De la même façon que le réseau Tor propose son propre navigateur basé sur Firefox, il met désormais à disposition un client de messagerie : Tor Messenger. Il utilise les fondations d’InstantBird, soutenu par Mozilla, et se veut un compromis idéal entre facilité d’utilisation et sécurité.
Le réseau Tor est célèbre pour son anonymisation des communications. Les utilisateurs qui s’y connectent peuvent s’y estimer protégés, l’objectif étant de chiffrer les comunications et de faire rebondir les requêtes jusqu’à ce que l’adresse IP ne puisse plus être retrouvée. Dans la pratique, on sait que cette protection n’est pas absolue et que la NSA notamment possède différentes techniques pour s’insérer dans le réseau.
Reprendre une solution existante et y ajouter un client Tor
Le réseau utilise déjà les bases de Firefox ESR (une mouture disposant d’un support prolongé) pour son Tor Browser. L’idée est de simplifier au maximum l’utilisation du réseau puisque l’activation de la connexion se fait au travers d’un petit bouton qu’il suffit de cliquer. Le concept est le même pour la première bêta de Tor Messenger : bâtir sur l’existant et réorienter les communications vers le réseau Tor pour les chiffrer et les rendre anonymes.
Comme expliqué dans le billet de l’annonce officielle, l’équipe indique qu’elle ne voulait pas réinventer la roue. Elle a donc repris le client de messagerie InstantBird de Mozilla, permettant déjà une connexion à divers services de messagerie tels que XMPP, Yahoo, Google, ICQ, Facebook et ainsi de suite. Le code a été modifié pour y intégrer un client de connexion au réseau Tor.
L’équipe précise qu’elle a bien considéré d’autres clients tels que Pidgin ou le xmpp_client d’Adam Langley. Le choix d’InstantBird semblait cependant évident, pour plusieurs raisons. D’une part, il est écrit en bonne partie en JavaScript, un langage memory-safe, ce qui intéressait particulièrement les développeurs. D’autre part, l’interface graphique était séparée et déjà en place, manipulable donc facilement. Enfin, il s’agit d’un logiciel XUL et les développeurs ont déjà une certaine expertise de ce langage avec Tor Browser.
Messenger veut laisser aussi peu de traces que possible
L’idée générale est donc de permettre aux utilisateurs de se servir de leurs comptes habituels, mais en ajoutant une couche importante de sécurité. Le protocole OTR (Off-the-Record) est donc présent et actif par défaut, les communications transitant donc par le réseau et en émergeant vers les contacts classiques. Il y a évidemment une limitation à ce fonctionnement, car les serveurs gérant les différents services sont centralisés, ce qui signifie que du côté du correspondant, la liste des contacts et certaines informations sont théoriquement consultables.
L’important est toutefois que les communications elles-mêmes et l’adresse IP sont masquées, ce qui correspond d’ailleurs à l’objectif central de Tor. D’ailleurs, Tor Messenger désactive par défaut l’historique local des conversations, la philosophie étant que le client servira pour des conversations éphémères, comme si elles avaient été tenues dans une pièce secrète à l’abri des regards entre deux personnes.
L’équipe note bien qu’il existe des solutions plus sécurisées comme Pond et Ricochet, mais elles nécessitent de rebâtir complètement le réseau de contacts, et donc d’inviter ses connaissances à installer un nouveau client. D’autres solutions comme Pidgin et Adium pouvaient également se servir du protocole OTR, mais uniquement sous forme de plugin. Là encore, l’équipe tenait à fournir un petit logiciel ne nécessitant pas de manipulations supplémentaires.
De fait, cette première bêta est disponible sous Windows, OS X et Linux, en moutures 32 et 64 bits pour ce dernier. Le code est bien évidemment en open source et est disponible depuis ce dépôt Github. Dans son annonce, l’équipe explique que la priorité sera donnée dans tous les cas à la sécurité. La phase bêta va se poursuivre avec de nombreux correctifs et de nouvelles versions seront diffusées sur une base régulière. Cependant, le modèle de distribution se calera à terme sur le cycle ESR de Mozilla, comme pour le Tor Browser finalement.
Une bêta au fonctionnement parfois erratique
L’arrivée de Tor Messenger a le potentiel de créer un impact conséquent. Le fait qu’il puisse être utilisé avec les comptes de messagerie existants en fait un candidat sérieux à une utilisation de masse, si l’on met de côté une interface que certains risquent de trouver assez vieillotte. Cela étant, ce point a largement le temps d’évoluer. Rappelons également qu’il ne s’agit que d’une première bêta et que des bugs et surtout des failles peuvent exister.
Pour télécharger Tor Messenger, on pourra utiliser l’un des liens suivants :
De notre côté, on signalera tout de même que Tor Messenger aura fort à faire avec l’utilisation très massive des messageries mobiles, comme WhatsApp, Viber, Telegram et Facebook Messenger (dont les conversations peuvent être chiffrées via Cryptocat).
D’autre part, le fonctionnement du client sous Windows 10 semble parfois poser problème. Nous avons ainsi rencontré des plantages sur la version finale du système, tandis que le logiciel refuse catégoriquement de se lancer sur la dernière build 10576 publiée hier soir. De plus, les tentatives de connexion aux réseaux peuvent échouer selon les paramètres de sécurité, notamment quand l'authentification à deux facteurs est active.
