Quelle messagerie choisir ?

Introduction

Il est difficile de choisir une solution de messagerie. Tout dépend finalement des besoins, voici quelques types généraux:

type	description	public	interactif	non-interactif	chiffrement	end-to-end
IRC	réseaux de serveurs collaboratifs fonctionnant par inondation	développeurs de logiciels sous OS standard	oui	non (sauf bots)	souvent	non
e-mail	en général, 1 à 3 serveurs relais	tous	non	oui	souvent, sans authentification	possible (GPG/X.509)
NNRP	USENET news, réseaux de serveurs collaboratifs fonctionnant par inondation	anciens, spécialistes	non	oui	non	non (GPG/X.509 possible)
autres messageries interactives (voir ci-après)	dépend des technologies	tous	oui

L'avantage clair d'IRC est que lorsque on est déloggué, on n'est pas dérangé. L'avantage clair de l'e-mail et de NNRP est que l'on n'accède à l'information que lorsqu'on le désire, et au moment désiré (si on supprime les notifications). Les autres messageries sont très intrusives.

Le critère de chiffrement end-to-end est très important, dans la mesure où l'on ne tourne pas son propre serveur. Lorsqu'il y a des réseaux de serveurs, il n'y a ni point de panne unique ni risque de prise de contrôle.

Les protocoles ci-dessus sont tous standardisés, ouverts et les implémentations clients et serveurs sont libres et disponibles sous OS standard (Debian GNU/Linux par exemple); sauf dernière ligne voir plus bas.

OS standard == compatible POSIX, par exemple GNU/Linux. Les OS Microsoft ne sont pas considérés standards, leur implémentation des standards ouverts laissant, en général, à désirer (même si l'on constate un léger changement de politique depuis quelques années).

Technologies de messagerie instantanée

nom	protocole documenté?	serveur libre?	client libre?	client web?	lien contacts?	suisse	end-to-end
IRC	oui	oui	oui	éventuellement	non	oui	non
XMPP	oui	oui	oui
Matrix	oui	oui	oui	oui	non	non	oui
Signal	oui	oui https://github.com/signalapp/Signal-Server	oui	oui	oui / non, identifiant généré	non	oui
Telegram	oui? (basé signal)	non	oui	oui	optionnel	non	oui
Threema	https://threema.ch/press-files/cryptography_whitepaper.pdf	non	oui https://threema.ch/de/open-source	oui web.threema.ch	non	oui	oui
Whatsapp	non (API?)	non	non	oui	oui!	non	oui

Un hash évite de trahir trop facilement le numéro de téléphone en clair, mais ne garantit que le pseudonymat (les liens aux contacts ainsi anonymisés sont traçables). Seuls les systèmes dévoilant vos contacts ou vos hash de contacts peuvent automatiquement vous mettre en relation: toujours le compromis entre sécurité et utilisabilité. Il est possible de désactiver la permission ou d'utiliser une application de sandboxing.

Intéressant: Signal est sous licence Affero-GPL, ce qui élimine probablement le risque de propriétisation du logiciel en tant que service cloud (la GPLv3 ne suffit pas ici, vu qu'elle ne s'active que s'il y a distribution du logiciel). Les autres logiciels open-source ou libres utilisent des licences plus classiques (p.ex. GPLv3). Rappelons que Google a déjà communiqué qu'ils n'utiliseraient pas de logiciel A-GPL.

Références

• mailing-list du GULL 2020-12-07, notamment intervenants Magnus et Laurent.
• https://fr.wikipedia.org/wiki/Messagerie_instantan%C3%A9e
• discussion IRC 2021-01-16

-- MarcSCHAEFER - 07 Dec 2020