Guide d'autodéfense numérique

Mises à jour : les logiciels évoluent, c'est pourquoi il est vivement conseillé d'utiliser la version la plus à jour de cet outil, qui est disponible sur le site web https://guide.boum.org/.

Durée : une demi-heure à une heure.

L'objectif de cet outil est de dialoguer avec une personne en utilisant la messagerie instantanée avec chiffrement et authentification. On va pour cela utiliser le protocole OTR1 qui permet d'ajouter chiffrement, authentification et confidentialité persistante2 à nombre de protocoles de messagerie instantanée.

Installer le client de messagerie instantanée Pidgin

On va utiliser pour cela le client de messagerie Pidgin. En effet, il dispose d'une bonne prise en charge du chiffrement OTR. De plus, il permet d'utiliser différents protocoles de messagerie instantanée, comme XMPP ou IRC, parmis d'autres3. Ce logiciel est installé dans le système live Tails, mais seuls les protocoles XMPP et IRC y sont pris en charge, les autres étant difficiles à anonymiser. Sur une Debian chiffrée, il faudra commencer par installer les paquets pidgin ainsi que pidgin-otr.

Lancer Pidgin

Pour ouvrir le logiciel de messagerie instantanée, ouvrir la vue d'ensemble des activités en appuyant sur la touche Logo, en tapant ensuite pidg, enfin en cliquant sur Messagerie Internet Pidgin.

Configurer un compte de messagerie

Lorsqu'on ouvre Pidgin et qu'aucun compte de messagerie n'est configuré, une fenêtre propose d'ajouter un nouveau compte.

Pour configurer un nouveau compte, cliquer sur le bouton Ajouter....

Une fenêtre Ajouter un compte s'ouvre. Si l'on dispose déjà d'un compte de messagerie instantanée, fournir les informations nécessaires concernant ce compte, en commençant par sélectionner le Protocole que l'on souhaite utiliser. Sinon, il nous faut créer un compte, comme nous l'expliquons dans la partie suivante.

Créer un compte de messagerie instantanée

Si l'on ne dispose pas de compte de messagerie instantanée, c'est le moment d'en créer un. Tout comme pour un compte mail, un identifiant et une phrase de passe seront nécessaires. Pour éviter d'utiliser tout le temps la même ou bien de risquer de l'oublier, il est possible d'utiliser un gestionnaire de mots de passe.

Certains fournisseurs d'adresses email, comme le collectif états-unien Riseup, proposent un compte de messagerie instantanée4 à toute personne y disposant d'une adresse email tout comme un compte Facebook donne accès à la messagerie instantanée du site, Facebook Messenger.

On peut utiliser des serveurs communautaires où l'inscription est libre. Par exemple, une liste de serveurs XMPP5 libres est disponible sur le site jabberfr.org6. Une fois un serveur choisi et les informations nécessaires7 entrées dans la fenêtre de Pidgin, cocher la case Créer ce nouveau compte sur le serveur.

Il est aussi possible de se connecter à des serveurs du protocole IRC8 sans disposer de compte9.

Chiffrer la connexion au serveur XMPP

Par défaut, Pidgin configure le nouveau compte pour qu'il chiffre la communication avec le serveur XMPP. Si le certificat est bien signé par une Autorité de Certification, la connexion se déroulera sans problème, et Pidgin enregistrera le certificat du serveur XMPP dans sa configuration.

Si le certificat du serveur n'est pas signé, ou que pour une raison ou une autre Pidgin n'arrive pas à vérifier son authenticité, il est alors nécessaire de mettre en place les mêmes techniques que lors de la vérification d'un certificat dans son navigateur web, sans quoi un aversaire pourrait usurper l'identité du serveur.

Dans ce cas, lors de votre première connexion, Pidgin affichera une fenêtre demandant si l'on veut Accepter le certificat pour  ? Il expliquera également la raison pour laquelle il n'a pas voulu accepter le certificat (Le certificat est auto-signé. Il ne peut être vérifié automatiquement, si par exemple le certificat n'est pas signé par une Autorité de Certification). En cliquant sur Voir le certificat..., Pidgin affichera l'empreinte numérique de celui-ci, vous permettant de le vérifier.

Activer le plugin Off-the-Record

Dans le menu Outils de Pidgin, cliquer sur Plugins. Trouver la ligne « Messagerie confidentielle 'Off-the-Record' » et cocher la case correspondante pour activer le plugin. Il est possible en cliquant sur Configurer le plugin de choisir certaines options telles que Ne pas archiver les conversations d'OTR.

Mettre en place une conversation privée

Ajouter un contact ou rejoindre un salon

En fonction de notre situation, nous allons soit devoir ajouter le contact auquel nous souhaitons parler dans Pidgin, soit devoir rejoindre le salon dans lequel le trouver.

Ajouter un contact

Pour ajouter un contact dans Pidgin, cliquer sur Contacts dans la barre de menu du logiciel et aller à Ajouter un contact.... Remplir ensuite les informations correspondantes de notre contact et cliquer sur Ajouter pour finir.

Il ne nous reste plus qu'à attendre que cette personne soit en ligne.

Rejoindre un salon

Si au contraire l'on veut rejoindre un salon dans lequel se trouvera sans doute la personne avec qui l'on veut converser, cliquer sur Contacts dans la barre de menu du logiciel et aller à Rejoindre une discussion.... De la même manière, remplir les informations nécessaire et enfin cliquer sur Discuter.

Commencer une conversation privée

Pour commencer une conversation privée, double-cliquer sur un nom se trouvant dans la colonne de droite de la fenêtre d'un salon de discussion où l'on se trouve ou bien cliquer sur le nom de notre partenaire dans la fenêtre principale de Pidgin. Une fenêtre de conversation s'ouvre. Cliquer alors sur le menu OTR → Commencer une conversation privée.

Si c'est la première fois qu'on utilise OTR avec ce compte, Pidgin va alors générer une clé privée et afficher une fenêtre Génération de la clé privée. Cette clé est unique pour un compte donné. Si l'on possède plusieurs comptes de messagerie instantanée, on aura donc plusieurs clés. Lorsqu'elle affiche que la génération de cette clé est effectuée, on peut fermer cette fenêtre en cliquant sur Valider.

Pidgin affiche alors Alice n'a pas encore été authentifiée. Vous devriez authentifier ce contact. Cela signifie que notre conversation est chiffrée, mais qu'un adversaire pourrait se faire passer pour Alice. Pour être sûr de parler avec Alice, il faut l'authentifier.

Authentifier un correspondant

Pour authentifier un correspondant, il faut soit s'être mis d'accord au préalable sur un secret, soit disposer d'un moyen de communication autre que la messagerie instantanée, que l'on considère comme sûr. Ce moyen peut être une conversation de vive-voix, un email chiffré, etc.

OTR propose trois façons d'authentifier un contact :

  • par question-réponse : on définit une question et sa réponse. La question étant ensuite posée à notre correspondant ;

  • avec un secret partagé : un secret connu uniquement des deux interlocuteurs est demandé afin de vérifier qu'on dialogue bien avec la personne escomptée ;

  • grâce à la vérification manuelle de l'empreinte : on vérifie que l'empreinte de la clé de la personne avec qui l'on s'apprête à avoir une conversation chiffrée est la même que celle qui nous a été fournie par un moyen authentifié.

Une fois les secrets, les questions-réponses ou les empreintes échangés, cliquer sur le menu OTR → Authentifier le contact. Choisir la méthode d'authentification en-dessous de Comment désirez-vous authentifier votre contact ?, puis répondre aux questions. Enfin, cliquer sur Authentifier.

Si l'authentification est réussie, le statut de la conversation devient Privé, ce qui signifie qu'elle est non seulement chiffrée, mais aussi authentifiée.

Si l'on utilise un système non-live ou que l'on a activé la persistance de Pidgin dans Tails, cette étape d'authentification n'est à effectuer qu'une fois pour toutes pour un contact donné.

Terminer une conversation

Une fois notre dialogue terminé, cliquer sur le menu OTR → Terminer la conversation privée. Cela efface la clé de chiffrement temporaire générée pour cette conversation de la mémoire vive de l'ordinateur. Même si un adversaire obtenait nos clés privées, il lui serait alors impossible de déchiffrer la conversation a posteriori.


  1. Wikipédia, 2014, Off-the-Record Messaging

  2. La confidentialité persistante est une propriété en cryptographie qui garantit que la découverte par un adversaire de la clé privée d'un correspondant ne compromet pas la confidentialité d'une communication passée qui aurait été interceptée. (Wikipédia, 2017, Confidentialité persistante).

  3. Pour une liste exhaustive des protocoles pris en charge par Pidgin, se référer à leur site web (en anglais).

  4. riseup.net, 2013, Chat Riseup.

  5. Wikipédia, 2014, Extensible Messaging and Presence Protocol

  6. Liste de serveurs XMPP communautaires

  7. Pour plus de détails sur les informations à renseigner pour créer un compte XMPP, voir le site de Linuxpedia

  8. Wikipédia, 2014, Internet Relay Chat

  9. irchelp.org, 2012, IRC Networks and Server Lists (en anglais).