Le XMPP est un protocole utilisé essentiellement pour les solutions de messagerie, mais son usage peut être plus général. Dans un monde marqué par l’actualité sur la sécurité des données, la XMPP Standards Foundation a annoncé lundi le démarrage d’une opération visant le chiffrement des connexions pour un maximum de services utilisant le protocole.
XMPP, un protocole largement utilisé
XMPP, pour Extensible Messaging and Presence Protocol, est en fait l’ancien Jabber. Ce protocole est utilisé par de nombreuses entreprises. Par exemple, Google l’utilise comme fondement de son système de messagerie depuis des années. Facebook assure également une compatibilité XMPP depuis longtemps, mais avec une date d’arrêt fixée au 30 avril 2015. IBM, Oracle, Cisco ou même encore Apple disposent de produits qui utilisent ou sont compatibles avec XMPP.
Si XMPP est largement utilisé, il n’obéit pas strictement à un organe centralisé. Il s’agit d’un protocole ouvert que les entreprises peuvent manier comme bon leur semble. Deux produits utilisant XMPP ne sont ainsi pas nécessairement compatibles entre eux. Google par exemple n’utilise pas toutes les fonctionnalités du protocole. Une discussion entre un compte Google et un autre, utilisant un serveur XMPP plus complet, ne permettra donc pas de réaliser toutes les actions possibles.
Le début d'un effort généralisé de chiffrement des données
La situation pourrait devenir plus complexe pendant un certain temps. La XMPP Standards Foundation a en effet préparé depuis longtemps le terrain pour mettre en place un chiffrement des données chez autant d’acteurs que possible. Une étape importante dans un monde particulièrement marqué par les actualités sur les fuites de données et failles de sécurité, sans parler de l’impact du vol des documents de la NSA par le lanceur d’alertes Edward Snowden.
Cet effort de chiffrement concerne avant tout les communications client/serveur et n’est d’ailleurs qu’une première étape, même si elle est cruciale. Dans la pratique, cela touche essentiellement les serveurs car la plupart des clients gèrent le chiffrement des données. En fonction du service que vous utilisez, il est possible que vous rencontriez certaines difficultés en ce moment, les changements étant appliqués depuis lundi.
TLS 1.2 est à préférer pour tous les échanges
Les échanges qui ne le faisaient pas vont donc employer désormais TLS (Transport Layer Security). Le chiffrement des connexions ne représente évidemment pas la solution ultime pour protéger les données dans tous les cas de figure. Comme le précise cependant la XMPP Standards Foundation, cette étape devrait être suffisante pour couper court aux mécanismes passifs de capture des données. C’est d‘autant plus le cas que TLS doit être utilisé également pour les communications entre les serveurs.
La « promesse » demandée par la fondation était un manifeste dont la forme finale a été proposée en mars. Elle fait le constat qu’en dépit de la compatibilité avec SSL et TLS, ces deux protocoles ne sont pas utilisés de manière systématique. Elle donne donc une liste de points à respecter, dont :
- L’utilisation de la méthode STARTTLS
- L’utilisation, si possible, de la version 1.2 de TLS, mais en prévoyant une compatibilité descendante vers les versions 1.1 et 1.0, de même qu’avec SSLv3
- Désactiver le support de SSLv2
- La mise en place, si possible, de certificats pour les communications entre serveurs, afin que le chiffrement soit authentifié
Ceux qui souhaitent en savoir davantage sur la sécurité des services de messagerie basés sur XMPP pourront se rendre sur le site XMPP.net qui a mis en place un véritable observatoire sur la question. Le site distribue une note, sous la forme d'une lettre, le plus haut grade étant A. Pour l'obtenir avec une installation de Prosody sous Debian, il faut suivre ces recommandations (merci @Skhaen).
Une promesse relativement bien suivie
Il est délicat de dire aujourd’hui qui utilise TLS et qui ne le fait pas. Le protocole est un standard que chacun peut utiliser librement, et la situation n’est donc pas comparable par exemple avec l’API Twitter, sur laquelle un contrôle strict s’exerce. Cependant, d’après l’annonce de la fondation plus de 70 développeurs et opérateurs de services ont répondu présent. Des noms connus y figurent d’ailleurs, tels que Jeremie Miller, créateur de Jabber, Thijs Alkemade, développeur en chef d’Adium (client multi-protocole sous OS X) ou encore George Hazan, créateur du client Miranda. La liste complète peut être consultée sur cette page.
Et ensuite ? Pour l’instant, le programme est flou. Dans la promesse, la XMPP Standards Foundation indique que le chiffrement des communications n’est qu’une « précondition » à l’arrivée « d’autres améliorations de la sécurité », sans préciser lesquelles. Elle donne toutefois quelques pistes en précisant que le chiffrement ne doit pas empêcher la mise en place de mesures complémentaires, telles que le chiffrement de bout en bout, l’authentification forte, la sécurisation des DNS ou encore la vérification des identités des serveurs.
