1. Moxie Marlinspike
Moxie Marlinspike est le fondateur de l’Open Whisper Systems à l’origine de la messagerie sécurisée, Signal.
Say "hello" to Signal
Suite à la mise à jour des conditions générales d’utilisation de WhatsApp, de nombreux utilisateurs boudent désormais l’outil de messagerie détenu par Facebook. Et l’application concurrente Signal compte bien profiter de l’exode de son concurrent.
Ceci mérite quelques explications.
Dans la nouvelle version de ses conditions générales d’utilisation, WhatsApp annonce que les données des utilisateurs pourront être partagées avec les autres entreprises du groupe Facebook. Cette disposition ne s’appliquera pas aux utilisateurs européens, mais le reste du monde sera contraint d’accepter l’évolution.
Les promesses des fondateurs sont un lointain souvenir : l’application de messagerie WhatsApp pousse ses utilisateurs à accepter une mise à jour de ses conditions générales d’utilisation et de sa politique de confidentialité. Cette nouvelle version indique que les données de ses utilisateurs pourraient être transmises à Facebook et aux autres entités du groupe. Pour ceux qui n’accepteraient pas ces nouvelles conditions d’utilisation avant le 8 février, il ne sera tout simplement plus possible d’utiliser l’application. Les citoyens européens ne sont néanmoins pas concernés par ces nouvelles conditions.
Ces nouvelles dispositions concernent les métadonnées des utilisateurs.
• WhatsApp assure que, dorénavant, les messages sont chiffrés de bout en bout, ce qui interdit à WhatsApp d’accéder au contenu des messages.
• Toutefois, de nombreuses autres données (les métadonnées des utilisateurs) sont exploitées par le service : le numéro de téléphone des utilisateurs, leurs habitudes de connexion au service, leur nom, leur photo de profil, les numéros de leurs contacts ainsi que des données techniques enregistrées par l’application.
Ce que Facebook vient d’annoncer, c’est que ces données, qui restaient jusqu’alors la propriété exclusive de WhatsApp, pourront dorénavant être partagées avec Facebook et le reste des entités du groupe. La société précise que celles-ci pourront également être partagées avec des sociétés tierces.
Si les utilisateurs européens sont épargnés, beaucoup pensent que la vigilance s’impose et s’orientent vers Signal pour se mettre à l’abri.
La mise à jour de la politique de confidentialité établit une différence entre d’une part les utilisateurs résidant dans un pays de l’Union européenne, rattaché à l’entité irlandaise de WhatsApp, et le reste du monde, qui dépendra de l’entité américaine de WhatsApp. Pour les utilisateurs européens, les conditions générales d’utilisation et la politique de confidentialité restent les mêmes qu’avant et ne permettent pas la communication des métadonnées des utilisateurs aux autres entreprises du groupe.
Selon les remarque d’Ars Technica, le volume et la complexité des CGU et de la politique de confidentialité de WhatsApp empêchent de comprendre exactement la portée des changements. Les porte-paroles de la société refusent également de commenter officiellement le changement.
WhatsApp a été racheté par Facebook en 2014 et à l’époque, la société avait multiplié les promesses sur la protection des données des utilisateurs, un thème qui avait pendant longtemps été le cheval de bataille des fondateurs de l’application.
Dans une série de messages postés la semaine dernière, l’application a indiqué que l’afflux avait provoqué des erreurs dans son processus d’enregistrement des nouveaux utilisateurs, et que de nouveaux serveurs avaient été provisionnés afin de faire face à la vague.
Nombre d’utilisateurs, insatisfaits des nouvelles conditions générales d’utilisation de WhatsApp, cherchent une alternative à l’application de messagerie. L’application concurrente Signal se positionne comme une solution de choix pour les réfractaires.
2. Qui est Moxie Marlinspike ?
Le cycliste se faufile sur un terrain boueux en pleine forêt vierge. Un cerf vient juste de lui couper le chemin à vive allure. Simple balade bucolique. Pourtant, en prenant garde à l’annotation accompagnant cette vidéo d’Instagram, la séquence prend une tout autre dimension : "Zone de Tchernobyl, premier jour, après avoir traversé une rivière à 2 heures du matin." Ces images, prises le 23 mai 2019 près de Prypiat, en Ukraine, ont été mises en ligne sur Instagram par Moxie Marlinspike. Le développeur américain, devenu une célébrité mondiale pour avoir conçu la messagerie gratuite et sécurisée Signal, se promène et dort sur place dans un immeuble déserté en compagnie de son comparse Tyler Reinhard. Une incursion dans une "ville soviétique utopique, pour des vacances éco-touristiques", peut-on lire.
En découvrant qui est Moxie Marlinspike, le patron de Signal, et en cherchant pourquoi Signal est recommandé non seulement par Edward Snowden (lanceur d’alerte qui a révélé le programme de surveillance de masse de la NSA), Elon Musk (patron de Tesla et SpaceX) ou Jack Dorsey (patron de Twitter) mais aussi par Commission européenne, je découvre d’abord une vidéo (qui n’a rien à voir avec Internet), au travers de laquelle Moxie Marlinspike nous fait découvrir comment les choses se présentent dans la zone d’exclusion de Tchernobyl.
33 ans après l’explosion du réacteur n° 4 de la centrale nucléaire.
Le récit est en anglais sur Instagram, mais je vous en présente la traduction (via Deepl) ICI.
Mais je découvre en même temps une étonnante histoire de messagerie sécurisée ou pas, qui mérite d’être connue et que je vous partage. Un petit dessous des cartes qui se révèle et va peut-être nous aider - nous les utilisateurs et les gouvernants - à mettre un peu d’ordre dans la baraque.
3. Signal et le bruit
Le chiffrement de bout en bout de WhatsApp s’appuie directement sur le "Signal Protocol", développé par le fondateur de Signal. Ce dernier, connu sous le pseudonyme de Moxie Marlinspike, est un entrepreneur et chercheur en sécurité ayant notamment lancé la société TextSecure et l’application de messagerie sécurisée éponyme en 2010, posant les bases de ce qui deviendra Signal quelques années plus tard.
Suite à l’acquisition de cette société par Twitter, Moxie a pris ses distances avec le réseau social en 2013 pour lancer la fondation OpenWhisper Systems, qui se charge de poursuivre le développement de TextSecure. L’application évolue pour prendre la forme de Signal en 2014, et la fondation OpenWhisper System devient en 2018 la fondation Signal, une fondation à but non lucratif dont l’objectif est de soutenir le développement de solutions de messagerie sécurisée, ainsi que le fonctionnement de l’application Signal Messenger, logiciel libre implémentant sur Android et iOS le Signal Protocol développé par Moxie Marlinspike pour TextSecure.
L’application est gratuite et disponible sous licence GPL (GPLv3 pour le client de messagerie, AGPv3 pour le serveur) et promet un service complètement dénué de publicité et ne conservant aucune donnée sur ses utilisateurs.
Le fondateur de WhatsApp : premier soutien
Si la Signal Foundation a pu compter sur des donations émanant d’autres fondations (on peut notamment citer la Knight Foundation ou la Freedom of press Foundation), l’essentiel des financements de la société proviennent de son cofondateur, Brian Acton, qui n’est autre que l’un des fondateurs de WhatsApp.
Déçu par le destin que réservait Facebook à son application de messagerie, tout comme l’autre fondateur Jan Koum, Brian Acton a quitté le réseau social en 2017 et a choisi de mettre à profit les sommes colossales amassées lors du rachat de WhatsApp par Facebook pour financer avec Moxie Marlinspike le lancement de la fondation Signal en 2018.
L’argent déboursé par Facebook (la bagatelle de 22 milliards de dollars) sert donc aujourd’hui à financer l’un de ses principaux concurrents sur le marché des applications de messagerie sécurisée.
Ce financement prend la forme d’un prêt de 50 millions de dollars, augmenté par la suite pour atteindre 105 millions de dollars, que la fondation devra rembourser en 2068, à 0 % d’intérêt. L’ex-fondateur de WhatsApp est donc rapidement devenu le mécène idéal pour Signal, une ironie qu’on ne peut s’empêcher de rappeler à l’heure où Signal se présente comme l’alternative parfaite pour les déçus de WhatsApp.
Biographie de Moxie Marlinspike sur Wikipédia
Moxie Marlinspike est un cryptographe, chercheur en sécurité informatique et entrepreneur américain. Il est l’auteur de l’application de messagerie sécurisée Signal, le cofondateur de la fondation Signal et le CEO de l’entreprise Signal Messenger (en) (anciennement Open Whisper Systems).
Il est également co-auteur du protocole cryptographique Signal Protocol qui permet d’établir des communications chiffrées de bout en bout pour la messagerie instantanée. Ce protocole, initialement introduit dans l’application open source TextSecure, a été adopté par les acteurs majeurs du marché tels que WhatsApp ou Facebook Messenger et sécurise les échanges de plus d’un milliard d’utilisateurs.
Moxie Marlinspike est aussi un ancien responsable de l’équipe sécurité du réseau social Twitter et l’auteur d’une proposition pour remplacer le système d’authentification de SSL/TLS. Il a découvert certaines vulnérabilités de SSL/TLS ; a maintenu un service de test de pénétration des réseaux WPA et un système d’anonymisation des requêtes envoyées au moteur de recherche de Google.
Moxie Marlinspike [1], [2] est originaire de l’État de Géorgie aux États-Unis. Il déménage à San Francisco en 1999 et commence à travailler pour des entreprises technologiques comme BEA Systems,. En 2003, il achète un voilier délabré et le rénove avec trois amis [3]. Ils apprennent la navigation en autodidactes et effectuent l’année suivante un périple autour des Bahamas, tout en réalisant un documentaire de leur voyage.
En 2010, Moxie Marlinspike est cofondateur et chief technology officer de Whisper Systems [4], une startup spécialisée en sécurité informatique. En mai 2010, Whisper Systems lance TextSecure et RedPhone ; deux applications Android qui fournissent du chiffrement de bout en bout, respectivement pour les messages SMS et les conversations téléphoniques. La société est rachetée par le réseau social Twitter fin 2011 et Moxie Marlinspike devient responsable de l’équipe chargée de la sécurité de Twitter,. Pendant qu’il est à la tête de cette équipe, Twitter rend open source (GPLv3) les applications de Whisper Systems,.
Il quitte Twitter en 2013 et crée Open Whisper Systems sous la forme d’un projet collaboratif open source pour continuer le développement de TextSecure et RedPhone,. Au même moment, Trevor Perrin et lui commencent le développement du protocole Signal, dont une première version est ajoutée à l’application TextSecure en février 2014. En novembre 2015, les deux applications TextSecure et RedPhone sont fusionnées en une seule, nommée Signal [5]. Conscient que l’application Signal peut disparaitre faute de moyens, et soucieux de pérenniser le protocole, Moxie Marlinspike travaille entre 2014 et 2016 avec WhatsApp, Facebook, et Google pour les aider à intégrer le protocole Signal dans leurs services de messagerie [6].
Note. Il existe environ 650 entités de certification en 2011. Si une seule de ces entités est compromise, c’est l’ensemble de la sécurité du Web qui s’écroule.
Le 21 février 2018, le cofondateur de WhatsApp, Brian Acton, et Moxie Marlinspike annoncent la création de la fondation Signal, un organisme à but non lucratif dont l’un des objectifs est le soutien financier du développement de Signal. Cette fondation reçoit un financement initial de 50 millions de dollars de la part de Brian Acton.
4. Faut-il (vraiment) quitter WhatsApp ?
Clément Boileau, La Libre, le 14-01-21.
Extraits
Avec ses quelque deux milliards d’utilisateurs, la messagerie instantanée WhatsApp est devenue l’application sociale par excellence. Celle qui vous relie à votre famille, vos amis ou vos collègues via une interface simple et intuitive. Un outil très utile et, surtout, gratuit… qui cache une réalité : si le produit est gratuit, c’est que le produit, c’est vous. Un adage qu’a popularisé Facebook, , en faisant de ses milliards d’utilisateurs, et de leurs interactions, une mine d’informations précieuses à destination des annonceurs.
En ce qui concerne WhatsApp, que Facebook a rachetée en 2014, il ne s’agit pas explicitement de "monétiser" les interactions des utilisateurs - le contenu des conversations étant confidentiel - mais de partager d’autres types de données : numéro de téléphone, fréquence des messages, adresse IP, modèle du smartphone, etc. Le but ? Permettre à des entreprises d’accéder à ces données, afin de mieux cibler leur publicité via Facebook et ses entités. En réalité, WhatsApp se livre à cette collecte depuis 2016, mais jusqu’ici les utilisateurs pouvaient encore refuser que ces données soient partagées. Ce ne sera plus le cas à partir du 8 février, sauf, a priori, en Europe, où le RGPD rend plus difficile ce genre de pratique. Une bonne raison de rester sur WhatsApp ? Pas sûr…
Les messageries instantanées, nouvel eldorado pour les Gafam
En informant ses utilisateurs qu’ils ne pourraient plus, à compter du 8 février, utiliser le service à moins d’accepter le partage de certaines de leurs données, WhatsApp a suscité un vent de défiance à l’échelle mondiale, conduisant des millions d’utilisateurs à migrer vers d’autres services de messagerie instantanée.
En Europe, règlement de protection des données oblige, ce siphonnage de données n’est pas censé toucher l’utilisateur "lambda", mais bien les utilisateurs de WhatsApp business, un service conçu pour aider les petites entreprises à communiquer avec leurs clients.
En attendant, ce changement de conditions d’utilisation de WhatsApp a d’ores et déjà laissé des traces.
La bataille pour la maîtrise du "dark social" ne fait que commencer
Pas besoin de publicité quand on a pour ambassadeurs Edward Snowden (lanceur d’alerte qui a révélé le programme de surveillance de masse de la NSA), Elon Musk (patron de Tesla et SpaceX) ou Jack Dorsey (patron de Twitter). Autant de personnalités qui ont tour à tour appelé à utiliser la messagerie instantanée Signal, semblable à WhatsApp, le partage de données en moins.
Signal est à ce point sécurisée qu’elle a conquis la Commission européenne, qui conseille depuis 2020 à son personnel de l’utiliser pour les communications hors de l’institution.
"Il y a, y compris dans notre imaginaire technologique, beaucoup de gens qui sont tombés de haut quand on a découvert, progressivement, à quel point des sites comme Facebook connaissaient tout de nos vies, alors qu’au départ il y avait cette idée qu’on pouvait y échanger presque à l’abri des regards. Ce qui explique pourquoi, aujourd’hui, il y a cette appétence pour le cryptage ou la sécurité, comme en réaction à tous ces sites qu’on a utilisés de manière assez candide. On s’est aperçu au fur et à mesure des scandales, que finalement, on était espionné, traqué, surveillé, et ainsi de suite : maintenant, une des priorités est d’exiger des applis cryptées, sécurisées, etc."
(Olivier Ertzscheid)
Une première escarmouche dans la bataille pour la maîtrise du dark social, un terme recouvrant les espaces où, selon Olivier Ertzscheild, "ont migré les échanges qui structurent aujourd’hui tout un tas d’interactions sociales, que ce soit dans le champ politique ou social".
----
5. Qu’est-ce que la messagerie sécurisée Signal ?
Présentée par la Mozilla Foundation comme "l’application de communication la plus sécurisée" au monde, Signal est recommandée par les experts. Edward Snowden dit l’utiliser tous les jours et la Commission européenne incite son personnel à l’utiliser pour échanger avec des personnes extérieures à l’institution. Sa discrétion lui vaut aussi d’abriter des activités illégales au grand dam des autorités.
Adossée à la fondation Signal, un organisme à but non-lucratif fondé par Moxie Marlinspike et Brian Acton (le cofondateur de WhatsApp qui a quitté l’entreprise trois ans après son rachat par Facebook),
La messagerie propose aujourd’hui des fonctionnalités similaires à celles des services grand public, comme les messages et appels audio ou vidéo de groupe, les messages éphémères ou les stickers.
6. Polémique WhatsApp : comment utiliser Signal, l’application la plus téléchargée du moment
Signal est une application gratuite accessible à la fois sur Android et sur iPhone mais aussi sur Windows, macOS et Linux. Elle est distribuée comme un logiciel libre sous une licence open source.