas voir d'ici quelques années Google, Yahoo, Microsoft et les autres fournir des comptes matrix
Très probables, en effet, car il y a de forte chance que Matrix continue à se développer et gagner en popularité. Mais on se sera pas obligé de passer par eux, justement ! :D

Photos chiffrées non accessibles par l'admin du serveur

Je tiens aussi à rectifier une affirmation éronnée : les photos envoyées dans les salons chiffrés ne sont pas visibles par les administrateur⋅rice⋅s du serveur :
https://www.reddit.com/r/selfhosted/com ... dia_files/

Metadonnées et centralisation

Enfin, je voudrais souligné que si je suis d'accord sur le fait qu'il ne faut pas sous estimer ce que les métadonnées peuvent révéler sur nous (qui on contacte, quand, à quelle fréquence et d'où etc..), elles sont surtout révélatrices et un souci pour la vie privée lorsque l'on peut recouper les informations (et qu'elles sont centralisées !).

Par exemple, moi étant qu’administratrice du forum ADDPK, je pourrais jeter un coup d’œil aux logs du serveur et voir : quelle adresse IP a consulté quelle page et à quelle heure. Si je compare l'adresse IP aux connections de compte, je peux retrouver à qui appartient quelle adresse IP pour les personnes inscrites sur le forum.
Et ça c'est le cas pour tous les sites webs, puisque ces infos sont nécessaires pour pouvoir renvoyer les pages web demandées aux personnes qui se connectent à un site.

Mais ces informations, qui peuvent réveller plus que l'on voudrait, ne sont pas pour autant très exploitables, si on ne peut pas les mettre en relation avec d'autres infos collectées sur d'autres sites. Avec les boutons de partage FB ou les pubs Google ads des sites, le lien peut être fait, puisque qu'ils intègrent des pisteurs. Mais avec Element (ou le forum ADDPK), il n'y en a pas !)
Sur Element, comme sur d'autres logiciels libres, on demande juste à l'utilisateur⋅rice s'iel accepte que des données anonymisées (taille de l'écran utilisé, système d'exploitation et sa version...) soit envoyées à l'équipe de développement pour les aider à développer l'appli, ce qui n'est en rien un pistage personnalisé.

Et les textos, on peut les sécuriser ?

Je profite de la visibilité de ce sujet, pour glisser un mot sur les textos qu'il est aussi possible de chiffrer grâce au logiciel libre Silence ;) : https://silence.im/fr

Cony
Équipe ADDPK
Messages : 9
Inscription : 04 mai 2021, 23:01
> VILLE : Nomade
> ASSO : Aucune

Re: MATRIX vs SIGNAL vs XMPP : Quelle messagerie instantanée utiliser ?

Message par Cony »

Coucou !
Suite à vos échanges, j’ai continué mes pérégrinations aux pays des logiciels libres et en particulier des messageries instantanées libres. Je souhaitais rebondir sur vos propos.
Il est notable que certains fournisseurs d'email dans la sphères linuxienne et/ou militant (riseup.net, les fournisseurs de la Fédération des fournisseurs d'accès associatifs (https://www.ffdn.org/), etc.) fournissent pour la plupart toujours le protocole XMPP et que les principaux clients de messagerie libres (Pidgin et Thunderbird) supportent tout les deux ce protocole, qui permet donc de chatter directement depuis votre adresse mail.
Actualité récente de août 2021, Riseup abandonne son serveur XMPP, car trop peu de monde l'utilise (https://riseup.net/en/chat). C'est vraiment dommage mais c'est leur choix. En revanche ils ont permis la gestion de multiples identités pour l'email, c’est chelou à configurer dans les paramètres de son compte mais c'est un luxe peu répandu et appréciable.

Si j’ai bien compris nos échanges, pour nous organiser nous avons besoin d’une messagerie instantanée. Nous avons envisagé plusieurs solutions : boîte de chat directement sur le forum (lors de l’escapade addpk en mai), Matrix d’Element.io, Signal, XMPP, discord (et les autres réseaux sociaux propriétaires et centralisés).
Nos critères pour départager ces solutions sont la sécurité, le respect de la vie privée, l’ergonomie et la popularité du réseau utilisé.
Je trouve le choix extrêmement difficile et j’aimerais savoir, selon vous dans le cadre de ce forum et de nos escapades : de quoi exactement est-ce qu’il faudrait protéger sa vie privée ? Par rapport à nos échanges sur ce serveur, quelles informations voulons-nous protéger face à quelle menace ? Quel niveau de sécurité souhaitons-nous ? Est-ce que vous visez une protection globale de nos échanges sur le web ? Ou est-ce que vous reconnaissez que certaines informations, ça soit Ok qu’elle soit sur la sphère public ?
Je suis de l’avis qu’il faudrait le moins d’informations possible sur le Web par rapport aux techniques de data-mining mais nous n’avons peut-être pas tous la même sensibilité et compréhension de la gravité de ce phénomène.

Pour le moment, par rapport aux différents logiciels que j’ai testé (tout ceux que j’ai cité sauf la boîte de chat sur le forum) et aux arguments soulevés, j’aimerais qu’on puisse tous être sur Signal ou XMPP.

La force de XMPP, c’est la possibilité de communiquer de logiciel en logiciel comme disait Mayt. Actuellement, si certain.e d’entre nous utilise déjà Thunderbird ou Pidgin, iels n’ont pas besoin de cumuler tout plein de logiciels car ce sont des logiciels compatibles avec XMPP et qui font le job. XMPP chiffre les messages grâce à OMEMO tout comme Thunderbird, ils « parlent » donc le même chiffrement et permet de lire les messages d’un logiciel à un autre.
XMPP est disponible sur la plupart des appareils :
- Gajim pour Windows
- Dino (simple) ou Gajim (complet) pour Linux
- Conversation (bien fait, juste il faut refuser d'utiliser leur service payant) pour Android
- Monal ou Siskin IM (les 2 imparfaits d’après des échos que j'ai eu mais ça devrait le faire) pour iOS

D’un point de vue « structure du réseau », la protection de la vie privée est un terrain d’expérience avec quelques résultats mais rien de concluant. Certes XMPP n'est pas parfait mais sa structure permet de proposer le type de solution le plus aboutie à ces enjeux.

Le chiffrement de bout à bout (E2E) implique qu'on s'oriente vers un modèle proche du pair à pair. Et dès qu'il y a plus de 2 personnes à mettre en relation, les communications chiffrées deviennent compliquées, car il faut chiffrer un même message mais plusieurs fois (autant qu'il y a d'interlocuteurices), ou bien chiffrer avec une clé commune (et dans ce cas : quel est le critère qui fait qu'on a le droit de récupérer cette clé commune à un moment donné ? car si n'importe qui peut la récupérer, il peut déchiffrer).
Donc sans même parler de fédération (entre serveurs), le chiffrement (entre plusieurs clients-personnes) peut ne pas être optimal, d'où quelques concessions parfois sur les conversations qui ont lieu en groupes : pour faciliter la mise en relation, on ne chiffre plus de bout en bout, mais sur chaque segment.

On peut difficilement supprimer la visibilité de toutes les métadonnées.
L'une des étapes ultimes pour y arriver c'est de concevoir des protocoles de routage anonymisants. Car quand on fait du chiffrement, on sait encore trop souvent qui parle à qui, et quand.
Ce n'est plus le cas s'il y a brouillage du routage. C'est ce que fait Tor, en se reposant sur un réseau préétabli. C'est aussi ce que cherchent à faire certains P2P, avec un réseau cette fois-ci complètement dynamique (des noeuds s'ajoutent et se retirent du réseau).
Le mieux pour le moment est d’en donner le moins possible car beaucoup de fonctionnalités disponible grâce à ces métadonnées sont un confort dont nous pouvons nous passer.

Je suis intéressée par le tuto XMPP+chiffrement avec Thunderbird. ;) J’ai pas encore mis en place l’outils de Thunderbird.

Avatar de l’utilisateur⋅rice
Leslie
Équipe ADDPK
Messages : 2412
Inscription : 28 juin 2015, 10:45
> VILLE : Nantes
> ASSO : Aucune
> Joignable sur MATRIX ? : Oui :-)
Contact :

Re: MATRIX vs SIGNAL vs XMPP : MATRIX vs SIGNAL vs XMPP : Quelle messagerie instantanée utiliser ?

Message par Leslie »

Héhé, et de 3 dans la boucle de cette conversation.
C'est bien de pouvoir approfondir ce sujet ensemble. ;)
Cony a écrit :
04 août 2021, 00:47
Si j’ai bien compris nos échanges, pour nous organiser nous avons besoin d’une messagerie instantanée.
À mes yeux, la messagerie instantanée doit être un plus, pas une nécessité. L'outil principal pour l'orga restant le forum. C'est ce qui nous a rassemblé au départ et ce qui reste le principal lien entre nous.
Cony a écrit :
04 août 2021, 00:47
Nous avons envisagé plusieurs solutions : boîte de chat directement sur le forum (lors de l’escapade addpk en mai), Matrix d’Element.io, Signal, XMPP, discord (et les autres réseaux sociaux propriétaires et centralisés).
Nos critères pour départager ces solutions sont la sécurité, le respect de la vie privée, l’ergonomie et la popularité du réseau utilisé.
L'idée c'était avant tout de pouvoir avoir un outil plus réactif et encore une fois être davantage une alternative au textos ou e-mail plutôt qu'au forum.
Étant donné mon implication dans l'organisation des Escapades ADDPK ou le forum en général, beaucoup de personnes m'envoient des messages personnels par texto ou e-mail afin d'avoir une réponse plus immédiate ou un échange non public, sans pour autant que se soit personnel.

Or du coup, avoir cette communication 1 à 1 pour repréciser des choses qu'on l'on pourrait faire collectivement, c'est une charge de travail supplémentaire pour moi, d'où ce désir de mettre en place cet outil alternatif.
De plus, comme Serpio l'avait mentionné lors que notre escapade de mai à Dijon, il y a parfois besoin d'échanges plus spontanés, futiles et temporaires pour tisser des liens, et une messagerie qui se situe dans l'instant présent est plus adaptées pour ça qu'un forum dont le plus est au contraire d'inscrire les informations dans le temps (et de pouvoir les retrouver plus facilement !).

Dans cette optique un chat directement sur la forum a été mentionné. Et je pourrai potentiellement le mettre en place si assez de personnes se disent prêtes à l'utiliser, mais c'est quelque chose qui demande pas mal de temps pour l'ajouter, le tester, expliquer son fonctionnement, le modérer. Pour l'instant je n'ai pas ce temps, mais si un noyau fort s'engage à l'utiliser et le modérer, je pourrai essayer de le trouver.

Le chat sur le forum, ne serait pas un outil que j'utiliserai beaucoup par contre moi, car quand je suis en ligne, cela ne veut pas forcément dire que je suis dispo pour chatter, et même si j'installe ce module, cela ne le rendrait pas beaucoup plus réactif que le forum, puisqu'il n'y aurait pas d'appli mobile ou de bureau.
Cony a écrit :
04 août 2021, 00:47
Matrix d’Element.io
Matrix n'est pas développé par une entreprise qui s’appellerait Element.io, ce protocole ouvert et réseau est développé par la Fondation Matrix.org à but non lucratif.
Element.io est le site web pour retrouver des infos sur l'appli du même nom et permettant d’accéder à ce réseau. Elle est développée par New Vector Ltd.
Cony a écrit :
04 août 2021, 00:47
Je trouve le choix extrêmement difficile et j’aimerais savoir, selon vous dans le cadre de ce forum et de nos escapades : de quoi exactement est-ce qu’il faudrait protéger sa vie privée ? Par rapport à nos échanges sur ce serveur, quelles informations voulons-nous protéger face à quelle menace ? Quel niveau de sécurité souhaitons-nous ? Est-ce que vous visez une protection globale de nos échanges sur le web ? Ou est-ce que vous reconnaissez que certaines informations, ça soit Ok qu’elle soit sur la sphère public ?
Personnellement, je suis pour les espaces de communications ouverts, ne permettant pas de centraliser les infos.
Ce qui nous échangeons sur le parkour pour organiser nos rencontres ouvertes à tout le monde, n'a rien de confidentiel à mes yeux.
C'est pour ça que le salon ADDPK ouvert sur Matrix n'est pas chiffré : c'est complètement inutile vu la teneur des informations, et n'a pas de sens à partir du moment où on laisse la porte ouverte.

Par contre, pour créer un climat moins anonyme que des échanges publics, et s'assurer que les personnes qui nous rejoignent ne sont pas là par pure hasard et curiosité, mais dans un réel désir d'échanges, il leur est juste demandé de dire bonjour et d'indiquer comment elles sont tombées sur salon, pour ne pas en être considéré⋅e comme "intrus⋅es" et être exclu⋅e⋅s.

En ce qui me concerne, il n y a que les conversations personnelles que je trouve important de sécuriser, et donc ça ça se fait au niveau individuel avec les personnes avec qui je tisse des liens plus intimes.
Cony a écrit :
04 août 2021, 00:47
Je suis de l’avis qu’il faudrait le moins d’informations possible sur le Web par rapport aux techniques de data-mining mais nous n’avons peut-être pas tous la même sensibilité et compréhension de la gravité de ce phénomène.
Pour se protéger du Data-mining, ce sont plutôt toutes les photos et vidéos de nos escapades qu'il faudrait peut-être ne rendre accessible qu'une fois connecté au forum.
Ceci-dit, étant données qu'elles ne sont pas taguées comme sur Facebook par exemple, et qu'on ne mentionne pas qui est qui sur la photo, et que sur ce forum, nous pouvons échanger avec comme seule information partagé notre nom ou pseudo, les risques restent limités cependant. Mais cela reste un sujet que l'on peut creuser, si c'est une préoccupation pour certain⋅e⋅s.
Cony a écrit :
04 août 2021, 00:47
Pour le moment, par rapport aux différents logiciels que j’ai testé (tout ceux que j’ai cité sauf la boîte de chat sur le forum) et aux arguments soulevés, j’aimerais qu’on puisse tous être sur Signal ou XMPP.
On ne sera pas toustes sur telle ou telle autre messagerie. Encore une fois l'idée n'est pas de remplacer le forum et de le rendre obligatoire pour participer à nos escapades ou sessions locales. C'est un plus, c'est tout.
Par contre pour celle qui n'y sont pas, il vaut mieux développer d'autres moyens com' instantanées avec d'autres membres (ça peut être juste le numéro de téléphone), s'il y a besoin de se contacter au dernier moment pour un rendez-vous.

Moi je ne n'irai pas sur Signal, pour les raisons évoquées ci-dessus (lié aux services Google, obligation de donner son numéro de téléphone, centralisation).

Je ne souhaite pas communiquer via XMPP : j'ai en fait la promotion pendant plus de 10 ans, sans grand succès, alors qu'avec Matrix, via Element, c'est super simple pour la plupart des gens. De plus le potentiel de développement et d'utilisation en dehors d'ADDPK est plus grand.

Par contre, si plusieurs membres du forum souhaitent se retrouver sur Signal ou XMPP, je peux rajouter un champ dans le profil utilisateur⋅rice pour permettre au gens d'indiquer leur identifiant.
Cony a écrit :
04 août 2021, 00:47
Je suis intéressée par le tuto XMPP+chiffrement avec Thunderbird. ;) J’ai pas encore mis en place l’outils de Thunderbird.
Il y a un sous-forum
"Envie d'échanger sur d'autres thématiques ? (pour partager sur des sujets qui nous tiennent à cœur...)"

Ce serait l'endroit idéal pour développer ce genre de tuto, Mayt, puisque ça intéresse des membres du forum, sans pour autant être directement lié à son fonctionnement.

Et si un groupe se forme sur Signal ou XMPP avec plusieurs membres du forum, et bien vous pourrez informer tout le monde en repostant ici ou en ouvrant un nouveau sujet dans ce sous-forum Comment utiliser le forum ? Les TUTOS... et NEWS !! à partir du moment où vos groupes de discussion se développent pour aider à les membres à mieux l'utiliser et s'y retrouver ! ;)

Avatar de l’utilisateur⋅rice
Leslie
Équipe ADDPK
Messages : 2412
Inscription : 28 juin 2015, 10:45
> VILLE : Nantes
> ASSO : Aucune
> Joignable sur MATRIX ? : Oui :-)
Contact :

Re: MATRIX vs SIGNAL vs XMPP : MATRIX vs SIGNAL vs XMPP : Quelle messagerie instantanée utiliser ?

Message par Leslie »

Cony a écrit :
04 août 2021, 00:47
La force de XMPP, c’est la possibilité de communiquer de logiciel en logiciel comme disait Mayt.
C'est la même force que l'on retrouve pour Matrix, puisque pour les deux, il s'agit de réseaux avec protocole ouvert permettant l'interopérabilité et la fédération.

Avec Matrix, il y a en plus des passerelles qui se développent pour communiquer avec les autres messageries instantanées : https://matrix.org/bridges/

Ces passerelles ne sont pas toutes au point encore, cependant. Il n'y a que IRC et Slack qui marchent bien pour l'instant et que l'on peut implémenter facilement.

Mais les autres vont se développer au fur et à mesure, c'est l'objectif même de Matrix. ;)

Avatar de l’utilisateur⋅rice
Mayt
Messages : 22
Inscription : 07 février 2018, 15:42
> VILLE : France
> ASSO : Aucune

Re: MATRIX vs SIGNAL vs XMPP : Quelle messagerie instantanée utiliser ?

Message par Mayt »

Bon je vais essayer de reprendre un peu point par point Leslie parce que je pense que j'ai pas tout compris à ton message et que tu n'as pas tout compris au mien...

Qu'est-ce que tu entends par :
Leslie a écrit :ce qui était un élément décisif pour moi, car trop de choses peuvent être relié via notre numéro de téléphone
Ce que j'essaye de dire, c'est que l'intérêt de signal est justement l'absence quasi-totale de métadonnées, donc précisément le fait que presque rien n'est relié à ton numéro de téléphone. Je ne comprends pas ce qui t'inquiète dans l'usage de ton numéro ? C'est un identifiant comme un autre que beaucoup des personnes avec qui tu communiques ont probablement déjà de toute façon, et l'usage de signal ne créant presque pas de métadonnées, aucune données supplémentaire ne peut être reliée à ton numéro... (hormis peut-être le nombre de message échangés si t'es sous surveillance d'un acteur puissant comme l'état par exemple).
Leslie a écrit :Mais ces informations, qui peuvent réveller plus que l'on voudrait, ne sont pas pour autant très exploitables, si on ne peut pas les mettre en relation avec d'autres infos collectées sur d'autres sites. Avec les boutons de partage FB ou les pubs Google ads des sites, le lien peut être fait, puisque qu'ils intègrent des pisteurs. Mais avec Element (ou le forum ADDPK), il n'y en a pas !)
Je ne comprend pas trop pourquoi tu dis ça... Si Matrix est ta messagerie principale, elle génère bien assez de métadonnées à elle seule pour qu'elles n'aient pas vraiment besoin d'être recoupée avec autre chose ! C'est ce que j'essayais d'illustrer avec mon image : l'heure et le destinataire d'une communication peuvent parfois révéler à elles seules le contenu entier de la conversation. Mais du coup, si ce n'est pas ça qui t'inquiète (comme le suggère ton argument sur les conversations publiques qui n'ont pas besoin d'être chiffrées), et bien je ne comprend pas ce qui t'inquiètes de la collecte de données... Si tu veux clarifier, je veux bien. Comme dit Cony, nous n'avons pas tout.e.s la même compréhension de ce phénomène et de sa gravité, et j'arrive pas trop à me représenter ce qui est important pour toi.

Sur d'autres points, j'aimerai apporter des clarifications techniques :
Leslie a écrit :J'ai testé Signal sur mon mobile, et il a fallu que je fasse une manip particulière pour pouvoir l'installer car mon téléphone fonctionne avec une version déGooglisée d'Android (LineageOS), et Signal utilise par défaut certains services propriétaires de Google Play, comme Google Cloud Messaging pour notifier les utilisateurs des nouveaux messages reçus.
En fait, c'est le cas de la totalité des applications conçues pour Android : elles utilisent le code des Services Google Play s'ils sont présents, et dans le cas contraire (version déGooglisée par exemple) se rabattent sur un fonctionnement plus coûteux en batterie mais ne nécessitant pas l'usage des logiciels Google. Signal fonctionne à merveille sans Google (moi je fais comme ça par exemple). Ce qui est compliqué, ce n'est pas d’empêcher Signal d'en appeler à des logiciels de Google, ce qui est compliqué c'est de retirer ces services google de son téléphone (installer LineageOS n'est clairement pas à la portée du premier.ère venu.e...). Tant que ces services sont présent, Signal ou pas, les services seront utilisés par toutes les applications (y compris Matrix et autres), le système ne leur laissant simplement pas le choix... Par exemple, si vous téléchargez OpenStreetMap sur F-Droid pour remplacer Google Maps, si votre système est sur Android de Google, Google aura quand-même accès à votre localisation, même sans Google Maps.

Pour cette histoire de "manip" compliquée, si je comprends bien de quoi tu parles, il s'agit de l'installation de signal dans sa version .apk, sans utiliser ni le PlayStore de Google, ni F-Droid où Signal n'est pas disponible. Il y a une raison pour ça : quand on télécharge des applications, elles sont signées de manière cryptographiques pour prouver leur authenticité. Dans le cas de F-Droid, c'est le développeur du catalogue qui signe les applications, ce qui veut dire que si vous pouviez y télécharger Signal, ce serait une version de Signal signée par F-Droid ! Et non par les développeurs de Signal directement, ce qui retire un niveau de confiance dans la distribution : et s'il y avait eu une erreur, voire une manipulation du côté d'F-Droid ? L'avantage de la manip "compliquée" via le .apk est que le .apk est signé par les développeurs de Signal. Ici, pas de risque d'erreur ou de détournement, vous avez la version officielle de Signal. La raison pour laquelle cette version est labialisée "Danger Zone" est parce que le PlayStore de Google garantit cette signature cryptographique automatiquement, alors que l'installation manuelle nécessite de vérifier soi-même la signature. Ce n'est pas dangereux parce qu'il n'y a "pas Google" (on télécharge exactement la même application qui peut utiliser Google ou ne pas l'utiliser en fonction du système), mais parce qu'il n'y a pas de vérification automatique de l'authenticité !
Leslie a écrit :Et de toute façon, ça m'a agacé qu'on puisse me retrouver sur Signal avec mon numéro de téléphone alors que je ne le souhaitais pas.
Ça, on peut le désactiver dans les paramètres ^^
Leslie a écrit :Les systèmes centralisés, moi ça m'inspire pas confiance : Signal a été sous très forte pression pour casser le chiffrement sous l'administration Trump. La fondation, aussi éthique soit-elle, ne peut qu'être plus fragile fasse aux pressions politiques.
1) Matrix aussi est sous pression, pour les mêmes raisons. Le serveur principal est tellement central que des états peuvent faire pression sur lui pour avoir accès à 95% des utilisateurs et des données. Ce qui fait que l'un et l'autre tiennent face à la pression d'États, c'est le perfectionnement technique dans les méthodes de chiffrement, pas une résistance farouche à l'autorité.

2) C'est impossible de casser le chiffrement de Signal :roll: quand bien même la fondation Signal aurait retourné sa veste, la seule chose qu'ils auraient pu faire pour nuire à leurs utilisateurs était de fermer... Jusqu'à aujourd'hui, Signal a toujours répondu positivement aux demandes de saisie données du gouvernement américain... mais n'avais à chaque fois aucune données à fournir.
Leslie a écrit :
Mayt a écrit : pourquoi pas voir d'ici quelques années Google, Yahoo, Microsoft et les autres fournir des comptes matrix
Très probables, en effet, car il y a de forte chance que Matrix continue à se développer et gagner en popularité. Mais on se sera pas obligé de passer par eux, justement ! :D
Bah du coup, si : il suffit qu'un seul de tes contacts ou un seul membre de tes serveurs soit chez un de ces hébergeurs pour que tes données s'y retrouvent ! Lui va utiliser ton serveur et/ou parler avec toi via Google/Yahoo/etc. et du coup les données d'interaction avec toi / le serveur vont se retrouver copiées chez lui (donc chez son hébergeur). Miam, plein de métadonnées. J'avais essayé d'expliquer ça dans mon premier message : chaque hébergeur doit héberger une copie de tout les messages des *autres* hébergeurs de vos contacts (et réciproquement). Du coup, oui, quand même, Matrix est un protocole qui pousse naturellement à la centralisation des données, vu qu'elles sont copiées partout. Elles ne sont juste pas centralisée en un seul endroit, mais elles sont bien centralisées en chaque nœud majeur du réseau ! Alors que dans un réseau fédéré bien conçu, les données ne devraient pas être dupliquées indéfiniment ici et là, mais rester privées et localisées.

---

Après je vois bien que ça dépend des besoins et de la sensibilité des gens à ces questions, donc c'est surtout pour mettre en avant d'autres options que je prend la peine d'écrire tout ça, pas forcément pour dire "Ah Matrix c'est pas bien faut arrêter !" ^^

Je peux déjà recommander deux tutos assez complets sur la sécurité des communications :

https://riseup.net/fr/security
=> Tuto sur la sécurité des e-mails et des messages instantanés (XMPP) avec PGP et Thunderbird avec beaucoup d'explications techniques. On peut aussi trouver des infos sur l'usage sécurisé de Matrix, ses avantages et ses inconvénients.

https://tails.boum.org/about/index.fr.html
=> Tuto sur un système d'exploitation anonyme qui s'installe sur une clé USB, qui cumule l'ensemble des avantages de e-mail/XMPP + PGP et du routage TOR dont parle Cony, le tout préconfiguré et sans effort. Vous branchez votre clé USB, vos mails chiffrés sont automatiquement relevés par TOR et le tout est totalement amnésique : aucune trace de votre activité n'est laissée même localement sur l'ordinateur que vous utilisez : tout est exclusivement stocké dans l'espace interne chiffré de la clé USB. C'est à ma connaissance le moyen le plus sécurisé de communiquer qui soit utilisable par n'importe qui sans compétence informatique ^^
Il est même possible d'utiliser Matrix dans Tails, ce qui est beaucoup plus sécurisé pour les gens qui tiennent à Matrix =)

C'est tout ce que j’utilise pour les communications perso sur l'ordi (à part Signal occasionnellement).

Pour ce qui est des téléphones et des communications plus instantanées sans les services Google, il faudrait prendre la peine de faire un tuto sur l'installation de LineageOS, malheureusement c'est trop long et trop technique pour que ça soit pertinent de faire ça sur ce forum :/

Avatar de l’utilisateur⋅rice
Leslie
Équipe ADDPK
Messages : 2412
Inscription : 28 juin 2015, 10:45
> VILLE : Nantes
> ASSO : Aucune
> Joignable sur MATRIX ? : Oui :-)
Contact :

Re: MATRIX vs SIGNAL vs XMPP : Quelle messagerie instantanée utiliser ?

Message par Leslie »

Débattre de ce sujet est intéressant, puisque c'est l'opportunité de clarifier certains points.

Par contre, là le sujet s'oriente vers divers points techniques et enjeux de société qui, mêmes s'ils peuvent nous passionner, n'interesseront pas toustes les membres du forum, et on finira par en perdre plus d'un⋅e.

Dans le sous-forum "Tuto", l'idée est vraiment de garder des sujets explicatifs simples pour mieux trouver ses repères sur le forum plutôt que de se plonger sur un débat de fond.

Pour permettre aux gens de choisir d'approfondir ce sujet avec nous ou de simplement avoir accès au tuto en image pour nous retrouver sur Matrix sans se prendre la tête, je vais donc diviser ce sujet en deux, et bientôt mettre la partie remise en question de la messagerie instantanée utilisée dans Envie d'échanger sur d'autres thématiques ?, tout en indiquant dans la partie "Tuto", que le sujet est approfondi, avec une remise en question de la fiabilité de cette messagerie instantanée, à cet endroit là, pour leur permettre d'être au courant. ;)
Mayt a écrit :
09 août 2021, 13:35
Après je vois bien que ça dépend des besoins et de la sensibilité des gens à ces questions, donc c'est surtout pour mettre en avant d'autres options que je prend la peine d'écrire tout ça, pas forcément pour dire "Ah Matrix c'est pas bien faut arrêter !" ^^
Bah en fait avec ton discours alarmiste, si je trouve que cela s'apparente à dire ça. Après que toi tu ne sois pas convaincu de la pertinence et de la fiabilité de Matrix, je peux l'entendre, mais ce qui me gène c'est que tu fais parfois des affirmations fausses, comme j'ai commencé à le souligner dans mes réponses, ou trop incomplètes pour les mettre en perspective, à mon sens.
Et cela peut générer plus de confusions pour toute personne qui sera trop découragée pour approfondir le sujet avec nous, je pense.

Je veux bien prendre de le temps de continuer à détailler quelles affirmations je considère comme fausses ou trop incomplètes, et pourquoi je continue à considérer Matrix comme plus pertinent malgré tous les arguments que tu mets en avant.
Mais là je n'ai vraiment pas le temps d'approfondir à nouveau pour le moment, je le ferai donc un peu plus tard. ;)

Avatar de l’utilisateur⋅rice
Leslie
Équipe ADDPK
Messages : 2412
Inscription : 28 juin 2015, 10:45
> VILLE : Nantes
> ASSO : Aucune
> Joignable sur MATRIX ? : Oui :-)
Contact :

Re: MATRIX vs SIGNAL vs XMPP : Quelle messagerie instantanée utiliser ?

Message par Leslie »

SÉCURITÉ :

1) Numéro de téléphone : un identifiant pas comme les autres :
Mayt a écrit :
09 août 2021, 13:35
Je ne comprends pas ce qui t'inquiète dans l'usage de ton numéro ? C'est un identifiant comme un autre que beaucoup des personnes avec qui tu communiques ont probablement déjà de toute façon
Nope, la plupart des personnes avec qui j'échange en ligne ne connaissent pas mon numéro de téléphone, justement.
Un numéro de téléphone, ce n'est pas anonyme et anodin à mes yeux. On ne peut pas en avoir autant que l'on veut comme des pseudos ou des adresses e-mails. Ça a un coût d'avoir une ligne téléphonique, et en général il faut s’identifier pour en ouvrir une.

Un numéro de téléphone, tout comme les noms de famille, ne sont pas des "identifiants comme les autres". On peut recroiser beaucoup de données personnelles sur une personne avec cette info, si on a accès à différentes bases de données constituées sur différentes plateformes.

Alors qu'avec le pseudo et l'adresse e-mail que l'on choisit d'y associer sur Matrix, on peut choisir de ne s'en servir que pour certaines de ses activités en ligne : elles n'auront pas à être reliées à nos données familiales, de santé, données fiscales, recherches en lignes etc... ni même à toutes nos activités de socialisation en ligne.

À part si je devais faire l'objet d'une enquête policière, et où par conséquent la police pourrait demander à connaître les adresses IP à partir desquelles je me connecte et ensuite demander aux fournisseurs d'accès à internet à qui correspondent ces adresses, il n'est pas possible pour le ou la commun⋅ne des mortel⋅le⋅s de retrouver mon identité et de me harceler dans ma vie personnelle. Il est facile de séparer sphère privée et socialisation en ligne, si on le souhaite, et ça c'est un élément essentiel à mes yeux.

2) Données compromises par un contact sur un serveur non fiable ?

Il est faux de dire qu'il suffit qu'un seul de nos contacts sur Matrix soit sur un serveur non fiable pour que toutes nos données soient compromises : certes les données des salons que l'on fréquente avec une personne qui serait sur un autre serveur seraient copiées sur celui-ci, mais pour autant cet autre serveur n'aura pas accès à la liste intégrale des salons que je fréquente et donc aussi quand je me connecte à ceux-ci etc...
Mayt a écrit :
31 juillet 2021, 12:41
Coucou juste un petit mot pour souligner que Matrix a de (grosses) lacunes en terme de sécurité. Si les messages en eux même sont (relativement) bien chiffrés, le protocole est une véritable passoire et la totalité des métadonnées est accessible au quidam pour peu qu'il partage un salon en commun avec vous, et facilement connectable par les serveurs qui fournissent Matrix.
Ta phrase d'approche est donc trompeuse à mes yeux, surtout que dans ton premier message tu affirmais aussi que les photos des salons chiffrés sont transmises en clair, ce qui, je le souligne à nouveau, est complètement faux. Personne d'autre que les personnes à qui l'on s'adressent ne pourront avoir accès aux photos postées dans un salon chiffré !

Ce n'est pas pour rien, si le gouvernement français a aussi adopté Matrix comme messagerie instantanée sécurisée : https://www.usine-digitale.fr/article/e ... s.N1128859

3) Prendre en considération le public auquel on s'adresse :

Il est aussi important de faire attention de ne pas utiliser de discours alarmiste, surtout avec des notions que beaucoup pourront confondre.
Pour rappel, ce forum est un forum de parkour, pas d'informatique ou centré sur les enjeux liés à la vie privée : la plupart des utilisateur⋅rice⋅s de ce forum utilisent Facebook et Google comme moteur de recherche, autant dire que le niveau protection de la vie privée en ligne est très bas. Donc les metadonnées transmises sur le réseau Matrix, c'est dérisoires en comparaison.
Si tu veux sensibiliser sur la protection de la vie privée, avant même d'aborder le sujet des métadonnées des messagerie ou de l'utilisation de TOR comme navigateur web, il faudrait commencer à introduire à l'implication de faire des recherches sur le web via Google, et les alternatives possibles comme Startpage, DuckDuckGo, etc...

D'ailleurs, si tu veux pouvoir toucher tout le monde il faudrait commencer par expliquer la différence entre "Internet", le "Web", "Navigateur web", "Système d'exploitation" et "Moteur de recherche", parce que c'est pas claire pour tout le monde et beaucoup de personnes confondent ces termes.

Et je pense qu'en lisant que "Matrix a de (grosses) lacunes en terme de sécurité", beaucoup risquent de croire, qu'installer Element sur leur téléphone, risque de leur installer un virus, ou que toutes leurs données de contacts, textos et photos présentes sur le téléphones risque d'être récupérées par un tiers.

Il faut vraiment faire attention lorsque l'on utilise le mot "sécurité" à mon sens, pour bien définir ce que l'on entend par là. Surtout dans un contexte où à chaque élection, c'est déjà le mot anxiogène sur-utilisé à des fins politiques.

4) "Danger Zone" en installant Signal sans passer par Google store :
Mayt a écrit :
09 août 2021, 13:35
Pour cette histoire de "manip" compliquée, si je comprends bien de quoi tu parles, il s'agit de l'installation de signal dans sa version .apk, sans utiliser ni le PlayStore de Google, ni F-Droid où Signal n'est pas disponible
La raison pour laquelle cette version est labialisée "Danger Zone" est parce que le PlayStore de Google garantit cette signature cryptographique automatiquement, alors que l'installation manuelle nécessite de vérifier soi-même la signature.
Dommage que Signal n'ait pas choisit de l'expliquer directement sur le site, car ce qui est compliqué c'est justement de rassurer les gens par rapport à ça.

Et pour passer beaucoup de temps autour de moi à vulgariser des outils informatiques, cette simple manip de télécharger en dehors d'une bibliothèque d'appli, de retrouver le fichier téléchargé sur son téléphone et de l'installer, ce n'est déjà pas à la porté de tout le monde.

5) Pressions des États :
Mayt a écrit :
09 août 2021, 13:35
Matrix aussi est sous pression, pour les mêmes raisons. Le serveur principal est tellement central que des états peuvent faire pression sur lui pour avoir accès à 95% des utilisateurs et des données.
Mettre en place un serveur Matrix, n'est pas tellement plus compliqué que de développer et mettre en ligne un forum comme celui-ci : ce n'est peut-être pas à la porté de tout le monde, mais cela reste relativement accessible à toute personne qui souhaite y consacrer du temps, de l’énergie, et quelques ressources matérielles ou financières.

Et le fait que cela soit possible change tout.
De plus, si tu te mets à fréquenter les salons publics Matrix, tu te rendras compte par toi même, qu'il y a une bien plus grande diversité de serveurs Matrix, que juste matrix.org (matrix.org est juste une porte d'entrée pour faciliter l'accès au réseau).

Par ailleurs, voilà la loi e-Pricvacy que l'Union Européenne prépare :

"L'UE veut que l'intégralité de vos discussions, messages et courriels privés soient automatiquement analysés vis-à-vis d'un contenu suspect, et ce de manière globale et indiscriminée. Le motif annoncé : traquer la pédopornographie. Le résultat : une surveillance de masse à travers l'analyse des messageries instantanées, et la fin du secret de la correspondance numérique."

"pour l’automne 2021, la Commission Européenne a annoncé qu’elle allait proposer une loi rendant le contrôle des discussions obligatoire pour tous les fournisseurs de courriel et messageries instantanées. Cette législation pourrait alors affecter les communications chiffrées de bout-en-bout. "

L'intégralité de l'article traduit en français se trouve là : https://linuxfr.org/news/la-fin-de-la-v ... -numerique

Les systèmes centralisés n'auront pas d'autre choix que de s'y plier, alors qu'avec des réseaux décentralisés, il est toujours possible de contourner des lois abusives puisque l'intégralité des serveurs Matrix ne seront pas listés quelques part et que beaucoup sont des serveurs persos.

ACCESSIBILITÉ :

Et il y a un autre souci avec l'obligation d'utiliser son numéro de téléphone comme identifiant, il s'agit de celui de l’accessibilité : cela contraint d'avoir une ligne téléphonique et un smartphone. Cela exclu d'office beaucoup de monde : celleux qui n'ont pas les moyens d'avoir un smartphone, les personnes qui, par conviction, refuseront d'en avoir, ou les enfants /ados qui n'auront pas leur propres lignes téléphoniques.
Sur ce forum, il y en a plusieurs qui se trouvent dans ce cas de figure : pas de ligne ou pas de smartphone, mais accès occasionnel à un ordi.

Il est donc essentiel d'utiliser une messagerie qui n'exclue pas, pour rester fidèles aux valeurs défendues sur ce forum. ;)
.
Besoin de s'appeler ou de se contacter par messagerie instantanée ?
On peut se joindre sur le réseau Matrix via l'appli Element. ^^

Avatar de l’utilisateur⋅rice
Mayt
Messages : 22
Inscription : 07 février 2018, 15:42
> VILLE : France
> ASSO : Aucune

Re: MATRIX vs SIGNAL vs XMPP : Quelle messagerie instantanée utiliser ?

Message par Mayt »

Bon, en vrai j'ai des choses à répondre, mais je pense qu'on parle depuis des positions trop différentes et qu'on a des besoins trop différents pour qu'on arrive à tomber d'accord.

Sur la question "e-mail vs. téléphonne ?"

Déjà, il faut un numéro de téléphonne pour créer un e-mail chez la plupart des fournisseurs. À moins d'avoir accès à un service collaboratif/associatif gratuit, c'est pas si facile d'avoir plus adresses mail. Par ailleurs, l'écrasante majorité des fournisseurs mails espionnent leurs utilisateurs (l'intégralité de leurs conversations, l'heure et le lieu de chaque connection, etc.), ce qui fait de l'adresse mail un identifiant souvent tout aussi peu anodin. Il est important de rappeler que ces données sont vendues publiquement, donc n'importe qui (genre moi) pourrait les acheter, sur des sites comme https://www.acxiom.com/. Ce n'est pas le privilège de facebook ou de la police. Pour vous donner un ordre d'idée, acheter le numéro de téléphonne d'une personne (s'il est présent dans une base de donnée du vendeur) coûte seulement quelques euros. Si vous achetez en gros, le prix se compte en centimes, voire en fraction de centimes.

Cela dit, qu'il s'agisse d'un téléphonne ou d'un mail, il y a beaucoup de solutions alternatives : on peut prendre une carte lycamobile (souvent mois de 5€, parfois même gratuit si prise sans crédit dans certains bureaux de tabac) anonyme, et ne l'utiliser que pour activer son compte signal. Il sera donc lié à un numéro différent du sien, et non-relié à votre identitée réelle. Il est également possible de louer des numéros virtuels à sur services comme Skype, c'est encore moins cher (quelque-chose comme 10 cents pour un SMS d'activation). Mieux encore, il existe des services gratuit de numéro de téléphones jetables comme https://receive-smss.com. Ça peut demander de s'y reprendre à 2 fois si jamais un numéro proposé par le service a déjà un compte enregistré (c'est rare mais ça arrive), mais franchement ça va. Il suffit ensuite de protéger son compte par un mot de passe et désactiver la réinitialisation de mot de passe par sms pour éviter que quelqu'un puisse voler votre compte en utilisant le même service. À notter que la même chose existe pour les e-mai, par exemple : https://getnada.com/. Pour moi, c'est donc vraiment du pareil au même, si on veut utiliser un identifiant impossible à relier à soi, c'est toujours possible.

Pour finir sur le téléphone, toutes ces solutions, couplées à l'existance de signal-desktop (la version ordinateur de signal), permet d'utiliser signal sans smartphone ni ligne téléphonnique, le tout avec un gros bonus d'anonymat.

Sur la question "de quoi on se protège ?"

J'ai bloqué sur la phrase "à part si je devais faire l'objet d'une enquête de police". Je trouve ça problématique pour deux raisons :

- Déjà, la police n'est pas le seul acteur puissant succeptible de collecter des données sur vous. Pour commencer, les autres polices des autres pays sont aussi problématiques. En Europe, Europol par exemple centralise au niveau de l'UE les saisies de données personnelles, rien n'empêche donc un proto-dictateur d'extrème-droite hongrois de ficher des militants pour les droits des homosexuel.le.s en France par exemple, pour son propre compte ou pour le compte d'un autre état avec qui il aurait des accords. Vous pouvez aussi vous attendre à subir des attaques d'entreprises Israélienne comme
NSO Group qui vendent au plus offrant (y compris à des particuliers) des outils de surveillance qu'on peut qualifier d'armes de guerre numériques, qui sont utilisées dans le monde entier pour surveiller des opposants politiques, et bien souvent hors du cadre légal. En dehors de ça, on peut encore simplement compter les data brokers eux-même, donc la survie dépend entrièrement de la collecte et de la vente de données personnelles, et qui peuvent également prendre des initiatives dans ce domaine.

- D'autre part, le fait que tu puisse te permettre de dire ça démontre un certain privilège (tu ne sembles pas trouver ça crédible et/ou important) et d'une certaine logique de "rien à cacher". De mon point de vue, quand on fait la promotion d'une solution de communicaiton alternative et sécurisée, on se doit de penser aux personnes qui n'ont pas ce genre de privilèges : des militants politiques, potentiellement ciblés par la surveillance (https://reporterre.net/Repute-sur-Proto ... nts-climat), des personnes qui sont déjà exposées à de la répression pour d'autres raisons (racisme policier, etc.), les journalistes qui protègent leurs sources, etc. Par ailleurs, même pour des personnes n'ayant pas l'impressio d'avoir de besoins particulier en terme de sécurité, parfois nos échanges personnels contiennent des données médicales, ou encore des données qui pourraient servir à usurper notre identitées. Tout ces usages nécéssitent des pratiques de sécurités fiables et serieuses. Ce n'est pas le cas de Matrix. Encore ce mois-ci une faille de sécurité a éclaté au grand jour, révélant que la compromission d'un seul serveur peut se propager à tout les usagers qui interagissent avec : https://matrix.org/blog/2021/09/13/vuln ... ey-sharing. Ce n'est ni la première, ni la dernière fois. C'est la structure de Matrix qui est en cause : qui dit fédération de serveurs dit pratiques de sécurité variables d'un serveur à l'autre, qui dit nombreux clients différents dit pratiques de sécurité variable d'un client à l'autre. La fédération est un modèle complexe et presque impossible à sécuriser convenablement, surtout dans un écosystème aussi changeant que celui de Matrix. Peut-être que dans quelques années, le système aura gagné en maturité, mais aujourd'hui il n'est pas fiable.

Pour les derniers points que tu as soulevé :
- Le gourvenemnt français fonctionne encore en grande partie sur Windows ! Alors que ~70% des ordinateurs dans le monde sont sur linux depuis bientôt 10 ans et que les avatanges de sécurité et de souvernaineté de Linux de sont plus à prouver, ce qui témoigne de son profond désintérêt/méconaissance pour la sécurité informatique. La raison pour laquelle ils migrent vers Matrix, c'est parce que c'est gratuit.

- Tu insiste sur la facilité d'héberger des serveurs, je suis d'accord c'est le cas. D'ailleurs, sur le long terme, Matrix envisage de migrer vers un modèle peer-to-peer ou chaque utilisateur aurait son propre serveur intégré dans son client Matrix. C'est génial, c'est super souhaitable, mais ce n'est pas encore le cas : sur 35 millions d'utilisateurs, 28 millions sont sur matrix.org.

- Tu dis que des services décentralisés résistent mieux à la censure de l'état. Alors, oui, c'est vrai, mais est-ce que tu penses vraiment que Matrix survivrait à la fermeture de ses plus gros serveurs ? Est-ce que le modèle P2P n'est pas plus adapté à répondre à ce genre de menaces ? Est-ce que l'histore n'est pas remplie d'exemple de services centralisés qui ont juste changé de pays quand la loi du pays où ils se situaient a changé ? Signal n'est même pas basé en Europe, donc la loi dont tu parles ne risque pas d'affecter ce service.

Bref, tout ça pour dire : il y a du progrès à faire, nous avons besoin de services de communications libres, décentralisés, chiffrés et résistants à la censure. Actuellement, il n'en existe aucun de satisfaisant, mais à choisir, je ne trouve pas que Matrix aient les meilleurs arguments. Mais encore une fois, nous ne semblons pas avoir les mêmes besoins : je cherche un service qui peut me protéger d'acteurs comme l'état, la police, des data-brokers et des multinationale type GAFAM. Prendre en compte des acteurs comme cela dans la construciton d'outils de commnuication sécurisés exclue presque automatiquement les modèles fédérés : seule le chiffrage de bout-en-bout et la disparition des métadonnées permis par des architectures P2P permettraient d'obtenir une réponse satisfaisante à ce problème. Aujourd'hui, il n'existe aucune solution loigicielle satisfaisante.

J'ai l'impression que ce sur quoi on ne s'entend pas, c'est sur ce qu'il faut prioriser maintenant, en 2021, en attendant l'avènement d'une solution qui réconcilierait nos besoins. Pour moi la sécurité brute (chiffrement fort, centralisation du code en une seule entité facile à auditer) l'emporte de très loin sur d'autres enjeux comme la pérénité ou la décentralisation, qui viennent compliquer la tache de la sécurité. Ce ne sont pas des choses sur lesquelles je crache, et j'aimerais vraiment qu'il existe une solution qui rassemble tout ces critères, mais ce n'est simplement pas aussi importantes à mes yeux que la protection du contenu de mes communications.

PS : la non-fiabilité de Matrix est assez consensuelle dans les milieux de la sécurtié informatique, et c'est en grande partie du au fait que Matrix est en développement actif, c'est encore une "beta", même si les choses ont déjà beaucoup avancé. Même en interne, les document techniques de matrix démontrent que l'équipe qui développe le protocole est consciente de ses limites, et essaye de les dépasser (mais ça prend évidemment du temps). De la lecture sur le sujet, en anglais : https://github.com/libremonde-org/paper ... matrix.org

Avatar de l’utilisateur⋅rice
Leslie
Équipe ADDPK
Messages : 2412
Inscription : 28 juin 2015, 10:45
> VILLE : Nantes
> ASSO : Aucune
> Joignable sur MATRIX ? : Oui :-)
Contact :

Re: MATRIX vs SIGNAL vs XMPP : Quelle messagerie instantanée utiliser ?

Message par Leslie »

Mayt a écrit :
14 septembre 2021, 18:19
Par ailleurs, l'écrasante majorité des fournisseurs mails espionnent leurs utilisateurs (l'intégralité de leurs conversations, l'heure et le lieu de chaque connection, etc.), ce qui fait de l'adresse mail un identifiant souvent tout aussi peu anodin. Il est important de rappeler que ces données sont vendues publiquement, donc n'importe qui (genre moi) pourrait les acheter, sur des sites comme https://www.acxiom.com/. Ce n'est pas le privilège de facebook ou de la police. Pour vous donner un ordre d'idée, acheter le numéro de téléphonne d'une personne (s'il est présent dans une base de donnée du vendeur) coûte seulement quelques euros.
Tu connais mon adresse e-mail, Mayt, je te mets donc au défi de collecter une quelconque information sur moi via ce biais, si c'est aussi simple et peu cher. ;)
Mayt a écrit :
14 septembre 2021, 18:19
nous ne semblons pas avoir les mêmes besoins
En effet, nous n'avons pas les mêmes besoins.

Et Matrix correspond à mes priorités, comme je l'ai expliqué, c'est donc sur ce réseau que je souhaite m'investir. Mais encore une fois, rien ne t'empêche de communiquer avec les autres membres du forum via un groupe Signal.

Si tu animes un groupe sur ce réseau, on pourra le mettre en avant sur le forum, même si moi je n'en fais pas partie.
.
Besoin de s'appeler ou de se contacter par messagerie instantanée ?
On peut se joindre sur le réseau Matrix via l'appli Element. ^^

Avatar de l’utilisateur⋅rice
Mayt
Messages : 22
Inscription : 07 février 2018, 15:42
> VILLE : France
> ASSO : Aucune

Re: MATRIX vs SIGNAL vs XMPP : Quelle messagerie instantanée utiliser ?

Message par Mayt »

Ahah, si tu veux me payer pour auditer ta vie privée, je prends les chèques emploi services ! :P

Plus serieusement, si t'es motivée de te documenter par toi-même sur les enjeux, je te reccomande ce docu qui vulgarise très bien le sujet, et les journalistes y font eux-même l'experience de l'achat de données personnelles sur le net : https://www.france.tv/france-2/cash-inv ... -l-or.html.

Avatar de l’utilisateur⋅rice
Leslie
Équipe ADDPK
Messages : 2412
Inscription : 28 juin 2015, 10:45
> VILLE : Nantes
> ASSO : Aucune
> Joignable sur MATRIX ? : Oui :-)
Contact :

Re: MATRIX vs SIGNAL vs XMPP : Quelle messagerie instantanée utiliser ?

Message par Leslie »

Je suis plus qu'avertie sur les enjeux de protéger sa vie privée sur le net. Et j'y suis particulièrement attentive, même si comme mentionné précédemment, l’enjeu de l'accessibilité est tout aussi important pour moi.

Alors bien sûr, je laisse des traces malgré moi, comme l'exemple cité par Cash investigation avec la carte vitale dans les pharmacies. Mais là, ce n'est pas des traces laissées par moi via le web ou une appli mobile.

Et, oui, je ne suis pas non plus à l’abri que mes contacts ne sécurisent pas les échanges que j'ai avec elleux, ou partagent leurs carnets d'adresse avec Google, mais aucun de mes contacts n'a accès à la fois accès à mon nom de famille, à toutes mes adresses e-mail, mon principal numéro de tel, mon identifiant Matrix et ma photo.
Donc le recoupage d'information possible est limité, même s'il y en a forcement un peu de possible.

C'est pour ça que je réitère mon défi : si tu dis que c'est à la porté de n'importe quel quidam de retrouver des informations personnelles via une adresse e-mail, même quand la personne paye 15€ / an pour un service pro qui ne se finance pas par la pub, lui permettant par la même occasion d'avoir des alias d'e-mail à volonté pour pouvoir utiliser une adresse spécifique pour chaque activité, et bien je veux des preuves ! :P

Teste donc l'adresse e-mail que tu as de moi. :mrgreen:
.
Besoin de s'appeler ou de se contacter par messagerie instantanée ?
On peut se joindre sur le réseau Matrix via l'appli Element. ^^

Avatar de l’utilisateur⋅rice
Mayt
Messages : 22
Inscription : 07 février 2018, 15:42
> VILLE : France
> ASSO : Aucune

Re: MATRIX vs SIGNAL vs XMPP : Quelle messagerie instantanée utiliser ?

Message par Mayt »

Je t'ai envoyé ce que j'ai trouvé par mail. Je te laisse décider de ce que tu as envie de rendre public (même si on pourrait considérer que ça l'est déjà ^^).

Avatar de l’utilisateur⋅rice
Leslie
Équipe ADDPK
Messages : 2412
Inscription : 28 juin 2015, 10:45
> VILLE : Nantes
> ASSO : Aucune
> Joignable sur MATRIX ? : Oui :-)
Contact :

Re: MATRIX vs SIGNAL vs XMPP : Quelle messagerie instantanée utiliser ?

Message par Leslie »

Oui, en effet, ce qui tu as trouvé est déjà public, comme tu le soulignes, et c'est un choix conscient de ma part.

Toutes les personnes qui sont en contact avec moi sur les réseaux sociaux libres que je fréquente, dont Matrix, pourront retrouver les infos que tu m'a envoyé, puisque j'ai décidé de regrouper sous le même pseudo la majeur partie de mes activités sociales et l'affirmation de mes opinions politiques en ligne.

Et même sur ce forum, j'ai fait le lien, puisque j'ai déjà publié un post faisant référence à un article que j'avais publié sur mon blog.

Je crée des évènements publics, pour contribuer à développer des communautés autour des centres d’intérêt que j'ai et selon les idéaux de société qui me tiennent à coeur, dont l'ouverture, donc forcément, je ne peux que m'exposer un peu.

Le fait d'exposer mes opinions féministes, sur ce forum ou sur mon blog, m'exposent au risque de harcèlement de l'extrème-droite et des masculinistes me dis-tu ?
Et bien oui : j'indique même sur ce forum où me retrouver, puisque je propose des sessions parkour ouverte à tout le monde.
Et si tu suis les liens de mon blog, tu trouveras tous les apéro-discussions où j'invite les gens à venir échanger leur point de vue de vive voix avec moi. J'ouvre la discussion avec tout le monde, même avec les gens d'extrème-droite et masculinistes. Je cherche même à aller à leur rencontre et j'en fréquente déjà à travers le sport : je suis pour une société inclusive de tout le monde, et cela implique de s'ouvrir aux personnes qui sont à l’opposé de nos valeurs. Je pense que ces rencontres contribuent à casser les préjugés et qu'elles sont nécessaire, même si non sans risque.

Cela souligne bien à nouveau nos différences de priorité : pour toi, il semble essentiel de ne rien laisser filtrer ou presque sur toi. Alors que moi, qui suit à la recherche d'une certaine ouverture, je choisirai de m'exposer un minimum, mais pas sur n'importe quoi.

Car comme tu me la confirmé par e-mail, tu n'as pas pu retrouver des informations légale sur moi, mon nom ni des infos sur ma famille ou les ami⋅e⋅s que j'ai en dehors de ce forum.

Et non, tu n'as pas réussi à retrouver mon quartier non plus : je n'habite pas au Grand Malakoff. Mais en approfondissant tes recherches, tu pourras le trouver par contre : j'y ai déjà fait consciemment référence en ligne.

Conclusion réitérée : nous n'avons pas les mêmes priorités.

Avatar de l’utilisateur⋅rice
Mayt
Messages : 22
Inscription : 07 février 2018, 15:42
> VILLE : France
> ASSO : Aucune

Re: MATRIX vs SIGNAL vs XMPP : Quelle messagerie instantanée utiliser ?

Message par Mayt »

D'accord, mais du coup je ne comprends pas l'intérêt de ton défi, tu me demandes de te démontrer qu'on peut retrouver des informations personnelles sur toi en ne partant que de ton adresse mail, je te démontre qu'on peut retrouver ton adresse IP, la ville dans laquelle tu vis, tes opinions politiques et des photos de toi, c'est à dire suffisamment d'informations et tu me réponds "oui mais tout ça est public". Alors oui, mais du coup, qu'est-ce que tu attendais de cette démonstration ? Que je trouve ton numéro de sécu et ton arbre généalogique ?

Je ne comprends pas trop les pratiques que tu as sur internet. Avec quelques efforts supplémentaire, tu pourrais avoir la même présence en ligne sans qu'elle soit liée d'aucune façon a ton identité réelle en faisant attention à ne pas mélanger ta vie numérique et ta vie hors-Internet, en évitant de publier des photos de toi, et en séparant mieux tes identités contextuelles. Depuis le début de cette conversation, tu soutiens que ta vie numérique est bien compartimentée et qu'on ne peut pas recouper d'infos sur toi, et clairement, c'est faux. En partant simplement de mots clefs comme "Leslie Parkour" ou de ton adresse mail, on peut recouper des informations hyper précises ! Je remet quelques infos de mon mail ici vu que ça n'a pas l'air de te déranger pour illustrer mon propos.

[Informations effacées, voir explications dans cette réponses : viewtopic.php?p=5616#p5616]

Je ne sais pas si tu t'en rends compte, mais en participant à des réseaux comme Diaspora*, Mastodon, Mobilizon, etc. de la façon dont tu le fais, tu développes une emprunte numérique aussi conséquente que si tu utilisais des réseaux comme Facebook, Twitter, Instagram, etc. Si je comprends l'aspect "boycotter les GAFAM", je ne comprends pas comment tu peux passer à côté de la moitié de la critique qu'on peut faire aux réseaux sociaux dominants : tu mets en ligne tout un tas d'informations personnelles qui peuvent te mettre en danger, de ton plein gré, et dans des contextes qui sont faciles à recouper avec ton identité réelle. Ces informations sont publiques, ont probablement été collectées par des data-brokers pour créer des fiches d'identité virtuelles sur toi dans le but de cibler les publicités que tu vois par rapport tes intérêts, ces informations sont probablement vendues par des tiers au même titre que les données de Facebook le sont, et il est fort probable que la police ait (ou puisse facilement dans le futur, si le régime politique se durcit en France, ce qui semble plutôt probable) épluché tes comptes, vu que tu y expose des positions politiques notamment critiques de la police. Qui plus est, il est possible en moins de deux heures pour un particulier de découvrir toutes ces informations sur toi. Ces informations peuvent être à l'origine de démarche de cyber-harcèlement de personnes avec des idées politiques opposées aux tiennes, et permettent également de te retrouver dans la vraie vie assez facilement. Et tout ça ne peut pas être supprimé. Ça ne te pose aucun problème ? :|

Avatar de l’utilisateur⋅rice
Leslie
Équipe ADDPK
Messages : 2412
Inscription : 28 juin 2015, 10:45
> VILLE : Nantes
> ASSO : Aucune
> Joignable sur MATRIX ? : Oui :-)
Contact :

Re: MATRIX vs SIGNAL vs XMPP : Quelle messagerie instantanée utiliser ?

Message par Leslie »

Mais en fait, Mayt, c'est ton cyberharcèlement à toi qui me saoule...

Depuis le début, je te dis : non je ne veux pas utiliser Signal, je veux utiliser Matrix.

J'y ai exposé mes raisons maintes fois, et tu reviens à la charge.
Utilise donc Signal comme tu le souhaites, mais cesse d'harceler les gens qui ne veulent pas te suivre.

J'esperais que tu n'allais pas tomber fans la betise de republier mes infos publiquement. Je viens de les effacer de ton message.
Oui, on peut retrouver manuellement toutes ces infos, mais ce n'est pas à toi de créer des fiches les regroupant pour mieux automatiser la recherche.

Devrais-je aussi publier publiquement ton adresse e-mail que tu m'a envoyé par message privé et que tu as cru pouvoir effacer en supprimant ton message ?

Les infos que tu as trouvé, tu les as trouvé parce que j'ai relié certaines activités à un pseudo, pas parce que tu as pu hacker ma boite e-mail et le contenu de mes echanges, comme tu pretendais pouvoir faire.

Maintenant, que tu conprennes ou non mes choix, je m'en moque en fait.
Je suis lasse de passer du temps à cette conversation qui patinne. On en revient toujours à la même conclusion : on a pas les mêmes priorités, donc c'est normal qu'on fasse pas les mêmes choix.

Si tu pouvais te mettre à l'accepter, ce serait cool.
.
Besoin de s'appeler ou de se contacter par messagerie instantanée ?
On peut se joindre sur le réseau Matrix via l'appli Element. ^^

Avatar de l’utilisateur⋅rice
Mayt
Messages : 22
Inscription : 07 février 2018, 15:42
> VILLE : France
> ASSO : Aucune

Re: MATRIX vs SIGNAL vs XMPP : Quelle messagerie instantanée utiliser ?

Message par Mayt »

Heu, alors, il s'agit d'une discussion publique sur un forum à laquelle tu n'es pas obligée de participer, que tu ne cesse de relancer, et dans laquelle tu m'as défié deux fois de te démontrer ce qu'on peut retrouver à partir de ton adresse mail. Je t'ai déjà proposé de mettre un terme à la discussion sur le constat que nous avions des préoccupations différentes, et malgré cela tu as renouvelé tes demandes.
Pour commencer, je t'invite à retirer tes propos m'accusant de cyber-harcèlement, et si tu souhaite que cette conversation s'arrête, vraiment, tu peux le dire, et t'es pas obligée de me relancer dans l'heure à chaque fois que je donne un argument pour défendre mon point de vue sur ce sujet.

Je ne t'agresse pas, en fait. Je n'essaye pas non plus de te forcer à changer d'avis. J'essaye d'avoir une discussion constructive sur un sujet important.

Si tu veux prendre la mouche vas-y, mais fais ça de manière un minimum respectueuse de cet espace et de la conversation qu'on essaye d'avoir. Au minimum, arrête de mentir, de m'insulter et de me prêter des intentions qui ne sont pas les miennes.

PS : Par ailleurs, étant-donné que tu n'es pas la seule modératrice de ce forum, je trouverais ça plus honnête si tu ne te permettait pas de modérer des conversations dont tu es une participante active. En l’occurrence, je trouve ton comportement déplacé ici, du coup j'apprécierais si une autre personne de l'équipe de modération pouvait intervenir pour, par exemple, archiver ce sujet ou en tout cas mettre des limites sur la conversation et modérer les arguments ad-hominem.

Avatar de l’utilisateur⋅rice
Leslie
Équipe ADDPK
Messages : 2412
Inscription : 28 juin 2015, 10:45
> VILLE : Nantes
> ASSO : Aucune
> Joignable sur MATRIX ? : Oui :-)
Contact :

Re: MATRIX vs SIGNAL vs XMPP : Quelle messagerie instantanée utiliser ?

Message par Leslie »

Rien à retirer (j'assume mes propos, et mes actions).

Rien à ajouter (je considère que tu n'as rien demontré et que tes affirmations restent fausses, mais j'ai dejà expliquer pourquoi, c'est donc me repeter).

Je laisse la personne qui le souhaite modérer la conversation.

Avatar de l’utilisateur⋅rice
Leslie
Équipe ADDPK
Messages : 2412
Inscription : 28 juin 2015, 10:45
> VILLE : Nantes
> ASSO : Aucune
> Joignable sur MATRIX ? : Oui :-)
Contact :

Re: MATRIX vs SIGNAL vs XMPP : Quelle messagerie instantanée utiliser ?

Message par Leslie »

J'ai vu que tu avais signalé mon message à l'équipe modératrice.
Tu as bien fait, si tu souhaitais le faire. Je ne suis pas sûre qu'il y ait du répondant des autres, mais tu as raison de tester.

Car ce serait bien en effet, que ce rôle soit davantage assumé. Une tierce personne, même simple médiateur⋅rice, peut toujours aider à calmer le jeu, que l'on soit attitré⋅é modérateur⋅rice ou non.

(Diane l'avait très bien fait une fois, notamment quand Alan avait posté un message me demandant de fermer tout simplement le forum et m'accusant de "séparatisme" car je postais des sessions locales en dehors du groupe FB Parkour Nantes, ce qu'il trouvait inadmissible. La tension avait monté un peu à ce moment là aussi).

Cependant, avant de voir que tu l'avais signalé, j'avais finalement décidé de revenir vers toi pour en effet retirer mon accusation de cyberharcèlement. Je reconnais que je n'ai pas utilisé le bon terme, et que pour le coup c'était faux.

Tu ne me harcèles pas en ligne.

Tu ne m'apparais pas prendre en compte mes arguments dans la conversation que nous avons cependant, et tu fais beaucoup d'affirmations fausses à mon sens, et c'est cela que je trouve oppressant, notamment parce qu'à mes yeux, par cette attitude, tu fragilises une dynamique collective* que je peine déjà à animer, je me suis beaucoup investie, donc ça ne peut que m'impacter personnellement. D'où ma réactivité.

* je parle du forum en lui-même et des week-ends ADDPK...

Mais d'accord, ce n'est pas du cyberharcèlement.
Mayt a écrit :
19 septembre 2021, 10:56
D'accord, mais du coup je ne comprends pas l'intérêt de ton défi, tu me demandes de te démontrer qu'on peut retrouver des informations personnelles sur toi en ne partant que de ton adresse mail, je te démontre qu'on peut retrouver ton adresse IP, la ville dans laquelle tu vis, tes opinions politiques et des photos de toi, c'est à dire suffisamment d'informations et tu me réponds "oui mais tout ça est public"
Pour répondre tout de même à ça, je te répondrai à nouveau que tu n'as pas pu trouver les informations que je n'avais pas déjà publié en ligne.

Des nom de domaines (= adresse web, utilisable pour créer un créer un adresse e-mail, je précise pour les personnes qui ne connaissent pas le terme), j'en ai une dizaine, sans parler des redirections d'e-mail, car là j'en ai bien plus.
Il y a les noms de domaines que j'associe à des projets, comme addpk.org, à mon blog ou autres sites web, et d'autres qui ne sont liés à rien et que j'utilise uniquement pour créer des adresses e-mails pour les échanges avec mes proches, faire des commandes en ligne, avoir accès à services de l'Etat (secu, fisc etc..). Je n'avais pas envie de te confier une adresse e-mail que j'utilise pour m'identifier avec mes proches ou légalement.

Et c'est pour cela que tu n'as pas pu retrouver d'info légale sur moi, car l'adresse e-mail que je t'ai confiée est une adresse e-mail que j'utilise pour socialiser en ligne. Donc oui, il sera possible de retrouver mon activité en ligne, puisqu'elle y ait liée.
Mayt a écrit :
14 septembre 2021, 18:19
Par ailleurs, l'écrasante majorité des fournisseurs mails espionnent leurs utilisateurs (l'intégralité de leurs conversations, l'heure et le lieu de chaque connexion, etc.), ce qui fait de l'adresse mail un identifiant souvent tout aussi peu anodin. Il est important de rappeler que ces données sont vendues publiquement, donc n'importe qui (genre moi) pourrait les acheter, sur des sites comme https://www.acxiom.com/. Ce n'est pas le privilège de facebook ou de la police. Pour vous donner un ordre d'idée, acheter le numéro de téléphone d'une personne (s'il est présent dans une base de donnée du vendeur) coûte seulement quelques euros.
Quand je t'ai lancé le défi, c'était par rapport à cette affirmation. Donc c'est pour ça que je considère que tu n'as rien démontré. Tu n'as pas pu avoir accès à mes conversations privées et mes heures de connections à mes boites e-mails que je sache ?
Je continue donc à considérer cette affirmation fausse.

Mayt a écrit :
19 septembre 2021, 13:05
PS : Par ailleurs, étant-donné que tu n'es pas la seule modératrice de ce forum, je trouverais ça plus honnête si tu ne te permettait pas de modérer des conversations dont tu es une participante active. En l’occurrence, je trouve ton comportement déplacé ici, du coup j'apprécierais si une autre personne de l'équipe de modération pouvait intervenir pour, par exemple, archiver ce sujet ou en tout cas mettre des limites sur la conversation et modérer les arguments ad-hominem.
Est-ce que tu veux que je joue aussi à publier une fiche sur ce que l'on peut trouver en ligne avec ton pseudo Mayt ?
Ton blog, le pseudo de tes amis du forum dont tu es proche et que tu t'apprêtais à héberger chez toi à la dernière escapade où tu t'étais inscrit (et travers elleux, on peut aussi remonter un fil, en retrouvant leur pseudo ailleurs), dans quelle ville tu as un "chez toi", un résumé de tes opinions politiques que tu as exprimé sur le forum, ton adresse e-mail probable (car même si tu ne me l'avais pas donné, avec ton pseudo et tes opinions affichés, on peut se douter avec qui tu auras un compte...), à quelles heures tu te connectes sur le forum et s'il y a une routine qui se dégage, quel est ton système d'exploitation, ton navigateur web, ton adresse IP, quelles pages tu a consultés et quand...

Toutes ces empruntes numériques, toi aussi tu les as laissées en ligne. Cependant ce n'est pas à moi ni à qui ce soit de publier un fiche sur toi là ou tu n'as pas choisi de le faire.

Car c'est une chose que ce ne soit pas un secret pour qui fait des recherches manuelles, mais une autre de faciliter le fichage automatique.
Donc pour le coup, oui, je trouve déplacé que tu l'ailles fait pour moi. Je fais des "fiches" sur où me retrouver en ligne et dans la vrai vie, comme tu l'as vu sur mon blog, mais c'est à moi de le faire sur les espaces de discussion que je fréquente, pas à toi. Donc il me semble normal de m'être autorisée à l'effacer dans ton message.

Mayt a écrit :
19 septembre 2021, 13:05
Si tu veux prendre la mouche vas-y, mais fais ça de manière un minimum respectueuse de cet espace et de la conversation qu'on essaye d'avoir. Au minimum, arrête de mentir, de m'insulter et de me prêter des intentions qui ne sont pas les miennes.
D'acc. Encore une fois, je retire mon accusation de cyberharcèlement. Je m'en excuse, ce n'était pas le bon terme. Je voulais exprimer un sentiment de pression de ta part pour me faire adopter Signal (et donc tes priorités) que je trouve oppressant, mais je le reconnais, ce n'est pas à confondre avec du harcèlement. C'était donc une erreur de ma part.

Mais toi, mets-toi à écouter et prendre en considération mes propos, et surtout n'affirme pas à tout va des choses qui sont fausses.
Admet au moins tes erreurs. Pour les photos qui seraient envoyées en clair dans les salons cryptés sur Matrix, tu continues à l'affirmer, ou tu reconnais que tu t'es emballé dans tes affirmations ?
Mayt a écrit :
19 septembre 2021, 10:56
Je ne sais pas si tu t'en rends compte, mais en participant à des réseaux comme Diaspora*, Mastodon, Mobilizon, etc. de la façon dont tu le fais [...]. Ça ne te pose aucun problème ?
Là franchement on sort du sujet "MATRIX vs SIGNAL vs XMPP : Quelle messagerie instantanée utiliser ?"
Et si tes critiques se concentrent sur la façon dont moi je gère mes réseaux sociaux, libre à chacun⋅e de les gérer différemment, cela dépend donc des individus.

Que tu n'approuves pas la façon dont moi je le fais, je m'en moque en fait. Je t'ai déjà expliqué où étaient mes priorités, mais apparemment tu n'arrives pas à concevoir qu'on l'on puisse en avoir des différentes des tiennes. Donc je n'ai rien ajouter, si ce n'est de te demander de respecter ma différence, même si tu ne la comprends pas.

Pour conclure, même si cette conversation trahie un certain agacement qui me parait réciproque, je voudrais malgré tout souligner qu'il y a tout de même des contributions que tu apportes sur le forum que j'apprécie, et que je ne rejette pas l'ensemble de tes interventions.

Ton récent tuto sur Croc, pour transférer les fichiers est très bien fait notamment, et peut en effet être utile dans certaines circonstances.

Et si je finie par cette touche positive, c'est pour te proposer de clore ensemble cette discussion, afin que l'on puisse se concentrer sur d'autres sujets à développer.

Répondre

Revenir à « Envie d'échanger sur d'autres thématiques ? »