Chapitre 46 Utiliser la messagerie instantanée avec OTR

Durée : Une demi-heure à une heure.

L’objectif de cet outil est de dialoguer avec une personne en utilisant la messagerie instantanée avec chiffrement et authentification. On va pour cela utiliser le protocole OTR469, qui permet d’ajouter chiffrement, authentification et confidentialité persistante à nombre de protocoles de messagerie instantanée.

Afin de pouvoir utiliser OTR pour dialoguer avec notre correspondante, il faut qu’elle aussi active OTR dans son logiciel de messagerie instantanée. Pour cela, elle pourra donc aussi suivre les indications présentées dans ce chapitre.

46.1 Installer le client de messagerie instantanée Pidgin

On va utiliser pour cela le client de messagerie Pidgin. En effet, il dispose d’une bonne prise en charge du chiffrement OTR. De plus, il permet d’utiliser différents protocoles de messagerie instantanée, comme XMPP470 ou IRC471, parmi d’autres472. Ce logiciel est installé dans le système live Tails, mais seuls les protocoles XMPP et IRC y sont pris en charge, les autres étant difficiles à anonymiser. Sur une Debian chiffrée, il faudra commencer par installer les paquets pidgin ainsi que pidgin-otr.

46.2 Lancer Pidgin

Pour ouvrir le logiciel de messagerie instantanée, ouvrir la vue d’ensemble des activités en appuyant sur la touche ( sur un Mac), en tapant ensuite pidgin, enfin en cliquant sur Messagerie internet Pidgin.

46.3 Configurer un compte de messagerie

Lorsqu’on ouvre Pidgin et qu’aucun compte de messagerie n’est configuré, une fenêtre propose d’ajouter un nouveau compte.

Pour configurer un nouveau compte, cliquer sur le bouton Ajouter….

Une fenêtre Ajouter un compte s’ouvre. Si l’on dispose déjà d’un compte de messagerie instantanée, fournir les informations nécessaires concernant ce compte, en commençant par sélectionner le Protocole que l’on souhaite utiliser.

46.4 Créer un compte de messagerie instantanée XMPP

Tout comme pour un compte mail, un identifiant et une phrase de passe seront nécessaires. Pour éviter d’utiliser tout le temps la même ou bien de risquer de l’oublier, il est possible d’utiliser un gestionnaire de mots de passe.

On peut utiliser des serveurs communautaires où l’inscription est libre. Par exemple, des listes de serveurs XMPP libres sont disponibles sur le site jabberfr.org473.

Une fois le compte créé chez le serveur choisi et les informations nécessaires474 entrées dans la fenêtre de Pidgin, cocher la case Créer ce nouveau compte sur le serveur.

46.5 Chiffrer la connexion au serveur

Par défaut, Pidgin configure le nouveau compte pour qu’il chiffre la communication avec le serveur.

Si le certificat est bien signé par une autorité de certification, la connexion se déroulera sans problème, et Pidgin enregistrera le certificat du serveur dans sa configuration.

Si le certificat du serveur n’est pas signé, ou que pour une raison ou une autre Pidgin n’arrive pas à vérifier son authenticité, il est alors nécessaire de mettre en place les mêmes techniques que lors de la vérification d’un certificat dans son navigateur web, sans quoi des adversaires pourraient usurper l’identité du serveur.

Dans ce cas, lors de notre première connexion, Pidgin affichera une fenêtre demandant si l’on veut Accepter le certificat pour [exemple.org] ? Il expliquera également la raison pour laquelle il n’a pas voulu accepter le certificat (Le certificat est auto-signé. Il ne peut être vérifié automatiquement, si par exemple le certificat n’est pas signé par une autorité de certification). En cliquant sur Voir le certificat…, Pidgin affichera l’empreinte numérique de celui-ci, nous permettant de le vérifier.

46.6 Activer le plugin OTR (Off-the-Record)

Il faut maintenant activer le chiffrement de bout en bout avec OTR.

Dans le menu Outils de Pidgin, cliquer sur Plugins. Trouver la ligne « Messagerie confidentielle ‘Off-the-Record’ » et cocher la case correspondante pour activer le plugin. Il est possible en cliquant sur Configurer le plugin de choisir certaines options telles que Ne pas archiver les conversations d’OTR.

46.7 Mettre en place une conversation privée

46.7.1 Ajouter un contact ou rejoindre un salon de discussion

En fonction de notre situation, nous allons soit devoir ajouter le contact auquel nous souhaitons parler dans Pidgin, soit devoir rejoindre le salon dans lequel le trouver.

46.7.1.1 Ajouter un contact

Pour ajouter un contact dans Pidgin, cliquer sur Contacts dans la barre de menu du logiciel et aller à Ajouter un contact…. Remplir ensuite les informations correspondantes de notre contact et cliquer sur Ajouter.

Notre contact va alors recevoir une demande d’autorisation d’ajout à notre liste de contacts. Une fois que notre contact aura accepté la demande d’ajout, il sera possible de commencer à discuter.

46.7.1.2 Rejoindre un salon de discussion

Si au contraire l’on veut rejoindre un salon de discussion dans lequel se trouvera sans doute la personne avec qui l’on veut converser, cliquer sur Contacts dans la barre de menu du logiciel et aller à Rejoindre une discussion…. De la même manière, remplir les informations nécessaire et enfin cliquer sur Discuter.

Il ne sera malheuresement pas possible d’utiliser le chiffrement de bout en bout dans les salons avec Pidgin. En effet, le protocole OTR ne fonctionne pas pour les salons avec Pidgin.

46.7.2 Commencer une conversation privée

Pour commencer une conversation privée, double-cliquer sur un nom se trouvant dans la colonne de droite de la fenêtre d’un salon de discussion où l’on se trouve ou bien cliquer sur le nom de notre partenaire dans la fenêtre principale de Pidgin. Une fenêtre de conversation s’ouvre. Cliquer alors sur le menu OTR → Commencer une conversation privée.

Si c’est la première fois qu’on utilise OTR avec ce compte, Pidgin va alors générer une clé privée et afficher une fenêtre Génération de la clé privée. Cette clé est unique pour un compte donné. Si l’on possède plusieurs comptes de messagerie instantanée, on aura donc plusieurs clés. Lorsqu’elle affiche que la génération de cette clé est effectuée, on peut fermer cette fenêtre en cliquant sur Valider.

Pidgin affiche alors Ana n’a pas encore été authentifiée. Vous devriez authentifier ce contact. Cela signifie que notre conversation est chiffrée, mais que une adversaire pourrait se faire passer pour Ana. Pour être sûr de parler avec Ana, il faut authentifier la conversation.

46.7.3 Authentifier une correspondante

Pour authentifier une correspondante, il faut soit s’être mis d’accord au préalable sur un secret, soit disposer d’un moyen de communication autre que la messagerie instantanée, que l’on considère comme sûr. Ce moyen peut être une conversation de vive voix, un email chiffré, etc.

OTR propose trois façons d’authentifier un contact :

  • par question-réponse : on définit une question et sa réponse. La question étant ensuite posée à notre correspondante ;

  • avec un secret partagé : un secret connu uniquement des deux interlocutrices est demandé afin de vérifier qu’on dialogue bien avec la personne escomptée ;

  • grâce à la vérification manuelle de l’empreinte : on vérifie que l’empreinte de la clé de la personne avec qui l’on s’apprête à avoir une conversation chiffrée est la même que celle qui nous a été fournie par un moyen authentifié.

Une fois les secrets, les questions-réponses ou les empreintes échangés, cliquer sur le menu OTR → Authentifier contact. Choisir la méthode d’authentification en-dessous de Comment désirez-vous authentifier votre contact ?, puis répondre aux questions. Enfin, cliquer sur Authentifier.

Si l’authentification est réussie, le statut de la conversation devient Privé, ce qui signifie qu’elle est non seulement chiffrée, mais aussi authentifiée.

Si l’on utilise un système non-live ou que l’on a activé la persistance de Pidgin dans Tails, cette étape d’authentification n’est à effectuer qu’une fois pour toutes pour un contact donné.

46.7.4 Terminer une conversation

Une fois notre dialogue terminé, cliquer sur le menu OTR → Terminer la conversation privée. Cela efface la clé de chiffrement temporaire générée pour cette conversation de la mémoire vive de l’ordinateur. Même si des adversaires obtenaient nos clés privées, elles n’auraient pas accès à la clé leur permettant de déchiffrer la conversation a posteriori.

  1. Wikipédia, 2014, Off-the-Record Messaging.↩︎

  2. Wikipédia, 2014, Extensible Messaging and Presence Protocol.↩︎

  3. Wikipédia, 2014, Internet Relay Chat. IRC accepte normalement une utilisation sans création de compte préalable. Aujourd’hui la plupart des serveurs IRC refusent les connexions via Tor ; à l’exception de quelques serveurs, dont OFTC (en anglais). L’utilisation d’IRC n’est pas expliquée dans ce guide.↩︎

  4. Pour une liste exhaustive des protocoles pris en charge par Pidgin, se référer à leur site web (en anglais).↩︎

  5. Une liste de serveurs XMPP communautaires. Si la création de compte échoue avec un serveur, ne pas hésiter à essayer avec un autre serveur.↩︎

  6. Pour plus de détails sur les informations à renseigner sur Pidgin et créer donc le compte XMPP, voir le site de Linuxpedia.↩︎