BitTorrent n'en finit pas d'accumuler les projets et a cette fois décidé de s'attaquer à la sécurité de nos échanges. En effet, la société lance une alpha privée pour le programme BitTorrent Chat, sans que l'on sache exactement de quoi il en retourne pour le moment.
Le client Enigmail permet, tout comme Claws Mail, de chiffrer vos échanges depuis un moment déjà
Chiffrer vos messages, même en instantané : des solutions existent déjà
Avec l'affaire Prism, les outils permettant le chiffrement ont le vent en poupe. Bien qu'il existe des solutions éprouvées depuis des décenies, comme les certificats S/MIME pour les emails, ou PGP/GPG pour ceux qui préfèrent les versions décentralisées et exploitables pour de nombreuses applications, chacun veut proposer sa propre alternative.
Pour ce qui est de la messagerie instantanée, il existe ainsi actuellement CryptoCat que nous avons largement traité dans nos colonnes, ou ce que propose le Guardian project comme Gibberbot. Cette application mobile permet de chiffrer vos échanges effectués depuis votre smartphone Android via différents réseaux tels que Facebook, Gtalk, Jabber, etc. Une possibilité que l'on retrouve sur un PC de bureau avec des outils open source tels que Jitsi ou le couple Pidgin / OTR par exemple.
Plus récemment, de nouveaux protocoles exploitant par exemple celui de Bitcoin sont aussi arrivés sur le marché. C'est notamment le cas de BitMessage que nous avions déjà évoqué et qui s'adresse plutôt à ceux qui veulent remplacer les emails. Laurent Chemla a de son côté décidé de relancer le projet Caliop.
BitTorrent veut aussi rentrer dans la course
Mais désormais, il faudra aussi semble-t-il compter avec BitTorrent qui veut exploiter son réseau pour échanger des messages. Une application a ainsi été annoncée dans ce sens, via un programme d'Alpha privée dont on ne sait pour le moment rien. Pour l'inscription, ça se passera par là.
Pour les plus curieux, sachez que le blog de BitTorrent référençait récemment une explication de la manière d'exploiter Sync pour échanger des messages. C'est sans doute de là qu'est partie l'idée de créer un client de messagerie... ou pas. Espérons quoi qu'il en soit que nous aurons bientôt des nouvelles et du concret à analyser.
La sécurité des échanges n'a-t-elle pas plutôt besoin d'un standard libre et fort ?
Mais au final, la multiplication de ces solutions ne va sans doute pas totalement dans le bon sens. En effet, tout l'intérêt d'un bon service de messagerie est sans aucun doute dans sa capacité à se rendre disponible sur un grand nombre de plateformes et à pouvoir permettre de converser facilement avec plusieurs contacts. Si chacun opte pour une manière de faire différente, il faudra multiplier les outils et donc complexifier la pratique au quotidien, ce qui va rarement dans le sens d'une bonne gestion de la sécurité.
Bien que l'intérêt de creuser différentes pistes existe, celui des solutions actuelles réside dans leur capacité à exploiter des canaux de communication habituels tout en leur rajoutant une couche de chiffrement contrôlée par l'utilisateur et qui répond à des standards éprouvés. Il faudra donc désormais attendre quelques mois afin de voir lesquelles de ces initiatives aboutissent, et surtout ce qui sera réellement exploitable au quotidien.
Commentaires (24)
#1
Je suis clairement pas d’accord : la multiplication des solutions EST une bonne chose. En cas de compromission d’un de ces systèmes, tout le monde n’aura pas ses messages compromis.
#2
Ce qui m’ennuie, c’est qu’il y a dérives dans la surveillance et dans la sécurisation…
" />
Tout comme alarmes VS vols/dégradations, armes/agressions…
Ce monde me plait de moins en moins.
#3
Le gros avantage d’avoir plusieurs solutions pour sécuriser les échanges c’est qu’il faut casser les sécurités de chaque solution au cas par cas et donc prendre du temps pour analyser le système et trouver le hack. Si on avait qu’un seul et unique moyen il serait plus simple de se concentrer sur le sujet pour trouver les failles.
" />
Je pense pas que l’on va trouver une solution infaillible pour sécuriser les échanges et même si on la trouve il y aura toujours des failles dans l’implémentation en fonction des outils utilisés.
Donc pour l’instant multiplions les différents moyens et donnons un max de boulot à la NSA et DGSE pour casser tous ces différents moyens
#4
@Darkzealot : Les spécialistes de la cryptographie sont unanimes. Les protocoles cryptographiques existants (méthodes de chiffrement, méthodes d’échange de clés) n’ont pas été compromis. L’implémentation de certaines de ces méthodes ont été affaiblies délibérément, la plupart du temps en attaquant le générateur de nombres aléatoires. Les tentatives de création d’un “nouveau” protocole de chiffrement par des non-spécialistes sont en général encore plus facilement craquables que les protocoles délibérément affaiblis…
En clair : le meilleur moyen de donner un max de boulot à la NSA/DGSE c’est d’implémenter correctement les protocoles existants et pas d’en inventer des nouveaux avec trois bouts de ficelle.
Il est donc urgent de définir une plate-forme libre et ouverte avec plusieurs implémentations du même protocole de chiffrement plutôt que 36 outils bricolés et incompatibles entre eux.
#5
#6
Il est fort probable que Bittorrent Chat s’appuie sur des méthodes de chiffrement déjà existantes et ne réinvente pas la roue…
En plus décrypter un message chiffré avec telle méthode, ça ne veut pas dire qu’on peut ensuite lire tous les messages chiffré avec cette méthode facilement. C’est là toute la beauté des méthodes modernes, il faut passer du temps et de l’argent à réussir à tout décrypter.
#7
#8
#9
#10
Ce que je voulais souligner, c’est que contrairement à ce que laisse sous-entendre kane13, si une clé privée est compromise, tout le monde ne voit pas ses messages compromis. Ça n’a rien à voir avec la multiplication des systèmes.
#11
#12
#13
Multiplier les algos pour donner plus de boulot à le NSA ?
Votre objectif c’est quoi ? pousser la NSA à bosser plus, ou réussir à sécuriser vos échanges ?
Dans la situation actuelle il est quasi impossible de se baser sur ces solutions, car tout le monde utilise skype et les emails. Si vous voulez pouvoir discuter avec des personnes “normales” il FAUT malheureusement abandonner la sécurité…
Et tant que les messageries sécurisées seront aussi fragmentées, il y a peu de chances que ça évolue… du coup vous préférez avoir 50 solutions sûres mais inutilisables au quotidien, ou un standard qui s’appliquerai à tous les échanges ?
Pour moi le choix est vite fait !
je ne critique pas le fait de chercher de nouvelles solutions hein, mais c’est pas ça qui permettra la généralisation des solutions sécurisées.
#14
#15
#16
#17
#18
#19
#20
#21
J’ai cru lire que ça sera compatible avec SIP.
Sinon c’est pas très fragmenté non plus. Déjà Bitmessage est assez remis en cause et le reste c’est du chiffrement OTR.
#22
#23
#24
Ne jamais oublier que les applications du groupe BitTorrent ne sont pas open-source.
Donc faire de la crypto sans pouvoir auditer le code n’est vraiment pas encourageant pour la qualité de ce soft.
Je vais personnellement rester sur les alternatives ouvertes, certes parfois moins connues mais bien plus dans l’esprit lié à la sécurité.