Pourquoi Signal vous propose de créer un NIP (PIN) ?

Pourquoi Signal vous propose de créer un NIP (PIN) ?

Vous avez sans doute remarqué ce nouveau popup vous demandant de confirmer votre « NIP Signal ». A quoi sert ce code ? Faut-il l’activer ? Qu’est-ce que ça change ? Je vous explique tout ça.


Image : signal.org

Depuis la dernière version de Signal (3.8 sur iOS et 4.59 sur Android) publiée en mai 2020, vous avez vu apparaître un message dans votre app vous invitant à créer un code NIP (équivalent français de « code PIN »). Je dois avouer que Signal ne donne pas énormément d’explications pour nous aider à comprendre de quoi il s’agit, à moins de creuser dans la page de support dédiée (ce que j’ai fait pour vous).

Le message qui a créé la confusion chez certains utilisateurs.

Si vous ne savez pas en quoi consiste l’app de messagerie instantanée Signal, je vous invite à lire avant tout mon dossier Qu’est-ce que l’app Signal et pourquoi l’utiliser ?

Le principe en deux mots

Pour faire simple, ce code PIN vous permet de sécuriser les informations relatives à votre compte afin de les récupérer facilement après une réinstallation, perte ou un changement de téléphone, ce qui n’était pas possible auparavant pour des raisons de sécurité. Cette nouvelle fonctionnalité améliore donc la portabilité des données.

telephone perdu
Une nouvelle fonctionnalité utile si votre smartphone est perdu, volé, cassé, ou remplacé.

Quel était le problème ?

Jusqu’à présent, il était impossible de récupérer ses réglages ou ses contacts lors d’un changement de smartphone ou de numéro de téléphone. Il était nécessaire de reparamétrer complètement votre compte à chaque fois. La raison de ce désagrément était d’éviter le stockage de certaines de vos informations, pour garantir un niveau de confidentialité élevé.

Pour pallier cet inconfort, l’éditeur propose désormais de sauvegarder ces informations de manière sécurisée via un code PIN. Cette fonction est optionnelle, libre à vous de l’activer ou non.

Grâce à cela, Signal sera moins dépendant des numéros de téléphone comme source d’identification principale des utilisateurs. Le principal intérêt du nouveau système est de ne plus avoir à refaire la configuration en cas de changement de smartphone.

Comment fonctionne ce système de PIN ?

Le code PIN que vous choisissez doit comporter au moins 4 chiffres, mais il peut également être plus long et contenir des lettres. Comme Signal n’a pas accès à vos clés, votre code PIN n’est pas récupérable si vous l’oubliez.

Pour éviter cela, l’app vous aidera à mémoriser le PIN choisi grâce à des rappels périodiques qui deviendront moins fréquents avec le temps. Votre PIN peut aussi être modifié manuellement dans les réglages de l’app.

Il vous faudra tout de même mémoriser votre PIN.

Cela entraîne-t-il un risque pour mes informations personnelles ?

Vous le savez certainement si vous utilisez Signal, la confidentialité est au cœur des préoccupations de l’éditeur. Sachez que ce changement n’affecte en rien la sécurité des messages que vous échangez. Nous parlons ici des informations « autour » de vos conversations, pas de vos conversations elle-mêmes. Ce PIN ne sert qu’à chiffrer :

  • votre profil
  • vos paramètres
  • vos contacts

Un peu plus techniquement, sachez que le PIN choisi est associé à une autre clé privée. Cette clé est stockée dans une zone sécurisée qui ne sera débloquée que par le PIN correspondant avec un nombre limité de tentatives. Même si aucun système n’est infaillible, cette façon de faire est plutôt ingénieuse pour augmenter la sécurité sans trop complexifier l’expérience utilisateur.

Trouver le bon équilibre entre sécurité et simplicité d’utilisation.

A titre de comparaison, chez WhatsApp (appartenant à Facebook) cette opération de sauvegarde/restauration d’un compte est beaucoup moins préventive au niveau sécurité. WhatsApp insiste notamment pour que la sauvegarde se fasse en clair sur Google Drive… laissant vos données encore plus librement accessibles par Facebook et Google.

De mon côté j’ai activé ce NIP/PIN pour bénéficier du confort apporté. Et vous ?

Source

10 Replies to “Pourquoi Signal vous propose de créer un NIP (PIN) ?”

  1. D’après ce que j’ai compris, ce NIP fait plus que ça, c’est une barrière supplémentaire contre l’usurpation d’identité / vol de compte.

    1. Merci jt pour l’information, mais je n’ai pas lu ça dans la publication de Signal (https://www.signal.org/blog/signal-pins/). D’après moi il n’y avait pas de vol de compte possible avant l’activation du PIN car la notion de compte n’existait pas vraiment. Tout était rattaché au seul numéro de téléphone. Il était donc nécessaire de « hacker » le numéro de téléphone pour usurper l’identité de quelqu’un. Si vous avez des sources indiquant le contraire, pouvez-vous svp me les communiquer ? J’en ferai mention avec plaisir dans une correction d’article.

  2. je viens de crèer un NIP .
    Cependant au premier rappel je peux bien inscrire ce code sur le masque mais ce dernier ne s ouvrant pas complètement il m est impossible de valider. Accès impossible à Signal.

    1. Hello Martial, si je comprends bien, le bouton de validation de votre rappel n’est pas visible, ou potentiellement masqué par autre chose (typiquement le clavier). Avez-vous essayé de masquer le clavier pour que le bouton devienne accessible ? Une autre option pourrait être de changer l’orientation de votre téléphone, de portrait à paysage. Normalement cela ne devrait pas vous empêcher d’utiliser Signal…
      Pouvez-vous me dire quel téléphone vous utilisez et si vous avez bien la dernière version de l’app installée ? Merci

  3. Uploader mes données personnelles (contact, social graph, préférences et profile) sur les serveurs de Signal sans me demander un consentement éclairer préalablement, c’est la protection de la vie privée pour signal ?
    Bloquer l’application et mon accès à l’historique de mes messages tant que je n’ai pas rentré un code PIN afin de permettre à Signal de télécharger mes contacts sur leurs serveur c’est vraiment comme cela qu’il compte dorénavant protéger ses utilisateurs ?
    Les devs n’ont jamais entendu parler de la RGPD, il n’y a aucun européens parmi eux ?
    Cette sauvegarde sur les serveurs de Signal devrait a minima pouvoir être optionnelle. Si Signal n’a pas accès aux données téléchargés et ne peut rien rien en faire, pourquoi celle est-elle nécessaire et obligatoire au point d’interdire aux utilisateurs d’accéder à l’application et à l’historique de leurs conversations tant qu’elle n’a pas été faite !

    1. Merci d’avoir partagé votre avis. Je suis tout à fait d’accord pour dire que Signal a mal communiqué sur cette fonctionnalité qui a surpris beaucoup d’entre nous.
      Ce qui est étrange, c’est qu’il semble que définir ce PIN soit obligatoire sur certains Android (pas tous, peut-être une histoire de version ?) et complètement optionnel sur iOS, au vu des différentes réactions que j’ai pu voir jusqu’à maintenant. Tout le monde devrait avoir la possibilité d’activer ou non ce PIN selon ses préférences.
      Je rappel tout de même que les informations stockées par Signal sur leurs serveurs (les discussions n’en font pas partie), sont chiffrées et non déchiffrables par Signal. Le fait que l’app soit open-source garantit cela. Seul votre PIN permet de le faire (ce qui renforce l’idée que le PIN devrait rester optionnel).
      Je conçois que ce changement puisse freiner beaucoup d’utilisateurs pour qui la confidentialité la plus totale a une très haute importance ou soit vitale. Les options qui s’offrent à eux sont de ne pas partager les contacts avec l’app Signal, d’utiliser un pseudonyme plutôt que le vrai nom, ou finalement d’utiliser une autre application (mais je ne sais pas quoi conseiller de plus sécurisé…).

  4. Bonjour,
    Encore un mot de passe ! J’en ai marre des mot de passe. Je ne voulais pas créer de NIP: Je n’ai plus accès à mes SMS sous Signal, j’ai du repasser sur la messagerie par défaut.
    Donc, NON, on n’a pas le choix de ne pas le créer.

    1. Bonjour Phil, juste pour préciser, il s’agit d’un mot de passe « de récupération ». Pas d’un mot de passe que vous serez obligé de saisir à chaque utilisation. Mais je comprends votre frustration par rapport au fait que vous soyez bloqué. J’ai une bonne nouvelle pour vous, @signalapp vient de tweeter (le 10/07) que « Les dernières versions bêta de Signal pour Android et iOS vous permettent de bloquer les codes PIN et de les désactiver complètement […] ». Vous devriez donc bientôt avoir une mise à jour vous permettant de gérer votre NIP dans les réglages.

Laisser un commentaire

Votre adresse de messagerie ne sera pas publiée.