1 points par GN⁺ 2025-02-18 | 1 commentaires | Partager sur WhatsApp
  • X empêche la publication de liens Signal.me, le domaine de contact direct de Signal, dans les DM, les publications publiques et la bio des profils
  • Selon l’environnement, comme le Web ou l’app iPhone, le blocage affiche des messages d’erreur tels que « potentiellement dangereux », « semble être une requête automatisée » ou « Description is considered malware »
  • Les liens Signal.me déjà publiés ne sont pas complètement bloqués, mais il faut passer par une page d’avertissement de la URL Policy de X pour y accéder
  • Le blocage semble ciblé sur Signal.me ; des liens similaires comme Signal.org ou les URL de contact Telegram semblent autorisés
  • Il reste possible de publier un identifiant Signal.me sous forme de texte, que les utilisateurs peuvent ensuite copier-coller dans l’app Signal

Les liens Signal.me bloqués sur X

  • X bloque la publication de liens vers le domaine Signal.me, que les utilisateurs de Signal partagent pour être contactés directement dans l’app
    • Le blocage couvre les DM, les publications publiques et la bio du profil
  • Lorsqu’on tente de publier, différents messages d’échec s’affichent selon l’environnement utilisé
    • « We can’t complete this request because this link has been identified by X or our partners as being potentially harmful »
    • « This request looks like it might be automated »
    • Lorsqu’on tente de l’ajouter à la bio du profil, le message « Account update failed. Description is considered malware » s’affiche
  • Les liens Signal.me déjà publiés ne redirigent pas directement lorsqu’on clique dessus et passent par une page d’avertissement
    • X indique que le lien a été identifié comme « potentially spammy or unsafe »
    • L’utilisateur peut ignorer l’avertissement et cliquer sur un lien supplémentaire pour accéder à l’URL Signal.me d’origine

Périmètre confirmé et solutions de contournement restantes

  • On ne sait pas exactement quand le blocage a commencé, mais il était auparavant possible d’inclure des liens Signal.me dans des publications publiques et dans la bio du profil
  • L’impact semble limité aux URL Signal.me
    • D’autres liens Signal, comme Signal.org, ne semblent pas bloqués
    • Des liens similaires vers des services tiers, comme les URL de contact Telegram, sont autorisés sur X
  • Le chercheur en sécurité Mysk a découvert ce problème pour la première fois dans la nuit du 16 février 2025, et le blocage a été confirmé dans les DM, les publications et la bio des profils
  • Signal est depuis longtemps utilisé comme principal canal de contact privé entre journalistes et lanceurs d’alerte
    • Les messages sont chiffrés de bout en bout
    • Le contenu est stocké sur les appareils et n’est pas conservé dans le cloud des serveurs de Signal
  • Ces dernières semaines, Signal a aussi joué un rôle important lorsque des employés fédéraux ont contacté des journalistes au sujet de l’accès du DOGE d’Elon Musk aux données de plusieurs agences gouvernementales
  • Actuellement, les utilisateurs de Signal peuvent publier leur identifiant Signal en texte sur X, et les autres utilisateurs peuvent le copier puis le coller dans l’app Signal

1 commentaires

 
GN⁺ 2025-02-18
Avis sur Hacker News
  • Je ne cherche pas à défendre Twitter ni sa politique, mais cela pourrait aussi être une erreur légitime
    À l’échelle de Twitter, la protection et la détection des URL non sûres sont généralement automatisées, et cela pourrait ressembler aux cas où des raccourcisseurs d’URL entiers étaient bloqués à cause de certains malwares, tentatives de phishing ou contenus interdits
    À mesure que Signal grandit, les liens signal.me apparaissent davantage sur Twitter, et même si la plupart sont légitimes, le nombre de liens illégaux peut lui aussi avoir augmenté au point de déclencher un blocage automatique
    Le vrai problème, c’est que même si c’était intentionnel, Twitter peut facilement se cacher derrière « une automatisation excessive et désolé », surtout si, après le rachat de Twitter, les experts concernés sont partis ou ont été licenciés et que l’automatisation n’a plus été correctement maintenue ni ajustée

    • L’essentiel est enfoui dans la note de bas de page. Même si c’était une simple erreur, on aurait facilement pu l’éviter en ajoutant une revue humaine pour les changements de blocage d’URL sur un site partagé aussi fréquemment
      Si l’on considère comme de « l’efficacité » le fait de ne plus garder assez de personnel pour remarquer qu’un fragment d’URL et un hashtag utilisent le même symbole, alors ce genre de personne ne devrait même pas approcher d’une organisation liée à « l’efficacité gouvernementale »
    • C’est plausible, vu que tous les liens interdits avaient ce format
      https://signal.me/#eu/fdy5h1miMifXa...
      Le hash de l’URL (la partie après #) n’est souvent pas considéré comme une partie significative de l’URL par les systèmes automatisés. À l’origine, le hash sert à désigner un emplacement précis dans la page web chargée par l’URL précédente
      Si un lien Signal.me a été signalé pour une raison valable, comme un malware ou un contenu illégal, il est tout à fait possible qu’un système automatisé ait supprimé le hash puis bloqué tout le domaine, dont le chemin n’est en pratique que /
      Il sera intéressant de voir s’ils corrigent et annulent cela. Sinon, on pourra être assez sûr que c’était intentionnel
    • Le but du système est ce qu’il fait réellement
    • Il y a trois raisons pour lesquelles c’est difficile à croire. Même si c’était une erreur d’automatisation, combien de temps faut-il pour l’annuler, pourquoi est-ce bloqué uniquement sur X et pas sur d’autres réseaux sociaux, et X n’avait-il pas déjà bloqué auparavant les URL de Substack et Mastodon ?
    • Pour une plateforme fondée sur le partage de liens, elle devrait savoir quels domaines pointent vers des raccourcisseurs d’URL
      Même si le traitement est automatisé, lorsqu’elle rencontre des URL comme signal.me, bit.ly ou goo.gl, elle devrait d’abord faire un GET puis appliquer l’algorithme à la cible indiquée dans l’en-tête Location
      Ne pas faire cela pour un raccourcisseur d’URL aussi largement utilisé que signal.me montre une incompétence technique
  • Les Américains utilisent encore X ? Si oui, je me demande pourquoi. Rester sur cette plateforme, ce n’est pas rapprocher un peu plus son propriétaire de la destruction de son propre pays ?

    • Comme pour toutes les plateformes sociales, c’est à cause de l’effet de réseau. Les fonctionnalités réelles sont secondaires par rapport à la base d’utilisateurs et à la culture, même si bien sûr les fonctionnalités influencent fortement cette culture, cela reste secondaire
      C’est pareil pour les jeux multijoueurs, les lieux de rencontre et les tiers-lieux
      Dans beaucoup de groupes, xitter est la plateforme par défaut. Par exemple, les artistes de contenus pour adultes au style anime l’utilisent comme principal canal de publication, et beaucoup d’entreprises y publient des informations immédiates comme les pannes de service ou les changements d’horaires. Rien que cela suffit largement à expliquer pourquoi les gens restent
    • J’ai arrêté d’utiliser X quand Elon l’a racheté, et après qu’il a complètement basculé du côté MAGA-nazi, j’ai fini par supprimer un compte que j’avais depuis longtemps. J’étais un utilisateur des débuts, avant même que Twitter ne devienne grand public, mais je ne le regrette pas
    • Même l’Union européenne conserve encore X comme plateforme principale : https://european-union.europa.eu/index_en
    • Certaines personnes intelligentes et perspicaces publient, pour une raison ou une autre, uniquement sur X. J’aimerais qu’elles choisissent un autre site, mais je ne pense pas qu’il y ait grand mal à continuer de les suivre
      J’imagine aussi que beaucoup d’amis ou de membres de la famille non techniques ne publient que sur un seul réseau social. Il m’est déjà arrivé de créer des comptes un peu partout juste pour continuer à suivre de vieux amis
    • Paradoxalement, pour contrer la propagande d’Elon et de ceux qui lui ressemblent, c’est encore la meilleure plateforme en termes de portée
  • Je me demandais ce qu’étaient exactement les liens signal.me, alors j’ai cherché, et il semble que les détails soient ici
    https://signal.miraheze.org/wiki/Signal.me_URLs
    https://signal.miraheze.org/wiki/Usernames#Username_links
    Les liens Signal.me ne sont qu’un moyen simple d’envoyer son numéro de téléphone ou son nom d’utilisateur à d’autres personnes, sans vérification d’identité cryptographique et sans protection du numéro de téléphone ou du nom d’utilisateur. Pour contourner le blocage, les utilisateurs de Signal peuvent simplement envoyer leur numéro ou leur nom d’utilisateur sur Twitter/X
    Le format de nom d’utilisateur chiffré est révocable et offre donc une certaine protection de l’identité, mais tant qu’il est actif, il semble que quelqu’un puisse demander aux serveurs de Signal quel nom d’utilisateur y est associé
    Il vaudrait de toute façon mieux ne pas utiliser Twitter/X pour ce genre d’usage. Des alternatives comme Mastodon viennent à l’esprit, mais en réalité, à peu près n’importe quoi d’autre serait préférable

    • Les liens signal.me servent à rejoindre ou à promouvoir des groupes Signal
    • Un nom d’utilisateur n’est pas forcément lié à une identité réelle, et l’on peut aussi masquer son numéro de téléphone
      Ce n’est pas l’explication la plus étrange pour défendre les politiques de censure d’Elon Musk et de X, mais elle est clairement dans le top 5
  • C’est particulièrement ironique quand on sait que DOGE utiliserait Signal comme plateforme de communication. [1]
    [1] https://news.ycombinator.com/item?id=42579873

    • Si c’est un service gouvernemental officiel, il devrait être soumis aux demandes FOIA et donc avoir l’obligation de conserver les documents, ce qui est intéressant
    • Elon utilise aussi Signal à titre personnel, donc si ce n’était qu’une erreur légitime et que ce n’est toujours pas corrigé, cela devrait l’être bientôt
  • Je suis presque certain que c’est parce que, si on supprime tout ce qui suit #, pratiquement tous les liens signal.me deviennent identiques
    Lors d’une requête HTTP(S), la partie située après # n’est jamais envoyée dans l’URL de la requête et n’est interprétée que par le navigateur web lui-même. Il est donc très probable que le système anti-spam ignore lui aussi entièrement le fragment de hachage
    Exemple de lien bloqué : https://signal.me/#eu/P01wpUmC4nT2BBTwMrPAw7Nxcp81055tKHGbYw...
    La version sans le hash est également bloquée : https://signal.me/
    Si on ajoute n’importe quel texte dans le chemin, le lien n’est pas bloqué. Exemple : https://signal.me/abc#eu/P01wpUmC4nT2BBTwMrPAw7Nxcp81055tKHG...

  • J’avais un peu de temps ce matin, donc j’ai créé un petit site simple pour partager des liens Signal sur X
    https://link-in-a-box.vercel.app
    N’hésitez pas à le partager si cela peut être utile à quelqu’un, et envoyez-moi vos retours si vous en avez

    • Ce commentaire monte puis se fait de nouveau downvoter ; si vous avez le temps, je vous serais reconnaissant de laisser un retour
      Des gens ont déjà commencé à l’utiliser, donc s’il y a un problème, j’aimerais pouvoir y répondre ou le corriger au besoin
  • Dans un contexte similaire, l’armée suédoise a recommandé aux personnels concernés par les affaires militaires d’utiliser Signal pour les appels et messages qui ne relèvent pas d’un niveau de confidentialité plus élevé
    https://cornucopia.se/2025/02/forsvarsmakten-infor-krav-pa-s... (en suédois)

  • Cet absolutisme de la liberté d’expression est vraiment impitoyable

  • La liberté d’expression pour vous, mais pas pour moi

    • Pourquoi, Musk peut au moins publier des liens Signal sur X sans problème ?
    • Certaines libertés d’expression sont plus libres que d’autres. /s
  • De ce côté-ci, je me demandais pourquoi la propriété de signal.me est assez bien dissimulée derrière Cloudflare et la confidentialité WHOIS
    Ce n’est pas une bonne idée pour un domaine d’infrastructure. Cela rend l’examen manuel plus difficile et encourage donc un surblocage persistant
    Il existe quand même une documentation officielle qui mentionne signal.me : https://support.signal.org/hc/en-us/articles/360007320291-Fi...
    Cette page est indexée par Bing, mais il semble que les moteurs de recherche traitent « signal.me » comme un mot vide