[Toulibre] Signal est vulnérable?

Augustin xhemp at mykolab.com
Lun 4 Mai 21:45:23 CEST 2020 

Salut,

Perso je n'ai jamais utilisé Signal mais à priori le code est ouvert et
le chiffrement de bout en bout (source :
https://fr.wikipedia.org/wiki/Signal_(application)).

A priori les clefs pour déchiffrer les messages sont donc sur les
terminaux des utilisateurs et sont protégées par le mot de passe de
l'utilisateur, et les messages chiffrés également.

Donc si tu récupères les messages et la clef chiffrée comme c'est le cas
dans ton exemple, tu peux faire une attaque par force brute ou via une
méthode plus subtile pour obtenir la clef. J'imagine que s'ils y sont
arrivés rapidement c'est que le mot de passe présentait des faiblesses.

Rien ne permet de dire que c'est inhérent à Signal, tout repose de toute
façon sur le mot de passe, et si celui-ci est faible ...

Donc à priori  à propos de "Signal est vulnérable quand le contenu du
téléphone est dumpé" : ça aide d'avoir tout sous la main pour chercher à
casser le mot de passe, et si tu y arrives, tu peux déchiffrer tous les
messages en ta possession, donc les données sont plus vulnérables, mais
ce n'est à priori pas à cause du code source de Signal.

Après je n'ai pas de compétences en cryptographie et je ne connais pas
Signal, super si d'autres participants à cette liste ont autre chose à
apporter à l'échange :)

Bonne soirée,

Augustin

On 04/05/2020 17:05, Mathias via Toulouse-ll wrote:
> Le 04/05/2020, Mathias<mathias.te at googlemail.com> a écrit :
>> Ici il y a des gens qui sauront mieux. À votre avis Signal est
>> vulnérable quand le contenu du téléphone est dumpé?
>>
> NB:
>
> C'est ce passage qui me donne cette impression. Signal stocke les
> messages en clair sur le téléphone?
>
>     La messagerie Signal, une application qui permet de crypter les
>     communications, est verrouillée par un mot de passe sur le
>     téléphone d’une mise en examen ? L’appareil — ainsi que six clefs
>     USB et un ordinateur portable — est envoyé au Centre technique
>     d’assistance (CTA), un organisme interministériel spécialisé dans
>     le déchiffrage des données numériques. Les juges d’instruction y
>     ont souvent recours pour les affaires de stupéfiants. Ses outils
>     techniques et ses moyens sont couverts par le secret défense. Le
>     CTA réussit à craquer le mot de passe de la militante et renvoie
>     quelque 800 messages « mis au clair » aux enquêteurs. Ils sont
>     aussitôt versés au dossier d’instruction.
> _______________________________________________
> Toulouse-ll mailing list
> Toulouse-ll at toulibre.org
> http://toulibre.org/cgi-bin/mailman/listinfo/toulouse-ll

Plus d'informations sur la liste de diffusion Toulouse-ll