Pourquoi Signal vous propose de créer un NIP (PIN) ?

Pourquoi Signal vous propose de créer un NIP (PIN) ?

Vous avez sans doute remarqué ce nouveau popup vous demandant de confirmer votre « NIP Signal ». A quoi sert ce code ? Faut-il l’activer ? Qu’est-ce que ça change ? Je vous explique tout ça.


Image : signal.org

Depuis la dernière version de Signal (3.8 sur iOS et 4.59 sur Android) publiée en mai 2020, vous avez vu apparaître un message dans votre app vous invitant à créer un code NIP (équivalent français de « code PIN »). Je dois avouer que Signal ne donne pas énormément d’explications pour nous aider à comprendre de quoi il s’agit, à moins de creuser dans la page de support dédiée (ce que j’ai fait pour vous).

Le message qui a créé la confusion chez certains utilisateurs.

Si vous ne savez pas en quoi consiste l’app de messagerie instantanée Signal, je vous invite à lire avant tout mon dossier Qu’est-ce que l’app Signal et pourquoi l’utiliser ?

Le principe en deux mots

Pour faire simple, ce code PIN vous permet de sécuriser les informations relatives à votre compte afin de les récupérer facilement après une réinstallation, perte ou un changement de téléphone, ce qui n’était pas possible auparavant pour des raisons de sécurité. Cette nouvelle fonctionnalité améliore donc la portabilité des données.

telephone perdu
Une nouvelle fonctionnalité utile si votre smartphone est perdu, volé, cassé, ou remplacé.

Quel était le problème ?

Jusqu’à présent, il était impossible de récupérer ses réglages ou ses contacts lors d’un changement de smartphone ou de numéro de téléphone. Il était nécessaire de reparamétrer complètement votre compte à chaque fois. La raison de ce désagrément était d’éviter le stockage de certaines de vos informations, pour garantir un niveau de confidentialité élevé.

Pour pallier cet inconfort, l’éditeur propose désormais de sauvegarder ces informations de manière sécurisée via un code PIN. Cette fonction est optionnelle, libre à vous de l’activer ou non.

Grâce à cela, Signal sera moins dépendant des numéros de téléphone comme source d’identification principale des utilisateurs. Le principal intérêt du nouveau système est de ne plus avoir à refaire la configuration en cas de changement de smartphone.

Comment fonctionne ce système de PIN ?

Le code PIN que vous choisissez doit comporter au moins 4 chiffres, mais il peut également être plus long et contenir des lettres. Comme Signal n’a pas accès à vos clés, votre code PIN n’est pas récupérable si vous l’oubliez.

Pour éviter cela, l’app vous aidera à mémoriser le PIN choisi grâce à des rappels périodiques qui deviendront moins fréquents avec le temps. Votre PIN peut aussi être modifié manuellement dans les réglages de l’app.

Il vous faudra tout de même mémoriser votre PIN.

Cela entraîne-t-il un risque pour mes informations personnelles ?

Vous le savez certainement si vous utilisez Signal, la confidentialité est au cœur des préoccupations de l’éditeur. Sachez que ce changement n’affecte en rien la sécurité des messages que vous échangez. Nous parlons ici des informations « autour » de vos conversations, pas de vos conversations elle-mêmes. Ce PIN ne sert qu’à chiffrer :

  • votre profil
  • vos paramètres
  • vos contacts

Un peu plus techniquement, sachez que le PIN choisi est associé à une autre clé privée. Cette clé est stockée dans une zone sécurisée qui ne sera débloquée que par le PIN correspondant avec un nombre limité de tentatives. Même si aucun système n’est infaillible, cette façon de faire est plutôt ingénieuse pour augmenter la sécurité sans trop complexifier l’expérience utilisateur.

Trouver le bon équilibre entre sécurité et simplicité d’utilisation.

A titre de comparaison, chez WhatsApp (appartenant à Facebook) cette opération de sauvegarde/restauration d’un compte est beaucoup moins préventive au niveau sécurité. WhatsApp insiste notamment pour que la sauvegarde se fasse en clair sur Google Drive… laissant vos données encore plus librement accessibles par Facebook et Google.

De mon côté j’ai activé ce NIP/PIN pour bénéficier du confort apporté. Et vous ?

Source

25 Replies to “Pourquoi Signal vous propose de créer un NIP (PIN) ?”

        1. Bonjour Jean, pour modifier votre NIP, vous devez aller dans les réglages de Signal. Vous y trouverez une section « Vie privée » qui propose une option pour modifier votre code NIP. Pour que cela fonctionne, il faut bien sûr que vous soyez en mesure de donner votre NIP actuel.

  1. D’après ce que j’ai compris, ce NIP fait plus que ça, c’est une barrière supplémentaire contre l’usurpation d’identité / vol de compte.

    1. Merci jt pour l’information, mais je n’ai pas lu ça dans la publication de Signal (https://www.signal.org/blog/signal-pins/). D’après moi il n’y avait pas de vol de compte possible avant l’activation du PIN car la notion de compte n’existait pas vraiment. Tout était rattaché au seul numéro de téléphone. Il était donc nécessaire de « hacker » le numéro de téléphone pour usurper l’identité de quelqu’un. Si vous avez des sources indiquant le contraire, pouvez-vous svp me les communiquer ? J’en ferai mention avec plaisir dans une correction d’article.

  2. je viens de crèer un NIP .
    Cependant au premier rappel je peux bien inscrire ce code sur le masque mais ce dernier ne s ouvrant pas complètement il m est impossible de valider. Accès impossible à Signal.

    1. Hello Martial, si je comprends bien, le bouton de validation de votre rappel n’est pas visible, ou potentiellement masqué par autre chose (typiquement le clavier). Avez-vous essayé de masquer le clavier pour que le bouton devienne accessible ? Une autre option pourrait être de changer l’orientation de votre téléphone, de portrait à paysage. Normalement cela ne devrait pas vous empêcher d’utiliser Signal…
      Pouvez-vous me dire quel téléphone vous utilisez et si vous avez bien la dernière version de l’app installée ? Merci

  3. Uploader mes données personnelles (contact, social graph, préférences et profile) sur les serveurs de Signal sans me demander un consentement éclairer préalablement, c’est la protection de la vie privée pour signal ?
    Bloquer l’application et mon accès à l’historique de mes messages tant que je n’ai pas rentré un code PIN afin de permettre à Signal de télécharger mes contacts sur leurs serveur c’est vraiment comme cela qu’il compte dorénavant protéger ses utilisateurs ?
    Les devs n’ont jamais entendu parler de la RGPD, il n’y a aucun européens parmi eux ?
    Cette sauvegarde sur les serveurs de Signal devrait a minima pouvoir être optionnelle. Si Signal n’a pas accès aux données téléchargés et ne peut rien rien en faire, pourquoi celle est-elle nécessaire et obligatoire au point d’interdire aux utilisateurs d’accéder à l’application et à l’historique de leurs conversations tant qu’elle n’a pas été faite !

    1. Merci d’avoir partagé votre avis. Je suis tout à fait d’accord pour dire que Signal a mal communiqué sur cette fonctionnalité qui a surpris beaucoup d’entre nous.
      Ce qui est étrange, c’est qu’il semble que définir ce PIN soit obligatoire sur certains Android (pas tous, peut-être une histoire de version ?) et complètement optionnel sur iOS, au vu des différentes réactions que j’ai pu voir jusqu’à maintenant. Tout le monde devrait avoir la possibilité d’activer ou non ce PIN selon ses préférences.
      Je rappel tout de même que les informations stockées par Signal sur leurs serveurs (les discussions n’en font pas partie), sont chiffrées et non déchiffrables par Signal. Le fait que l’app soit open-source garantit cela. Seul votre PIN permet de le faire (ce qui renforce l’idée que le PIN devrait rester optionnel).
      Je conçois que ce changement puisse freiner beaucoup d’utilisateurs pour qui la confidentialité la plus totale a une très haute importance ou soit vitale. Les options qui s’offrent à eux sont de ne pas partager les contacts avec l’app Signal, d’utiliser un pseudonyme plutôt que le vrai nom, ou finalement d’utiliser une autre application (mais je ne sais pas quoi conseiller de plus sécurisé…).

  4. Bonjour,
    Encore un mot de passe ! J’en ai marre des mot de passe. Je ne voulais pas créer de NIP: Je n’ai plus accès à mes SMS sous Signal, j’ai du repasser sur la messagerie par défaut.
    Donc, NON, on n’a pas le choix de ne pas le créer.

    1. Bonjour Phil, juste pour préciser, il s’agit d’un mot de passe « de récupération ». Pas d’un mot de passe que vous serez obligé de saisir à chaque utilisation. Mais je comprends votre frustration par rapport au fait que vous soyez bloqué. J’ai une bonne nouvelle pour vous, @signalapp vient de tweeter (le 10/07) que « Les dernières versions bêta de Signal pour Android et iOS vous permettent de bloquer les codes PIN et de les désactiver complètement […] ». Vous devriez donc bientôt avoir une mise à jour vous permettant de gérer votre NIP dans les réglages.

  5. Bonjour, je plussoie Martial, Jeanne et Phil. Pour moi (Android) le NIP n’était pas optionnel mais bloquait toute utilisation du service sur lequel j’avais aussi mes textos auxquels je n’ai pas accédé plusieurs jours car je ne comprenais pas ce qu’était le NIP et hésitais à l’installer. Comme vous le disiez, ce n’était pas vraiment expliqué. Finalement j’ai réinstallé l’appli en pensant que la non optionalité était un bug mais ça n’a rien changé et j’ai dû entrer un NIP sans savoir ce que je faisais. C’est pour le moins très maladroit de la part de Signal et pas pratique alors que je suis en train de convaincre, menacer et supplier mes potes de larguer Whatsapp pour me rejoindre sur Signal. Ca commence déjà à grogner sur les mots de passes pète gonades.

    1. Bonjour Juin, merci d’avoir apporté votre retour d’expérience. Cela confirme l’aspect obligatoire du PIN sous Android, au moins pendant une certaine période. Je n’ai pas non plus compris tout de suite à quoi ce PIN servait. D’où mes recherches… et cet article finalement ! Est-ce que maintenant Signal fonctionne bien pour vous ? Dans tous les cas bonne chance pour continuer à convaincre vos amis, ne perdez pas espoir votre cause est juste !

  6. Bonjour ,

    Avez vous entendu parler de Silent Phone
    Application payante , mais d’après ce que j’ai pu voir très sécurisé..

    Merci de me éclaircir si vous savez quelque chose

    Thanks

    1. Bonjour, je ne connaissais pas Silent Phone, mais suite à quelques recherches il me semble que la comparaison avec Signal est assez difficile. Certes les fonctionnalités sont semblables et Silent Phone semble avoir bonne réputation au niveau de la sécurité, mais cette app nécessite un abonnement à $9.95/mois là où Signal est une app totalement gratuite (et open source). Mais si cela n’est pas bloquant pour vous elle vaut peut-être le coup. Les commentaires sur l’App Store ou Google Play pourront sûrement vous aider à faire un choix.

  7. Très compliqué d’installer Signal,je n’arrive même pas à savoir à quoi ce NIP correspond??? En plus de me proposer qu’un clavier numérique.
    Dois je comprendre que le NIP est mon mot de passe chez Google??? 1h de perdu à me renseigner et à essayer de l’installer,trop grâve !!! En plus de creer 1 nouveau NIP dans l’aide proposé,alors que je ne sais même pas lequel j’aurrai installée.
    Bon courage

    1. Bonjour Denise, tout d’abord bravo pour votre persévérance malgré les problèmes rencontrés. Je suis sûr que vous êtes très proche de réussir. Pour répondre à vos questions :
      – Signal et Google n’ont absolument aucun lien.
      – Le but du NIP, pour faire simple, est de vous permettre de « conserver intact » votre compte et vos réglages le jour où vous changerez de téléphone. Vous devez juste choisir (pour vous-même) un code à 6 chiffres, qui vous sera demandé de temps en temps pour vous aider à vous en rappeler.
      Il sera ensuite possible pour vous d’utiliser Signal et de profiter de ses fonctionnalités en toute tranquillité. J’espère que ma réponse vous aide.

  8. Bonsoir,

    Il est clair que les sécuritaires sont gagnants alors que cela n’a aucune résonance de sécurité. Les hackers s’ils ont envie de trouver y. Ont sans pb….. alors le reste n’est que mauvaise littérature

    1. Bonjour Tarento, je ne suis pas sûr de bien saisir votre point. Je vous rejoins sur le fait qu’un hacker déterminé sur une cible précise finira ‘toujours’ par trouver une faille (voir Pegasus). Mais il vaut mieux fermer sa porte à clef que de la laisser grande ouverte, un minimum de bonnes pratiques est donc recommandé.

Laisser un commentaire

Votre adresse e-mail ne sera pas publiée. Les champs obligatoires sont indiqués avec *