Quelles sont les différences techniques entre ces fameuses applications que je conseille pour protéger votre vie privée et/ou votre anonymat ?

Signal - Les précurseurs

Ils arrivent et fracassent techniquement le marché des communications en temps réel en sortant un protocole open-source réutilisable E2EE qui intègre des fonctionnalités avancées comme le Perfect Forward Secrecy, Double Ratchet, X3ECDH, Dénégation Plausible.

Ces technologies ne vous disent peut-être rien, donc je vais les expliquer rapidement.

E2EE, vous connaissez déjà, c'est l'acronyme de End to End Encryption.
Ça signifie que votre communication est chiffrée de bout en bout, aucun serveur ou fournisseur ne peut lire votre conversation, seuls l'émetteur et le récepteur du message. À l'inverse des emails, de vos DMs et des groupes Telegram.

En sachant que les conversations sont chiffrées avec des clés, la sécurité de ces clés est cruciale. Imaginons que toute votre conversation soit chiffrée avec une seule clé et qu'elle finisse par être récupérée par un attaquant, votre conversation sera déchiffrée et donc lisible par l'attaquant.
Pour réduire ce risque, Signal a intégré les notions de Perfect Forward Secrecy et l'algorithme de Double Ratchet. Cela permet d'avoir à chaque fois une nouvelle opération de chiffrement et donc de nouvelles clés pour chaque nouveau message envoyé/reçu. Si une des clés est récupérée, seul le message chiffré avec cette clé sera lisible, mais pas les anciens ni les nouveaux messages.

L'autre concept amené par Signal pour protéger votre vie privée, c'est la Dénégation Plausible ou Répudiation. Là où en sécurité nous sommes plutôt habitués à la non-répudiation, ici, c'est l'inverse qui s'applique.

En effet, la non-répudiation est très utile en sécurité pour permettre de certifier qu'un message a bien été envoyé par un certain interlocuteur et pas un autre.

Mais quand on veut protéger sa vie privée, on préfère que personne ne puisse certifier que nous sommes réellement l'auteur ou non d'un message. C'est là qu'intervient la Dénégation Plausible.

Elle permet de s'assurer techniquement que le message est bien de l'utilisateur et non d'un usurpateur, sans donner le pouvoir cryptographique au récepteur de prouver qu'un message provient de cet utilisateur. Ceci grâce à une signature différente pour chaque message envoyé.

Pour nous permettre d'avoir ces différentes protections et sur plusieurs équipements, les deux interlocuteurs doivent pouvoir s'échanger plusieurs clés (publiques, éphémères, partagées) avant la communication, via un canal non protégé, puisque pas encore chiffré de bout en bout. À cela s'ajoute la complexité que les utilisateurs ne sont pas forcément connectés en même temps au serveur.

C'est pour cela qu'existe le X3ECDH pour eXtended Triple Elliptic Curve Diffie Hellman.
Diffie Hellman (DH) est connu pour être le protocole d'échange de clés partagées sur un canal non protégé avant une communication chiffrée.

C'est là qu'Alice donne sa clé publique à Bob et inversement. C'est là aussi qu'ils décident des modalités de génération d'une clé partagée commune dérivée de leur clé privée respective. Ces fameuses modalités, qui auparavant n'étaient qu'un simple nombre premier et la racine primitive modulo ce nombre premier, sont maintenant remplacées par une courbe elliptique (EC) définie sur un corps fini.

On passera les détails, mais cette courbe permet de générer de plus petits nombres sans altérer la sécurité, et cela optimise les opérations d'échange de clés et de chiffrement/déchiffrement.

Ces avancées marquent un tournant dans les communications mobiles chiffrées, c'est pourquoi leur protocole est directement intégré à d'autres applications comme WhatsApp et Session.

Cependant, petit problème pour l'anonymat, Signal demande un numéro de téléphone pour s'inscrire. Ceci fâche la communauté anonyme qui, pour certains, va totalement boycotter l'application et pour d'autres, utiliser un numéro anonyme pour quand même profiter du protocole.

L'autre aspect qui refroidit la communauté, c'est la centralisation de leur plateforme. En effet, l'architecture de Signal repose sur la centralisation de ses serveurs qui, en plus, récoltent des informations comme l'adresse IP et des métadonnées sur les messages et contacts. Même si cela ne semble pas être leur business model, à la différence de WhatsApp, ils pourraient fournir ces informations.

Des infrastructures différentes

Nous commencerons par un aperçu des coûts d'infrastructure les plus importants de Signal, c'est-à-dire ce que nous payons pour les services publics et les services qui permettent à Signal de vous atteindre. Il s'agit notamment du stockage temporaire des données cryptées de bout en bout pour la livraison des messages, du réseau mondial de serveurs qui traite des milliards de requêtes chaque jour, des frais d'inscription qui couvrent la livraison des codes de vérification pendant le processus d'inscription pour aider à vérifier les numéros de téléphone et empêcher les comptes de spam, de la bande passante nécessaire pour acheminer efficacement les messages et les appels cryptés de bout en bout dans le monde entier, et de certains services supplémentaires qui assurent le bon fonctionnement de l'ensemble. Nous reviendrons plus en détail sur chacun de ces éléments, mais voici une brève ventilation :

Stockage : 1,3 million de dollars par an.
Serveurs : 2,9 millions de dollars par an.
Frais d'enregistrement : 6 millions de dollars par an.
Largeur de bande totale : 2,8 millions de dollars par an.
Services supplémentaires :

700 000 dollars par an.

Coûts d'infrastructure actuels (en novembre 2023) : Environ 14 millions de dollars par an.

Le protocole Signal est un ensemble de spécifications cryptographiques qui fournit un chiffrement de bout en bout pour les communications privées échangées quotidiennement par des milliards de personnes dans le monde. Après sa publication en 2013, le protocole Signal a été adopté non seulement par Signal, mais bien au-delà. Des informations techniques sur le protocole Signal peuvent être trouvées dans la section des spécifications de notre site docs.
https://signal.org/docs/

En 2019, des ingénieurs travaillant pour le géant chinois Huawei découvrent que Matthew Rosenfeld, plus connu sous le nom de Moxie Marlinspike, le créateur de l’application Signal, avait accepté des pots-de-vin après avoir été menacé d’emprisonnement pour que le protocole de sécurité de son application soit la dispositon des services techniques des agences de renseignement des CINQ YEUX (FIVE EYES). Des sources proches des services de renseignement russes affirment que Rosenfeld aurait reçu en échange de cette coopération plus de 70 millions de dollars US de la part de la CIA via Facebook Inc. Détail assez surprenant, Facebook est considéré comme faisant partie intégrante de la CIA par le codex chinois portant nomenclature des menaces extérieures.

Le créateur de Signal a travaillé pour Twitter, l’un des piliers des Cinq Yeux et l’une des principales plates-formes de collecte d’information sur le net. Rosenfeld est surtout connu pour être le co-auteur du protocole de cryptage Signal, utilisé simultanément par Signal, Facebook Messenger, WhatsApp et Skype. Toutes ses applications sont sous le contrôle de la CIA.

Autre détail assez surprenant venant de sources proches de l’Etat profond US: Rosenfeld en tant que cryptograhe, a été un ami de Jacob Applebaum, le promoteur de Tor, quoique le talent de ce dernier dépasse de loin celui de Rosenfeld aussi bien en matière de cryptographie que dans l’art du double jeu (Applebaum a activement collaboré avec la NSA et la CIA tout en tentant de les doubler avec deux autres services de renseigement étrangers rivaux) et les deux “entrepreneurs” n’ont jamais été indépendants même s’ils jouaient le rôle de créateurs harcelés en permanence par le FBI et les autres agences de sécurité (c’était pour noyer le poisson et camoufler la mission véritable des deux personnages). Du coup, Signal et Tor appartiennent de fait aux services d’interception électronique et cybernétique du côté le plus sombre de l’Etat profond.

Le cas de Telegram est encore plus symptomatique. Crée en 2013 par les frères Nikolaï et Pavel Durov, des dissidents russes, ses serveurs sont disseminés en Ukraine et depuis quelques mois ailleurs (son équipe est actuellement à Dubaï après un passage par l’Allemagne). De 2015 jusqu’en janvier 2021, cette application a bénéficié de la confiance absolue des forces armées syriennes et des renseignements de l’armée de l’air syrienne. Cela eut un impact terrible sur la vulnérabilité de la défense syrienne et causa la mort de centaines de soldats syriens.

On a pris l’habitude de critiquer la censure chinoise et l’établissement par Beijing de la grande muraille numérique par analogie avec la grande muraille de Chine. On a par contre jamais pris le temps de recueillir les données collectées par les chinois pour justifier l’interdiction d’autant d’applications. Or, à l’ère de la censure universelle actuelle, l’exploitation de ces données est essentielle pour comprendre les ressorts d’une manipulation préparant la chape de plomb qui s’abat actuellement sur le monde.