Les quelques points abordés ici peuvent s’avérer utiles pour comprendre les conséquences liées, par exemple, au hasard, à la perte ou à la confiscation d’un téléphone sur lequel est installée Signal.

Les données de communication d’un compte Signal sont presque intégralement locales, c’est-à-dire qu’elles sont enregistrées dans la mémoire du téléphone et/ou de l’ordinateur qui a accès à ce compte.

Le serveur Signal n’a volontairement accès qu’à très peu de données de connexion et de communication.

Une fois expédiés vers un autre compte ou un groupe, les messages ne restent sur le serveur que jusqu’à leur récupération par le(s) compte(s) au(x)quel(s) ils sont destinés. Ils sont chiffrés et lisibles uniquement, a priori (voir détails), par les comptes expéditeur et destinataire(s). Le compte expéditeur n’a plus accès aux messages envoyés (voir exception ci-après) ; il conserve une copie, l’autre est envoyée sur le serveur, et ensuite sur les appareils des comptes destinataires dès connexion au serveur.

Dès lors :

— Supprimer une conversation sur un appareil n’affecte pas la copie de celle-ci qui se trouve déjà sur le serveur (en attente de distribution), ou sur l’appareil ou les appareils du compte destinataire (après réception )
— Supprimer un groupe depuis un compte « administrateur », bloquer un compte ou se désinscrire d’un groupe n’affecte pas les copies de la conversation de groupe qui se trouvent déjà sur les appareils des comptes inscrits au groupe.
— Tant qu’un appareil ne se connecte pas au serveur, ou si le compte lié à cet appareil n’est plus inscrit à un groupe, les données du groupe ne sont pas mises à jour. C’est-à-dire que la conversation de groupe déjà sur l’appareil reste accessible, ainsi que la liste de tous les contacts encore inscrits dans le groupe lors de la dernière connexion ou juste avant que le compte soit désinscrit du groupe.
— Le temps de vie des messages « éphémères » est inscrit localement. C’est-à-dire que c’est l’application installée sur l’appareil qui supprime les messages sur l’appareil après la durée sélectionnée depuis l’ouverture du message (donc possiblement un temps infini après avoir été envoyés).
— Seul l’option « Supprimer ce message pour tout le monde » permet d’agir – endéans 3 heures après envoi – sur un message encore en attente sur le serveur, ou présent sur les appareils auxquels ce message a été envoyé si et quand ces appareils se connectent au serveur.

Donc, dans le cas où un appareil est déverrouillé et que l’application Signal est ouverte avant connexion au serveur, s’y trouveront a minima tous les contacts (avec les numéros de téléphone y associés), toutes les conversations, tous les groupes avec tous les comptes encore inscrits au moment de la dernière connexion et tous les messages éphémères encore non lus ou dont le temps de vie depuis la lecture n’est pas encore écoulé.

Suggestions :

— Créer un compte Signal avec un numéro "jetable" (de nombreux site en proposent) plutôt qu’un numéro associé à une identité (carte SIM enregistrée). Ainsi, avoir accès au profil et donc au numéro de téléphone du compte ne donne pas accès au nom y lié.
— Pour des conversations qui ne nécessitent pas d’être lues par des personnes qui trouveraient, voleraient ou confisqueraient l’appareil qui a accès au compte, activer la suppression automatique des messages – soit pour soi, dans les paramètres de l’application (téléphone uniquement) ; soit pour tous les contacts de la conversation, via « Messages éphémères ».
— Pour les ordinateurs, l’application « signal-cli » (en lignes de commande) permet de créer un compte Signal sans passer par un smartphone. Quant au numéro de téléphone utilisé pour créer le compte, voir le premier point. De plus, une manipulation permet ensuite de lier l’application graphique Signal pour ordinateur (plus... accueillante) à ce compte créé avec « signal-cli ».

Pour que les moyens techniques dont nous faisons usage soient plutôt vecteurs de victoires que de défaites, aidons-nous mutuellement et solidairement à en garder un degré suffisant de maîtrise, et à rester à jour sur les évolutions rapides de ceux-ci et des circonstances dans lesquelles nous en faisons usage.

Le laboratoire d’autodéfense numérique

labautonum@riseup.net