Signal fait le ménage dans ses notifications sur macOS

Nicolas Furno |

La messagerie instantanée Signal parie sur la sécurité des messages échangés pour sortir du lot. Les conversations sont chiffrées de bout en bout et on peut envoyer des messages qui sont censés s’auto-détruire après un temps donné. C’est pourquoi le bug déniché dans l’app macOS du service était si gênant : les notifications restaient visibles, même pour les messages qui devaient disparaître.

La version 1.10.0 de Signal corrige le bug sur macOS.

Bonne nouvelle toutefois, le bug a été rapidement corrigé et la version en cours en est dépourvue. Les messages qui sont programmés pour disparaître après un délai ne sont plus du tout affichés dans le centre de notifications de macOS, ce qui règle le problème. Cette mise à jour numérotée 1.10.0 devrait être proposée automatiquement, mais vous pouvez vérifier que vous avez la bonne version dans l’app (menu Signal > A propos de Signal Desktop).

avatar C1rc3@0rc | 

Moais, supprimer la fonction pour remédier au bug c'est une solution... Ne pas utiliser les notifications permet d’éviter effectivement le bug (features dans le langage de Schiller ;) ) du système de notification effectivement.

Sinon sur iOS ça donne quoi?

avatar quentinf33 | 

@C1rc3@0rc

Tu arrives quand même à blâmer Apple et macOS alors qu’on parle d’une app tierce... tu veux pas aller sur PhonAndroid ? Tu devrais trouver ta place si tu détestes autant Apple, non ?

avatar C1rc3@0rc | 

@quentinf33

Je ne déteste pas Apple et le fait de relever la réalité d'un problème n'est pas issu d'une volonté de nuire a Apple mais simplement du pragmatisme.

Le souci ici c'est le système de notification et il touche toutes les applications qui l'utilisent! C'est ça la réalité.

Donc lis bien les articles, le sujet n'est pas un bug dans une application tierce, une erreur de programmation, mais la mise en évidence d'un fonctionnement insidieux mais hélas normal d'un service de l'OS.

Certes le développeur a fait l'erreur initiale d'utiliser le service de notification de l'OS sans vérifier si les données affichées restaient accessibles a un niveau quelconque de l'OS apres leur destruction dans l'application.
C'est un comportement anormal du développeur et de l’éditeur et quand on veut faire un soft sécurisé, on l'audite avant de le mettre en ligne. Ici l'audit n'a pas et fait ou mal fait.

Mais il en demeure que l'OS collecte et conserve les données affichées par le service de notification, même si la données originale a été détruite! C'est une menace pour la sécurité de toutes les applications tournant sur l'OS...

avatar iapx | 

Ce qui est drôle c'est que ceux ou celles qui n'auront pas mis à jours conserveront les messages envoyés par les autres et destinés à s'auto-détruire, pouvant même les extirper de la DB SQLite pour les conserver indéfiniment et sans que leurs correspondants en soient informés: tout l'intérêt du truc disparaît car il n'est plus fiable!

avatar C1rc3@0rc | 

@iapx

«Ce qui est drôle c'est que ceux ou celles qui n'auront pas mis à jours conserveront les messages envoyés par les autres »
Oui, car le probleme vient du service fourni par l'OS avant meme de venir de l'application.

Ceci etant, le fait que cette fonction de collecte et conservation des données du systeme de notification n'ait pas été recouverte lors de l'audit du soft (s'il y en a eu un) décrédibilise totalement l'aspect sécuritaire du soft.

La prochaine fois ce sera quoi? La persistance d'un mot de passe afficher via les notifications par une app de gestion de mot de passe?
La découverte - horrible - que le contenu du presse-papier est accessible a tous les process tournant sur la machine....

Que les log de connexions sont enregistrés systématiquement par l'OS et persistent...

«tout l'intérêt du truc disparaît car il n'est plus fiable!»

L'a-t'il ete un jour?

CONNEXION UTILISATEUR