Après des mois de silence radio, le code source du composant serveur de la messagerie privée Signal vient d'être mis à jour sur GitHub.
Mise à jour 1 (09/04/2021 à 16h00 HE) : Nous savons maintenant pourquoi le code source mis à jour du logiciel serveur back-end de Signal a mis autant de temps à être publié. Cliquez ici pour plus d'informations. L'article, tel que publié, est conservé ci-dessous.
Messagerie privée de signal est une plateforme de messagerie populaire depuis des années, grâce à l'accent mis sur la confidentialité et le cryptage de bout en bout. Le projet a publié le code source de chaque composant de Signal, y compris le serveur back-end et applications clientes, mais le code public du logiciel serveur est resté obsolète pendant des mois jusqu'à ce que aujourd'hui.
Signal stocke le moins d'informations possible sur les serveurs distants, mais il existe toujours un composant serveur pour connecter les utilisateurs avec des numéros de téléphone, envoyer des notifications push et d'autres fonctionnalités. Signal a fourni le code source du logiciel serveur sur GitHub, permettant à quiconque de
mettre en place leur propre infrastructure indépendante. Cependant, la plupart des gens choisissent simplement d'utiliser la plateforme Signal, car la communication entre le serveur principal et les serveurs auto-hébergés (fédération) n'est pas prise en charge.Après le 22 avril de l'année dernière, Signal a cessé de mettre à jour le référentiel public de codes pour son logiciel serveur. Cette décision était préoccupante, étant donné que la nature open source de Signal facilitait la réalisation d'audits de sécurité et garantissait que la plate-forme ne divulguait pas de données privées. UN Problème GitHub sur le manque de versions a été créé le mois dernier, suite à d'autres discussions sur Reddit et Le propre forum communautaire de Signal.
Bien que Signal n'ait pas encore fait de déclaration publique sur l'écart dans les versions de code, le projet a finalement publié aujourd'hui des centaines de commits sur le dépôt public GitHub. Le référentiel affiche désormais de nombreuses validations de code terminées tout au long de 2020 et 2021, supplantant la dernière version du serveur disponible de 3.21 à 5.48.
On ne sait toujours pas pourquoi Signal a mis si longtemps sans mettre à jour le code de son serveur public, surtout alors que le groupe s'est historiquement targué d'être ouvert et transparent. Nous avons contacté Signal pour obtenir une déclaration et nous mettrons à jour notre couverture lorsque/si nous obtenons une réponse.
Prix : Gratuit.
4.4.
Mise à jour 1: Explication
Le PDG de Signal, Moxie Marlinspike, a commenté sur le problème GitHub avec une explication du retard. Il affirme que le retard n'est pas dû au fait que l'entreprise essayait de cacher les détails de ses activités. nouvelle fonctionnalité de paiement axée sur la confidentialité avant son lancement, mais visait principalement à empêcher les spammeurs de glaner les nouvelles mesures anti-spam que l'entreprise prévoyait d'adopter. Il réitère en outre que le code source du client est publié avec chaque version, que les builds sont reproductibles et que Signal est conçu pour ne pas faire confiance au serveur. peu importe, ce qui signifie que l'accès au code source du serveur n'a "aucune conséquence sur la sécurité". Toutefois, il conclut en disant qu'il comprend pourquoi les gens veulent examinent le code source du serveur à des fins éducatives ou pour exécuter leurs propres instances. Il promet donc que l'entreprise « fera un meilleur travail pour pousser les changements de manière plus réelle ». temps."
Voici son commentaire dans son intégralité :
"Tout d'abord, désolé, la source de l'un de nos services était si loin derrière. Souvent, nous ne poussons pas les sources avant d'avoir publié des éléments, et il y a eu quelques versions qui se chevauchent au cours de cette période, ce qui a rendu difficile de pousser à tout moment et de nous mettre en retard. De plus, nous avons constaté une forte augmentation du spam et une réticence à publier immédiatement les mesures anti-spam exactes que nous avons mises en place. répondaient à un endroit où les spammeurs pouvaient immédiatement les voir combinés avec ce qui précède pour provoquer cet extrême retard.
Comme les personnes présentes dans ce fil l'ont noté, la source de notre client est toujours publiée avec chaque version, les versions sont reproductibles et de toute façon, tout est conçu pour ne pas faire confiance au serveur. Pour être très clair pour les quelques chapeliers en papier d'aluminium ici (Internet ne serait tout simplement pas le même sans vous à ce stade, merci pour votre service), nous ne sommes soumis à aucune « ordonnance de bâillon », il n'y a pas de NSL, et le fait est qu'il n'y a pas de « malware » que nous pourrions installer sur le serveur.
Même si cela n'a aucune conséquence sur la sécurité, nous comprenons pourquoi la source du serveur est utile pour les personnes qui souhaitent exécuter leurs propres versions de Signal, comprennent comment fonctionne Signal et voient généralement comment les choses sont construites. Nous ferons un meilleur travail en poussant les changements plus en temps réel.
Nous essayons de ne pas utiliser les problèmes de GH pour la discussion, je vais donc clore ce sujet maintenant, mais contactez-nous sur les forums. »