Les utilisateurs de X ne peuvent pas publier de liens « Signal.me »
(disruptionist.com)- X empêche la publication de liens Signal.me, le domaine de contact direct de Signal, dans les DM, les publications publiques et la bio des profils
- Selon l’environnement, comme le Web ou l’app iPhone, le blocage affiche des messages d’erreur tels que « potentiellement dangereux », « semble être une requête automatisée » ou « Description is considered malware »
- Les liens Signal.me déjà publiés ne sont pas complètement bloqués, mais il faut passer par une page d’avertissement de la URL Policy de X pour y accéder
- Le blocage semble ciblé sur Signal.me ; des liens similaires comme Signal.org ou les URL de contact Telegram semblent autorisés
- Il reste possible de publier un identifiant Signal.me sous forme de texte, que les utilisateurs peuvent ensuite copier-coller dans l’app Signal
Les liens Signal.me bloqués sur X
- X bloque la publication de liens vers le domaine Signal.me, que les utilisateurs de Signal partagent pour être contactés directement dans l’app
- Le blocage couvre les DM, les publications publiques et la bio du profil
- Lorsqu’on tente de publier, différents messages d’échec s’affichent selon l’environnement utilisé
- « We can’t complete this request because this link has been identified by X or our partners as being potentially harmful »
- « This request looks like it might be automated »
- Lorsqu’on tente de l’ajouter à la bio du profil, le message « Account update failed. Description is considered malware » s’affiche
- Les liens Signal.me déjà publiés ne redirigent pas directement lorsqu’on clique dessus et passent par une page d’avertissement
- X indique que le lien a été identifié comme « potentially spammy or unsafe »
- L’utilisateur peut ignorer l’avertissement et cliquer sur un lien supplémentaire pour accéder à l’URL Signal.me d’origine
Périmètre confirmé et solutions de contournement restantes
- On ne sait pas exactement quand le blocage a commencé, mais il était auparavant possible d’inclure des liens Signal.me dans des publications publiques et dans la bio du profil
- L’impact semble limité aux URL Signal.me
- D’autres liens Signal, comme Signal.org, ne semblent pas bloqués
- Des liens similaires vers des services tiers, comme les URL de contact Telegram, sont autorisés sur X
- Le chercheur en sécurité Mysk a découvert ce problème pour la première fois dans la nuit du 16 février 2025, et le blocage a été confirmé dans les DM, les publications et la bio des profils
- Signal est depuis longtemps utilisé comme principal canal de contact privé entre journalistes et lanceurs d’alerte
- Les messages sont chiffrés de bout en bout
- Le contenu est stocké sur les appareils et n’est pas conservé dans le cloud des serveurs de Signal
- Ces dernières semaines, Signal a aussi joué un rôle important lorsque des employés fédéraux ont contacté des journalistes au sujet de l’accès du DOGE d’Elon Musk aux données de plusieurs agences gouvernementales
- Actuellement, les utilisateurs de Signal peuvent publier leur identifiant Signal en texte sur X, et les autres utilisateurs peuvent le copier puis le coller dans l’app Signal
1 commentaires
Avis sur Hacker News
Je ne cherche pas à défendre Twitter ni sa politique, mais cela pourrait aussi être une erreur légitime
À l’échelle de Twitter, la protection et la détection des URL non sûres sont généralement automatisées, et cela pourrait ressembler aux cas où des raccourcisseurs d’URL entiers étaient bloqués à cause de certains malwares, tentatives de phishing ou contenus interdits
À mesure que Signal grandit, les liens signal.me apparaissent davantage sur Twitter, et même si la plupart sont légitimes, le nombre de liens illégaux peut lui aussi avoir augmenté au point de déclencher un blocage automatique
Le vrai problème, c’est que même si c’était intentionnel, Twitter peut facilement se cacher derrière « une automatisation excessive et désolé », surtout si, après le rachat de Twitter, les experts concernés sont partis ou ont été licenciés et que l’automatisation n’a plus été correctement maintenue ni ajustée
Si l’on considère comme de « l’efficacité » le fait de ne plus garder assez de personnel pour remarquer qu’un fragment d’URL et un hashtag utilisent le même symbole, alors ce genre de personne ne devrait même pas approcher d’une organisation liée à « l’efficacité gouvernementale »
https://signal.me/#eu/fdy5h1miMifXa...
Le hash de l’URL (la partie après
#) n’est souvent pas considéré comme une partie significative de l’URL par les systèmes automatisés. À l’origine, le hash sert à désigner un emplacement précis dans la page web chargée par l’URL précédenteSi un lien Signal.me a été signalé pour une raison valable, comme un malware ou un contenu illégal, il est tout à fait possible qu’un système automatisé ait supprimé le hash puis bloqué tout le domaine, dont le chemin n’est en pratique que
/Il sera intéressant de voir s’ils corrigent et annulent cela. Sinon, on pourra être assez sûr que c’était intentionnel
Même si le traitement est automatisé, lorsqu’elle rencontre des URL comme signal.me, bit.ly ou goo.gl, elle devrait d’abord faire un
GETpuis appliquer l’algorithme à la cible indiquée dans l’en-têteLocationNe pas faire cela pour un raccourcisseur d’URL aussi largement utilisé que signal.me montre une incompétence technique
Les Américains utilisent encore X ? Si oui, je me demande pourquoi. Rester sur cette plateforme, ce n’est pas rapprocher un peu plus son propriétaire de la destruction de son propre pays ?
C’est pareil pour les jeux multijoueurs, les lieux de rencontre et les tiers-lieux
Dans beaucoup de groupes, xitter est la plateforme par défaut. Par exemple, les artistes de contenus pour adultes au style anime l’utilisent comme principal canal de publication, et beaucoup d’entreprises y publient des informations immédiates comme les pannes de service ou les changements d’horaires. Rien que cela suffit largement à expliquer pourquoi les gens restent
J’imagine aussi que beaucoup d’amis ou de membres de la famille non techniques ne publient que sur un seul réseau social. Il m’est déjà arrivé de créer des comptes un peu partout juste pour continuer à suivre de vieux amis
Je me demandais ce qu’étaient exactement les liens signal.me, alors j’ai cherché, et il semble que les détails soient ici
https://signal.miraheze.org/wiki/Signal.me_URLs
https://signal.miraheze.org/wiki/Usernames#Username_links
Les liens Signal.me ne sont qu’un moyen simple d’envoyer son numéro de téléphone ou son nom d’utilisateur à d’autres personnes, sans vérification d’identité cryptographique et sans protection du numéro de téléphone ou du nom d’utilisateur. Pour contourner le blocage, les utilisateurs de Signal peuvent simplement envoyer leur numéro ou leur nom d’utilisateur sur Twitter/X
Le format de nom d’utilisateur chiffré est révocable et offre donc une certaine protection de l’identité, mais tant qu’il est actif, il semble que quelqu’un puisse demander aux serveurs de Signal quel nom d’utilisateur y est associé
Il vaudrait de toute façon mieux ne pas utiliser Twitter/X pour ce genre d’usage. Des alternatives comme Mastodon viennent à l’esprit, mais en réalité, à peu près n’importe quoi d’autre serait préférable
Ce n’est pas l’explication la plus étrange pour défendre les politiques de censure d’Elon Musk et de X, mais elle est clairement dans le top 5
C’est particulièrement ironique quand on sait que DOGE utiliserait Signal comme plateforme de communication. [1]
[1] https://news.ycombinator.com/item?id=42579873
Je suis presque certain que c’est parce que, si on supprime tout ce qui suit
#, pratiquement tous les lienssignal.medeviennent identiquesLors d’une requête HTTP(S), la partie située après
#n’est jamais envoyée dans l’URL de la requête et n’est interprétée que par le navigateur web lui-même. Il est donc très probable que le système anti-spam ignore lui aussi entièrement le fragment de hachageExemple de lien bloqué : https://signal.me/#eu/P01wpUmC4nT2BBTwMrPAw7Nxcp81055tKHGbYw...
La version sans le hash est également bloquée : https://signal.me/
Si on ajoute n’importe quel texte dans le chemin, le lien n’est pas bloqué. Exemple : https://signal.me/abc#eu/P01wpUmC4nT2BBTwMrPAw7Nxcp81055tKHG...
J’avais un peu de temps ce matin, donc j’ai créé un petit site simple pour partager des liens Signal sur X
https://link-in-a-box.vercel.app
N’hésitez pas à le partager si cela peut être utile à quelqu’un, et envoyez-moi vos retours si vous en avez
Des gens ont déjà commencé à l’utiliser, donc s’il y a un problème, j’aimerais pouvoir y répondre ou le corriger au besoin
Dans un contexte similaire, l’armée suédoise a recommandé aux personnels concernés par les affaires militaires d’utiliser Signal pour les appels et messages qui ne relèvent pas d’un niveau de confidentialité plus élevé
https://cornucopia.se/2025/02/forsvarsmakten-infor-krav-pa-s... (en suédois)
Cet absolutisme de la liberté d’expression est vraiment impitoyable
La liberté d’expression pour vous, mais pas pour moi
De ce côté-ci, je me demandais pourquoi la propriété de signal.me est assez bien dissimulée derrière Cloudflare et la confidentialité WHOIS
Ce n’est pas une bonne idée pour un domaine d’infrastructure. Cela rend l’examen manuel plus difficile et encourage donc un surblocage persistant
Il existe quand même une documentation officielle qui mentionne signal.me : https://support.signal.org/hc/en-us/articles/360007320291-Fi...
Cette page est indexée par Bing, mais il semble que les moteurs de recherche traitent « signal.me » comme un mot vide