• # My 2 cents

    Posté par (site web personnel, Mastodon) . En réponse à la dépêche Silence : XMPP, chiffrement et méta‐données. Évalué à 4.

    Voici mes commentaires sur ton idée :

    Sur XMPP, la liste de contacts est stockée sur le serveur en clair (dans la BDD)
    Donc l'admin a connaissance de ton carnet d'adresse. Sur Silence, ce carnet d'adresse reste sur ton appareil.

    Le serveur XMPP note qui se connecte, quand, de quelle IP et qui communique avec qui.

    La connexion Serveur/Client est permanent. Donc le serveur sait quand je change de réseau wifi à 3G, à quelle heure je rentre chez moi si j'ai la même IP tous les soirs, etc...

    Le FAI peut savoir qui est derrière une IP. Je suppose qu'une attaque par timing suffirait pour savoir qui converse avec qui en étudiant les communications d'un petit serveur XMPP.

    Il existe Conversations sur Android https://conversations.im/ qui est un bon client XMPP (envoi de messages, photos et fichiers chiffrés de bout en bout si on le souhaite, sinon au moins jusqu'au serveur). XMPP est découpé en XEP et il faut supporter vraiment beaucoup de XEP pour que le client ressemble à quelque chose d'utilisable sans trop de complication (genre envoi d'image/fichier derrière un NAT, détection si le message est arrivé à destination, message hors ligne, gestion de connexion instable (perte/reconnexion de 3G/wifi) etc...)

    Le point fort de l'identification par le numéro de telephone, c'est qu'on a pas besoin d'un échange par un canal tiers préalable pour commencer à converser ou remplir sa liste de contacts. Ca facilite grandement la pénétration (cf whatsapp et signal)
    Est ce que Silence se baserait toujours sur le numéro de tel comme identifiant? Sinon, quelle différence face à Conversations?

    Sinon, un des problèmes du chiffrement de bout en bout est qu'on ne peut passer d'un appareil à l'autre. Par exemple, j'aime bien commencer une conversation sur smartphone et la terminer sur PC (par exemple pour taper plus confortablement ou ouvrir des liens) Dans ce cas, c'est pratique si quand on ouvre le client XMPP sur le PC, il peut récupérer l'historique des derniers messages recus sur le smartphone. (le message qui contenait le lien HTML super long par exemple :)

    Actuellement, la configuration pratique que j'ai trouvée https://tuxicoman.jesuislibre.net/2016/09/modules-pratiques-pour-serveur-prosodyxmpp.html est de laisser le serveur garder un historique des dernier messages recus et de broadcaster les messages recus sur tous les appareils clients. Mais ca va à l'encontre du chiffrement de bout en bout. On devrait pouvoir trouver une solution où nos clients personnels s'échangent entre eux les derniers messages par exemple.