Guide d'autodéfense numérique

Tout d'abord, cette méthode reste vulnérable aux éventuelles attaques sur le chiffrement, dont on vient de parler et aux attaques sur Tor.

Mais il existe aussi quelques limites spécifiques aux conversations en temps réel. Ainsi, l'état « en ligne » ou « hors ligne » d'une identité est en général accessible publiquement. Un adversaire peut ainsi voir quand une identité est connectée, et éventuellement corréler plusieurs identités : parce qu'elles sont toujours en ligne en même temps ; ou au contraire parce qu'elles ne sont jamais en ligne en même temps mais souvent successivement, etc.

Pour que des identités apparaissent comme étant « toujours en ligne », il est possible d'utiliser un « ghost » ou proxy1 sur un ordinateur en qui l'on a confiance, qui est toujours allumé et connecté au serveur de messagerie instantanée. C'est ainsi cet ordinateur, et non pas le serveur, qui « voit » quand on est connecté ou pas, et cet état n'est plus public. La mise en place d'une telle infrastructure dépasse toutefois pour l'instant les ambitions de ce guide.

Ensuite, dans le cas particulier où l'anonymat (ou le pseudonymat) est prioritaire sur d'autres contraintes, par exemple si l'on souhaite discuter dans un salon public, d'autres limites s'ajoutent à celles évoquées ci-dessus. Ainsi, une identité contextuelle risque toujours de finir reliée à une identité civile, comme nous l'avons vu dans la partie sur les pseudonymes. En effet, même sous un pseudonyme, le fond et la forme de nos conversations peuvent en dire très long sur la personne se trouvant derrière le clavier.

Il est bon de garder en mémoire le fait que quand on essaye de définir une politique de sécurité lors d'une relation entre plusieurs personnes, que ce soit au téléphone, dans le cas d'échanges d'emails ou encore ici pour la messagerie instantanée, le niveau global de sécurité sera nivelé par le niveau de sécurité du protagoniste le moins précautionneux. En effet, si l'on prend par exemple soin d'utiliser Tails afin de ne laisser aucune trace de notre conversation sur l'ordinateur, alors que notre interlocuteur utilise son système d'exploitation habituel sans protection particulière, alors ce dernier sera sans doute le point le plus faible de la politique de sécurité de notre communication.

Enfin, comme cela a déjà été dit, le chiffrement OTR ne permet pas à l'heure actuelle de converser à plus de deux à la fois. Des recherches avancent cependant dans ce sens2.

En attendant, et à condition d'aimer bidouiller, il est d'ores et déjà possible de mettre en place son propre serveur de messagerie instantanée (par exemple XMPP) sur un service caché Tor.