PC & Mobile

Signal de verrouillage – Fondation pour la liberté de la presse – Médium

Signal de verrouillage - Fondation pour la liberté de la presse - Médium


L'application de messagerie chiffrée, Signal, devient rapidement un élément essentiel de la rédaction pour la communication avec les sources, l'acceptation des pourboires, la communication avec des collègues et les anciens appels et messages vocaux classiques. Bien qu’il s’agisse d’un outil pratique pour les personnes soucieuses de la sécurité et de la confidentialité de leurs conversations, les personnes travaillant dans les salles de rédaction sont des cibles particulièrement intéressantes et devraient bénéficier de l’immobilisation de Signal.

(Si vous ne l'utilisez pas encore, découvrez comment commencer ici.)

Signal facilite la conversation sécurisée sans y penser. À première vue, il semble être identique à votre application de messagerie texte par défaut, mais les experts en sécurité le recommandent souvent à cause de ce qu’il fait en arrière-plan.

Premièrement, Signal offre un cryptage de bout en bout, ce qui signifie que seuls les participants en conversation peuvent lire les messages. Si des appels téléphoniques ou des messages texte réguliers permettent à votre compagnie de téléphone de déchiffrer vos conversations, même l’équipe derrière Signal ne peut pas les écouter. Vous n'avez pas besoin de prendre leur parole pour cela. Signal est open source, ce qui signifie que le code est accessible à tous. Cela simplifie également les audits de sécurité pour les spécialistes indépendants, qui ont déchiré le code et publié les conclusions selon lesquelles tout fonctionne comme prévu. Enfin, Signal ne conserve quasiment pas de métadonnées - des informations sur qui a parlé à qui et quand. (Les développeurs ont prouvé autant devant les tribunaux.)

Voici quelques-uns des avantages que vous souhaitez dans une application de messagerie chiffrée.

Étant donné que les salles de presse peuvent attirer beaucoup d’attention, les journalistes qui utilisent déjà Signal devraient envisager de le protéger des accès physiques, ainsi que des accès indésirables à distance et de l’espionnage sur le réseau. Alors parlons de comment.

Accès à distance et écoute de réseau

Confirmez la sécurité de votre connexion avec les numéros de sécurité
La plupart des applications de messagerie ne vous permettent pas d'assurer la sécurité de votre connexion avec vos interlocuteurs. Mais Signal vous permet de vérifier que votre session est chiffrée à la bonne personne (et non à un tiers attentif).

Commencez par engager une conversation avec une personne à qui vous voulez parler. Recherchez ensuite leurs «numéros de sécurité». Ces chiffres représentent la connexion entre votre appareil et celui de votre interlocuteur.

utilisateurs d'iPhone: Cliquez sur le nom de votre partenaire (en haut de l'écran)> Afficher le numéro de sécurité
Utilisateurs Android: Cliquez sur Paramètres (menu "Trois points")> Paramètres de conversation> Vérifier les numéros de sécurité.

Vous verrez vos numéros de sécurité et un code QR, représentant les numéros.

Si vous et votre partenaire de conversation voyez les mêmes numéros, votre session est sécurisée. Vous devez vérifier vos numéros de sécurité sur un autre canal où vous avez la certitude de parler à la bonne personne, telle que Twitter, Facebook ou Google Hangouts. Si possible, échangez les numéros de sécurité en personne.

Si vous et votre contact êtes ensemble en personne, l'un de vous peut cliquer sur «Code de numérisation» sur l'écran du numéro de sécurité. Maintenant, scannez le code QR de l’autre personne avec votre appareil photo.

Si vous constatez un décalage, il y a définitivement quelque chose qui ne va pas et vous ne devriez pas parler sur ce canal. Mais les chances sont, vos numéros de sécurité vont correspondre. Si tout va bien, marquez votre partenaire comme "Vérifié".

Vous n'aurez plus besoin de vérifier les numéros de sécurité tant que personne n'a pas réinitialisé la session. Par exemple, lorsque vous commencez à utiliser Signal depuis un nouveau téléphone, vous obtenez de nouveaux numéros de sécurité.

Vous recevrez une notification si vos numéros de sécurité avec un partenaire ont changé. Si cela se produit, utilisez un autre canal pour vérifier que la session est sécurisée avant de continuer à communiquer des informations sensibles.

Utilisation de numéros de signal secondaires
Signal traite votre numéro de téléphone comme un "nom d'utilisateur". Mais que se passe-t-il si vous ne souhaitez pas partager votre numéro de téléphone? Les journalistes souhaitent souvent utiliser Signal pour dialoguer avec des sources, mais peuvent ne pas vouloir utiliser un numéro de téléphone personnel.

La bonne nouvelle: tant que personne ne l’a enregistrée, nous pouvons enregistrer Signal avec n’importe quel numéro de téléphone auquel nous avons accès.

Pour les utilisateurs aux États-Unis, la méthode la plus simple pour configurer un numéro secondaire consiste à utiliser Google Voice. (Vos messages Signal passent par les serveurs Signal, et non par les serveurs Google.) Tout d’abord, accédez à voice.google.com et connectez-vous avec un compte Google.

Message d'enregistrement du signal reçu dans Google Voice. La source: OpenNews

À partir de là, ajoutez un numéro de téléphone que vous pouvez utiliser pour la vérification. Vous recevrez un SMS avec un code de vérification. Entrez votre code de vérification dans Google Voice pour compléter votre inscription.

Maintenant, inscrivez-vous sur Signal en utilisant ce nouveau numéro de téléphone. Vous recevrez un code d'enregistrement Signal dans votre nouvelle boîte de réception Google Voice.

Dans la plupart des pays, vous pouvez utiliser une carte SIM secondaire pour créer un autre numéro. Lisez cet article de Jillian York de la Electronic Frontier Foundation pour en savoir plus. Vous pouvez également utiliser un service en ligne appelé Twilio pour créer un numéro pour aussi peu que 1 $ par mois. Apprenez comment ici.

Verrouillage d'inscription
Qu'il s'agisse de votre numéro de téléphone habituel ou d'un numéro secondaire, vous devez conserver l'accès à ce numéro. Pourquoi? Si vous perdez l'accès au numéro et que quelqu'un d'autre l'enregistre à nouveau, le numéro de signal lui appartient maintenant.

Vous pouvez verrouiller l'enregistrement de votre numéro de signal à l'aide du verrouillage d'enregistrement.

utilisateurs d'iPhone: Cliquez sur Paramètres> Confidentialité> Verrou d'enregistrement> Activé
Utilisateurs Android: Cliquez sur Paramètres> Confidentialité> Verrou d'enregistrement> Activé

Entrez votre code PIN préféré. Ce code PIN empêchera que votre numéro soit réenregistré à partir d'un autre appareil. Écrivez-le ou conservez-le dans un endroit sûr. Il peut s'agir d'un bloc-notes masqué physiquement ou d'un logiciel de gestion de mot de passe. Signal vous invitera de temps à autre à vous demander de ressaisir votre code PIN pour vous en rappeler.

Utilisateurs iOS: conservez l'historique de Signal hors d'iCloud
Signal vous permet de consulter l'historique de vos appels depuis votre application téléphonique habituelle. Cela peut être pratique, mais permettra également à votre iPhone de synchroniser cet historique d'appels avec iCloud, y compris qui a parlé à qui, quand et la durée de l'appel.

Si vous utilisez iCloud et que vous ne souhaitez pas partager l'historique des appels sur Signal, confirmez qu'il est désactivé ici: Paramètres> Confidentialité> Afficher les appels dans les messages récents> Désactivé.

Pourquoi voulez-vous que les messages disparaissent?
Bien que Signal vous permette de supprimer des messages individuels, ces messages ne seront supprimés que sur votre appareil et sont toujours accessibles par quiconque lors de votre conversation. Au lieu de cela, l’utilisation de la fonction «disparaître des messages» de Signal nous permet de supprimer automatiquement les messages d’une conversation, peu importe la durée choisie. Ceci est particulièrement important pour les journalistes soucieux de recevoir des messages sur le téléphone d’une source.

Pour activer les messages qui disparaissent, commencez par ouvrir une conversation.

utilisateurs d'iPhone: Cliquez sur le nom de votre partenaire en haut de l’écran pour ouvrir le menu des paramètres de cette conversation. Cliquez sur "Messages disparaissant".

Utilisateurs Android: Cliquez sur l'icône des paramètres (trois points) dans le coin supérieur droit. Cliquez sur "Messages disparaissant".

Déplacez le curseur pour définir la durée pendant laquelle vous souhaitez conserver les messages, entre cinq secondes et une semaine. Cela fonctionne aussi bien pour les conversations en tête-à-tête que pour les discussions de groupe.

Sécurité de l'appareil

Les points faibles des conversations chiffrées de bout en bout sont les «fins» - les dispositifs physiques où les messages arrivent sous forme de texte lisible par l'homme.

Nous pouvons faire certaines choses pour verrouiller nos appareils.

Mot de passe protéger votre appareil
Le chiffrement ne vous aidera pas avec une personne ayant accès à votre téléphone déverrouillé. Vous souhaitez donc protéger votre appareil avec un mot de passe. Quitter Signal et activer un mot de passe.

utilisateurs d'iPhone: Application Paramètres> Touch ID & Passcode
Utilisateurs Android: Application Paramètres> Sécurité> verrouillage de l'écran

Pensez à activer la sécurité de l'écran

Déverrouiller votre téléphone, c'est aussi décrypter vos messages. Vous pouvez exiger une étape supplémentaire pour ressaisir votre mot de passe (ou la méthode de votre choix) avant de déverrouiller Signal.

Pourquoi voudriez-vous faire cela?

Cela ne se produit pas tous les jours, mais les téléphones déverrouillés sont volés à la vue de tous - en marchant dans la rue ou dans le train. De même, vous autorisez peut-être votre fils ou votre fille à se divertir sur votre téléphone, mais vous ne voulez pas qu’ils voient les photos bizarres de votre source.

utilisateurs d'iPhone: Cliquez sur Paramètres> Confidentialité> Verrouillage de l'écran
Utilisateurs Android: Cliquez sur Paramètres> Confidentialité> Verrouillage de l'écran

Notez que cela ne serait pas très utile dans une situation où quelqu'un vous obligerait à déverrouiller votre appareil une fois (par exemple, dans un aéroport). S'ils peuvent vous faire entrer votre mot de passe sur l'écran de verrouillage du système d'exploitation, rien ne les empêche de le demander une seconde fois sur l'écran de verrouillage du signal.

Activer le cryptage du disque
Si votre téléphone est perdu, volé ou saisi, il est possible de copier et de lire toutes les données de l’appareil, y compris vos messages cryptés. La bonne nouvelle: vous pouvez facilement protéger votre appareil avec le chiffrement de disque.

Si vous utilisez un iPhone moderne, félicitations! Votre appareil est déjà crypté.

De nombreux appareils Android modernes sont cryptés par défaut (par exemple, les appareils Pixel, certains téléphones des lignes Nexus et Samsung Galaxy). Vérifiez les paramètres de votre système Android pour le chiffrement de disque afin de vous assurer que le chiffrement de disque est activé. Sinon, la configuration du chiffrement de disque est facile.

La sécurité de l'écran

Voir un aperçu d’une application dans votre sélecteur d’applications est pratique, mais si quelqu'un se tenait au-dessus de votre épaule, il serait capable de voir vos messages sans problème. Signal vous donne des options pour empêcher l'affichage d'un aperçu, sauf si vous ouvrez explicitement l'application.

utilisateurs d'iPhone: Cliquez sur Paramètres> Confidentialité> Sécurité de l'écran
Utilisateurs Android: Cliquez sur Paramètres> Confidentialité> Sécurité de l'écran

Notification de confidentialité
Même lorsque votre téléphone est verrouillé par un mot de passe, toute personne qui le décroche peut toujours lire le message et le nom de l'expéditeur sur votre écran de verrouillage.

utilisateurs d'iPhone: Paramètres> Notifications> Afficher. Pour recevoir des notifications ne contenant aucune information sur l'expéditeur ou le contenu de vos messages, activez «Aucun nom ou contenu».

Utilisateurs Android: Paramètres> Périphérique> Son et notification> Lorsque le périphérique est verrouillé. Pour recevoir des notifications sans information sur l'expéditeur ou le contenu, cliquez sur «Masquer le contenu d'informations sensibles».

Mises à jour et défense contre les logiciels malveillants
Nous ne pouvons pas être sûrs que nos messages sont en sécurité si votre appareil ou celui de votre partenaire contient des logiciels malveillants. Par exemple, de nombreux types de logiciels malveillants sont conçus pour envoyer des captures d'écran de vos messages ou des enregistrements de conversations à un pirate informatique distant. La meilleure chose à faire est de rester au top de vos mises à jour logicielles. Les mises à jour logicielles incluent généralement des correctifs de sécurité pour corriger les failles dans votre logiciel, à la fois pour votre système d'exploitation, Signal et toutes les autres applications de votre téléphone.

La tentation de retarder les mises à jour de sécurité est réelle, mais les mises à jour font partie des défenses les plus puissantes dont nous disposons. Il peut être beaucoup plus difficile pour un attaquant d'intervenir par une simple mise à jour dès que possible.

Choix le plus sûr: utilisez uniquement votre appareil mobile
Lorsque nous réfléchissons à la façon de nous défendre contre les logiciels malveillants et de maintenir nos appareils à jour, il est important de comprendre nous choisissons de mettre nos messages de signal. Signal propose une application de bureau, mais il est plus sûr de conserver vos messages uniquement sur votre appareil mobile.

Alors que votre appareil de bureau permet généralement aux applications de communiquer entre elles, les appareils Android ou iOS ordinaires isolent délibérément les applications. Ces systèmes d'exploitation mobiles nécessitent des autorisations strictes pour que les applications de données puissent accéder et quand. Par rapport à un ordinateur de bureau, cela signifie que les applications malveillantes ont beaucoup plus de mal à compromettre vos données sur un appareil mobile mis à jour.

Connaître les limites du cryptage de bout en bout
Maintenant que votre appareil est verrouillé, il est important de savoir que Signal est étroitement lié à votre appareil et à personne. C'est généralement une bonne chose. vous ne voulez pas que d’autres personnes puissent récupérer facilement votre numéro de Signal ou vos messages. Mais si vous perdez votre appareil ou si vous en achetez un nouveau, cela peut créer des problèmes à court terme.

Par exemple, utiliser uniquement Signal sur votre appareil mobile est un gain de sécurité, mais signifie que vous devez vraiment éviter de perdre votre téléphone. De même, la fonction de «verrouillage de l’enregistrement» empêche d’autres personnes de prendre votre numéro de Signal, mais elle empêche également vous de pouvoir ré-enregistrer votre numéro.

Une des raisons pour lesquelles nous aimons Signal est qu’elle ne conserve pas de métadonnées - des informations sur qui a parlé à qui, quand et pour combien de temps. Mais il n’est pas conçu non plus pour protéger contre la surveillance en direct des métadonnées, il ne protège donc pas votre identité. De même, il ne peut pas protéger l’identité d’une autre personne à qui vous parlez.

Nous avons parlé des nombreuses façons dont nos messages peuvent être compromis et de ce que vous pouvez faire pour être plus sûr. Mais même si vous êtes En pratiquant une grande hygiène de sécurité, si votre interlocuteur n’est pas aussi prudent, il peut mettre vos messages plus en danger. Encouragez les personnes dans le besoin à verrouiller leur signal également.

Pour les organisations de presse qui recherchent une assistance plus concrète avec des outils et des pratiques de messagerie cryptée, contactez la Fondation pour la liberté de la presse pour connaître leurs options de formation à la sécurité.

Show More

SupportIvy

SupportIvy.com : Un lieu pour partager le savoir et mieux comprendre le monde. Meilleure plate-forme de support gratuit pour vous, Documentation &Tutoriels par les experts.

Related Articles

Laisser un commentaire

Votre adresse de messagerie ne sera pas publiée. Les champs obligatoires sont indiqués avec *

Close
Close