jami systeme messagerie decentralise massimo musumeci

Un système de messagerie décentralisé ?

Aujourd’hui, je veux parler d’un système de messagerie à source ouverte qui est vraiment différent des autres alternatives disponibles telles que whatsapp, telegram, signal et tous les dérivés de signal. On en parle beaucoup ces derniers temps à cause du changement de politique de whatsapp et beaucoup de gens sont allés ailleurs, notamment vers le telegram et signal. Mais en réalité, ces applications alternatives à whatsapp constituent une amélioration de votre vie privée ?

Signal?

Par exemple, si l’on considère signal, il est opensource et le dépôt est sur github. Cela semble être une excellente alternative à whatsapp, mais …. Si vous allez examiner les exigences à l’url https://github.com/aqnouch/Signal-Setup-Guide vous verrez la liste suivante (au moment où j’écris cet article) des systèmes et logiciels nécessaires à l’installation d’un serveur. Je parle du serveur parce que c’est le serveur qui détermine la gestion des comptes et des métadonnées et qui est responsable gérer les données:

Requirements (signal)

  • Twilio (pour les SMS OTP)
  • Amazon S3 (pour Avatar et pièces jointes, peut être sous-titré avec MinIO)
  • Amazon SQS (pour la file d’attente CDS, peut être remplacée par LocalStack)
  • Firebase (pour les notifications “push”)

Comme vous pouvez le voir, signal utilise des services externes pour fonctionner, dont amazon. Ces exigences sont en fait des conditions préalables nécessaires à remplir, au niveau de l’installation du serveur, pour qu’il fonctionne correctement. C’est-à-dire ce qui doit être mis en place pour rendre l’installation possible et fonctionner. Donc, pour ne pas utiliser whatsapp à cause de l’attaque contre la vie privée, nous sommes confrontés à une alternative qui, bien qu’étant open source, dépend d’autres services de grandes entreprises et nous sommes alors revenus à la case départ. Si notre communication passe par des outils qui appartiennent ou sont gérés par d’autres entreprises, nous aurons en quelque sorte une interférence de ces entreprises sur nos données.

Telegram?

Que peut-on dire sur telegram ? Pouvons-nous voir le code des serveurs de telegram (j’ai mentionné le serveur, qui est l’unité qui gère les connexions et trie les communications) ? Est-il dans le domaine public ? Non. Pourquoi pas ? On ne le sait pas. Le fait que nous ne puissions pas connaître le code source du serveur, ni la structure avec laquelle il est constitué, les librairies qu’il utilise et la façon dont il gère les données, est un problème important pour notre vie privée.

La chose que on sait sur telegram est d’envoyer vos messages cryptés à quelque truc. Comme vous n’avez pas le code source, vous ne savez pas exactement ce qui est fait sur ce serveur avec vos données. Il n’est donc pas très logique de recommander telegram comme solution pour améliorer la confidentialité de vos communications textuelles. En fin de compte, nous sommes toujours dans un domaine invérifiable et non transparent.

Jami!

Il nous faut donc une alternative qui soit réellement décentralisée et qui n’ait pas d’impact sur notre vie privée. Une véritable alternative est jami. Un logiciel que j’ai pu essayer et analyser pendant quelques semaine de test et j’ai pu voir à quel point il est vraiment bon de protéger notre vie privée et de ne pas laisser nos métadonnées sur des serveurs tiers.

jami est un logiciel open source, décentralisé et peer2peer. Qu’est-ce que cela signifie ? c’est-à-dire qu’il n’utilise pas de serveur central et que la communication se fait en fait entre les deux pairs avec un cryptage de bout en bout. il n’utilise pas non plus de serveur central qui peut ensuite surveiller les métadonnées.

Nos métadonnées

Qu’est-ce que les métadonnées ? Les métadonnées sont toutes les informations entourant une communication, telles que 1) la date à laquelle la communication a eu lieu, 2) l’identité des parties connectées à la communication, 3) la durée de la communication, etc. Des informations extrêmement importantes que les services centralisés utiliseront tôt ou tard pour gagner de l’argent grâce à votre vie privée. Ces métadonnées fournissent un profil précis de votre situation, de vos comportements et même de vos connaissances. Ils sont donc très utiles pour construire votre alter-ego numérique.

Avec jami, nous allons résoudre le problème à la source, en empêchant la collecte et le stockage des métadonnées, grâce à la décentralisation que le système permet. En fait, nous n’avons que deux terminaux qui communiquent et toutes les données (métadonnées) de communication sont stockées localement.

Les clés cryptographiques

Rien ne réside sur un serveur ou un tiers. Nous sommes seuls responsables de la communication et de nos données et toute communication est cryptée avec des clés qui n’appartiennent qu’à nous. Comme toujours, lorsque nous sommes les propriétaires exclusifs des clés cryptographiques, nous sommes propriétaires du contenu que nous échangeons avec l’autre partie. La décentralisation permet également d’éviter les points intermédiaires où les métadonnées peuvent être surveillées.

jami n’a pas besoin d’un serveur central et votre compte n’est donc stocké que localement. lorsque vous voulez utiliser votre compte, vous n’avez pas besoin de vous connecter à un service et vous ne devez fournir aucune donnée ou numéro de téléphone à qui que ce soit, ni même un courriel. Jami n’a donc pas besoin de s’enregistrer et n’a pas besoin de numéros de référence pour fonctionner.

Le mot de passe que vous indiquez au démarrage de Jami est utilisé uniquement pour crypter les données localement sur votre appareil. Les messages sont cryptés avec une clé RSA.

jami est disponible pour windows, linux, android, ios et est facile à installer. Le logiciel est disponible à l’adresse https://jami.net/ où vous pouvez également trouver des informations sur l’installation qui, comme mentionné, est très simple. Vous trouverez également un accès au dépôt de code source qui est ouvert.

J’espère avoir fourni des informations et des ressources à forte valeur ajoutée et avoir été utile. Si vous le souhaitez, vous pouvez me contacter pour toute question ou précision concernant mon profil sur linkedin ou vous pouvez me contacter et me suivre et soutenir sur patreon  avec des conseils et du contenu exclusif.

Partager

Massimo Musumeci

Massimo Musumeci est physicien depuis 1997. Chercheur Bitcoin dans le domaine de la sécurité et confidentialité chez Denali Sàrl La Chaux-de-Fonds, Suisse.

9 réponses à “Un système de messagerie décentralisé ?

  1. Bonjour,
    Merci pour cet article intéressant.
    Je me pose une question. On dit : Si c’est gratuit, c’est toi le produit.
    L’installation de Jami est gratuite. Comment cette app est-elle fiancée ?
    Bonne journée.

    1. Je suis d’accord avec vous mais dans ce cas, nous parlons d’un système décentralisé dans lequel il n’y a pas d’unité centrale, nous ne parlons pas d’un réseau social. Il n’y a donc pas vraiment la possibilité de gérer les métadonnées, puisque les clés cryptographiques sont sur l’appareil. Le code est ouvert et nous pouvons vérifier que c’est bien le cas.

      1. Bonjour,
        Merci pour votre analyse très intéressante, mais la question est : qui finance Jami, et pourquoi ?
        Bonne journée

        1. Je vous remercie pour votre commentaire. Je tiens tout d’abord à souligner que je ne fais pas partie de Jami et que mon analyse est indépendante.
          Jami est un projet opensource comme il y en a beaucoup. L’objectif des projets open source est généralement de créer un produit ouvert et d’offrir des conseils sur le produit. Cela fonctionne pour les produits de bonne qualité. Par exemple : GPG, Libreoffice, Linux Debian, Libreoffice, Jitsi, et beaucoup d’autres. Le profit ne provient pas toujours du produit et le profit ne provient pas toujours de l’atteinte à la vie privée. Au contraire, toutes les entreprises qui produisent des logiciels libres sont préférées par tous ceux qui se soucient de leur vie privée.

  2. Réponse à la question du financement de Jami ci-dessus : il y a une version Community, open-source et gratuite, maintenue bénévolement ; il y a aussi 3 versions pour Entreprises, payantes, avec des niveaux de service croissants (et des prix aussi), pour un financement plus long terme.

    Si cela fonctionne techniquement bien, avec quelques fonctions en plus de messagerie de textes (envoi de fichiers, images …), ce sont des prix que je trouve tout à fait raisonnables, et un modèle de financement classique et sain (tant que le code source côté serveur reste 100% ouvert).

    note : aussi sans lien ni technique ni commercial avec jami, je découvre …

  3. J’ai eu l’occasion d’utiliser Signal pour une brève collaboration et je dois dire que je ne suis pas très satisfait de l’application. Les mises à jour de messagerie sont longues. Je préfère plutôt utiliser Skype c’est plus simple et rapide.

Répondre à Massimo Musumeci Annuler la réponse

Votre adresse e-mail ne sera pas publiée. Les champs obligatoires sont indiqués avec *