Guide d'utilisation de OTR pour Windows

OTR (Confidentiel) est un protocole qui permet aux utilisateurs de messagerie instantanée ou outils de chat de maintenir des conversations confidentielles. Grâce à ce guide, vous apprendrez à utiliser OTR avec Pidgin, client de messagerie instantanée gratuit et libre pour Windows PC.

Qu'est OTR ? Anchor link

OTR (Confidentiel) est un protocole permettant aux personnes de maintenir des conversations confidentielles en utilisant les outils de message avec lesquels ils sont déjà familiarisés. OTR fournit cette sécurité en :

  • chiffrant vos chats
  • vous fournissant la manière de garantir que la personne avec qui vous chattez est réellement celle qu'elle affirme être
  • empêchant le serveur de se connecter ou d'avoir accès à vos conversations

OTR ne doit pas être confondu avec le "Confidentiel" de Google, qui se limite à désactiver la connexion au chat et ne possède aucune capacité de chiffrement ou de vérification. Il existe diverses manières d'utiliser OTR sur Microsoft Windows, mais nous avons découvert que le client chat Pidgin (avec son module pidgin-otr) est l'outil de plus cohérent et le plus facile à utiliser.

Le client de la messagerie instantanée pour Windows PC, Pidgin, connecte automatiquement les conversations par défaut, néanmoins, vous disposez de la possibilité de désactiver cette caractéristique. Ceci dit, vous ne possédez aucun contrôle sur la personne avec qui vous chattez—elle peut se connecter ou capturer l'écran de votre conversation, même si vous avez désactivé la connexion.

Pourquoi dois-je utiliser Pidgin + OTR ? Anchor link

Lorsque vous chattez en utilisant Google Hangouts ou le chat de Facebook sur les sites Web de Google ou Facebook, ce chat est chiffré moyennant HTTPS, ce qui signifie que le contenu de votre chat est protégé des pirates informatiques et autres tiers en transit. Il n'est, cependant pas protégé face à Google ou Facebook, qui disposent des codes de vos conversations et peuvent les remettre aux autorités ou les utiliser pour la commercialisation.

Après avoir installé Pidgin, vous pouvez vous inscrire en utilisant de multiples comptes à la fois. Par exemple, vous pouvez utiliser Google Hangouts, Facebook et XMPP de manière simultanée. Pidgin vous permet également de chatter en utilisant ces outils, sans OTR. Étant donné qu'OTR ne fonctionne que si les deux personnes l'utilisent, même si l'autre personne ne l'a pas installé, vous pouvez chatter avec elle en utilisant Pidgin.

Pidgin vous permet également de vérifier au moyen d'un réseau de communication indépendant que vous parlez bien à la personne à laquelle vous croyez parler et que vous ne faîtes pas l'objet d'une attaque HDM. Au cours de chaque conversation, il existe une option qui affichera les empreintes digitales à clé correspondant à la personne avec qui vous chattez et à vous-même. Une "empreinte digitale à clé" est une chaîne de caractères telle que "342e 2309 bd20 0912 ff10 6c63 2192 1928,” utilisée afin de vérifier une clé publique plus longue. Échangez vos empreintes digitales par le biais d'autres réseaux de communication, comme Twitter DM ou par e-mail, afin de garantir que personne n'interfère dans votre conversation.

Limitations : Cas dans lesquels je ne dois pas utiliser Pidgin + OTR ? Anchor link

Les technologistes disposent d'un terme afin de décrire un programme ou une technologie susceptible d'être vulnérable aux attaques externes : ils en parlent comme possédant une vaste "surface d'attaque".” Pidgin possède une vaste surface d'attaque. Il s'agit d'un programme complexe, dont la sécurité n'était pas la priorité maximale lorsqu'il a été écrit. Il contient certainement des bogues, certains d'entre eux pouvant être utilisés par les gouvernements, voire les grandes compagnies, afin d'entrer par effraction dans les ordinateurs qui l'utilisent. Utiliser Pidgin afin de chiffrer vos conversations est une défense fantastique face au type de surveillance en rafle et non ciblée, utilisée afin d'espionner les conversations sur Internet, mais si vous croyez être la cible personnelle d'un attaquant bien pourvu en ressources (un état-nation, par exemple), vous devez envisager des précautions plus solides, tel que l'e-mail chiffré PGP.

Obtenir Pidgin Anchor link

Vous pouvez obtenir Pidgin pour Windows en téléchargeant le programme d'installation sur la Page de téléchargement de Pidgin.

Cliquez sur l'onglet pourpre TÉLÉCHARGER. Évitez de cliquer sur le bouton vert Télécharger Dès Maintenant car vous allez choisir un fichier d'installation différent. Vous serez redirigé sur la page de téléchargement.

Évitez de cliquer sur le bouton vert Télécharger Dès Maintenant car vous allez choisir un fichier d'installation différent. Le programme d'installation par défaut de Pidgin est petit car il ne contient pas toutes les informations et télécharge les fichiers pour vous. Cette opération peut parfois échouer, votre expérience sera meilleure avec le "programme d'installation hors ligne” qui contient tout le matériel nécessaire à l'installation. Cliquez sur le lien du “programme d'installation hors ligne". Vous serez redirigé vers une nouvelle page intitulée “Sourceforge” puis, après quelques secondes, une petite animation vous demandera si vous souhaitez sauvegarder un fichier.

Tenez compte du fait que la page de téléchargement de Pidgin utilise "HTTPS" et, en conséquence, est relativement sécurisée contre la falsification, le site Web qui vous dirige vers la version téléchargeable de Pidgin pour Windows est en réalité Sourceforge, qui utilise "HTTP" non chiffré, donc n'offre aucune protection. Le logiciel peut être falsifié avant que nous le téléchargiez.

Le risque provient principalement d'une autre personne ayant accès à l'infrastructure locale d'Internet et dont l'intention est de vous surveiller personnellement (par exemple, un fournisseur de point Wi-Fi malicieux), ou d'un état ou d'un gouvernement dont l'intention est de distribuer des logiciels compromis à plusieurs utilisateurs. L'extension HTTPS Everywhere peut transformer les URLs de téléchargement de Sourceforge en HTTPS, nous vous recommandons donc d'installer HTTPS Everywhere avant de télécharger un autre logiciel. En outre, d'après notre expérience, Sourceforge dispose souvent de pubs déroutantes en pleine page sus ses pages de téléchargement qui peuvent inciter les personnes à installer quelque chose de non désiré.  Vous pouvez installer un bloqueur de pub préalablement à tout autre logiciel afin d'éviter ces pubs déroutantes. Souvenez-vous de votre modèle de menace avant de télécharger des fichiers de sites Web non protégés.

La plupart des navigateurs vous demandera de confirmer si vous souhaitez télécharger ce fichier. Internet Explorer 11affiche une barre au bas de la fenêtre du navigateur avec un bord orange.

Quel que soit le navigateur, il vaut mieux sauvegarder le fichier avant de poursuivre, cliquez donc sur le bouton “Sauvegarder”. Par défaut, la plupart des navigateurs sauvegarde les fichiers téléchargés dans le dossier Téléchargements.

Obtenir OTR Anchor link

Vous pouvez obtenir pidgin-otr, le module OTR pour Pidgin, en téléchargeant le programme d'installation sur la page de téléchargement d'OTR.

Cliquez sur l'onglet “Téléchargements” afin d'être redirigé vers la section “Téléchargements" de la page. Cliquez sur le lien “Programme d'installation Win32 pour pidgin”.

La plupart des navigateurs vous demandera de confirmer si vous souhaitez télécharger ce fichier. Internet Explorer 11affiche une barre au bas de la fenêtre du navigateur avec un bord orange.

Quel que soit le navigateur, il vaut mieux sauvegarder le fichier avant de poursuivre, cliquez donc sur le bouton “Sauvegarder”. Par défaut, la plupart des navigateurs sauvegarde les fichiers téléchargés dans le dossier Téléchargements.

Après avoir téléchargé Pidgin et pidgin-otr, vous devriez disposer de deux nouveaux fichiers dans votre dossier Téléchargements :

Installer Pidgin Anchor link

Ne fermez pas la fenêtre de Windows Explorer et double-cliquez sur pidgin-2.10.9-offline.exe. (Le nom de fichier utilisé dans ce module peut ne pas correspondre nécessairement ce que vous voyez sur votre propre ordinateur.) Il vous sera demandé si vous souhaitez permettre l'installation de ce programme. Cliquez sur le bouton "Oui".

Une petite fenêtre s'ouvrira et vous demandera de sélectionner une langue. Cliquez sur le bouton “OK”.

Une fenêtre s'ouvrira et vous donnera un bref aperçu du processus d'installation. Cliquez sur le bouton “Suivant”.

Maintenant, vous visualisez un aperçu de la licence. Cliquez sur le bouton “Suivant”.

Maintenant, vous pouvez visualiser les différentes composantes installées. Ne modifiez pas les configurations. Cliquez sur le bouton “Suivant”.

Maintenant, vous pouvez visualiser l'endroit où Pidgin sera installé. Ne modifiez pas ces informations. Cliquez sur le bouton “Suivant”.

Maintenant, vous visualiserez une fenêtre avec un texte déroulant s'achevant par “Installation Finalisée.” Cliquez sur le bouton “Suivant”.

Finalement, vous visualiserez la dernière fenêtre du programme d'installation de Pidgin. Cliquez sur le bouton “Finir”.

Installer pidgin-otr Anchor link

Retournez sur la fenêtre de Windows Explorer, ouvrez-la et double-cliquez sur pidgin-otr-4.0.0-1.exe. Il vous sera demandé si vous souhaitez permettre l'installation de ce programme. Cliquez sur le bouton “Oui”.

Une fenêtre s'ouvrira et vous donnera un bref aperçu du processus d'installation. Cliquez sur le bouton “Suivant”.

Maintenant, vous visualisez un aperçu de la licence. Cliquez sur le bouton “J'accepte”.

Vous visualiserez l'endroit où pidgin-otr sera installé. Ne modifiez pas cette information. Cliquez sur le bouton “Installer”.

Finalement, vous visualiserez la dernière fenêtre du programme d'installation de pidgin-otr. Cliquez sur le bouton “Finir”.

Configurer Pidgin Anchor link

Allez sur le menu de Démarrage, cliquez sur l'icône de Windows et sélectionnez Pidgin du menu.

Ajouter un compte Anchor link

Lorsque Pidgin est lancé pour la première fois, vous visualiserez la fenêtre d'accueil vous offrant l'option d'ajouter un compte. Étant donné que vous n'avez pas encore configuré de compte, cliquez sur le bouton “Ajouter”.

Maintenant, vous visualiserez la fenêtre “Ajouter Compte”. Pidgin peut fonctionner avec plusieurs systèmes de chat, mais nous nous centrerons sur XMPP, connu auparavant comme Jabber.

En entrant sur le Protocole, sélectionnez l'option “XMPP”.

En entrant sur le Nom d'Utilisateur, introduisez votre nom d'utilisateur XMPP.

En entrant sur le Domaine, introduisez le domaine de votre compte XMPP.

En entrant sur le Mot de Passe, introduisez le mot de passe XMPP.

Si vous cochez la boîte de texte sur l'entrée “Rappeler mot de passe”, vous aurez accès à votre compte plus facilement. Tenez compte du fait qu'en cliquant sur “Rappeler mot de passe,” votre mot de passe sera sauvegardé sur l'ordinateur et accessible à quiconque ayant accès à votre ordinateur. Si cela vous préoccupe, ne cochez pas cette boîte de texte. Il vous sera ensuite requis d'introduire le mot de passe de votre compte XMPP chaque fois que vous démarrez Pidgin.

Ajouter un Copain Anchor link

Maintenant, vous souhaitez ajouter quelqu'un pour chatter. Cliquez sur le menu “Copains” et sélectionnez “Ajouter Copain.” Une fenêtre “Ajouter Copain” s'ouvrira.

Sur la “Fenêtre Ajouter,” vous pouvez introduire le nom d'utilisateur de la personne avec laquelle vous souhaitez chatter. Cet autre utilisateur n'a pas besoin d'appartenir au même serveur, mais doit utiliser le même protocole, tel que XMPP.

En entrant sur “Nom d'Utilisateur du Copain”, introduisez le nom d'utilisateur de votre copain, ainsi que le nom du domaine. L'apparence sera celle d'une adresse e-mail.

En entrant sur l' “Alias (Facultatif)”, vous pouvez introduire le nom de votre choix pour votre copain. Ceci est totalement facultatif, mais peut vous aider si le compte XMPP de la personne avec qui vous chattez est difficile à mémoriser.

Cliquez sur le bouton “Ajouter”.

Une fois que vous avez cliqué sur le bouton “Ajouter", Boris recevra un message lui demandant s'il donne son autorisation afin que vous puissiez l'ajouter. Une fois que Boris a donné son autorisation, il ajoute votre compte et vous recevrez la même demande. Cliquez sur le bouton “Autoriser”.

Configurer le module OTR Anchor link

Maintenant, vous allez configurer le module OTR afin de chatter en toute sécurité. Cliquez sur le menu “Outils” et sélectionner l'option “Modules”.

Faîtes défiler jusqu'à l'option “Messagerie Confidentielle” et cochez la boîte de texte. Cliquez sur l'entrée “Messagerie Confidentielle”, puis sur le bouton “Configurer Module”.

Maintenant, vous visualiserez la fenêtre de configuration de la “Messagerie Confidentielle”. Tenez compte du fait qu'elle affiche “Absence de code”. Cliquez sur le bouton “Générer”.

Maintenant, une petite fenêtre s'ouvrira et génèrera un code. Puis, cliquez sur le bouton “OK”.

Vous visualiserez de nouvelles informations : une chaîne de 40 caractères de texte, ventilée en 5 groupes de huit caractères. Il s'agit de votre empreinte digitale OTR. Cliquez sur le bouton “Fermer”.

Maintenant, cliquez sur le bouton “Fermer”, sur la fenêtre des Modules.

Chatter en toute sécurité Anchor link

Maintenant, vous pouvez chatter avec Boris. Vous pouvez vous envoyer des messages l'un à l'autre. Cependant, nous ne chattons pas encore en toute sécurité. Même si vous êtes connecté à un serveur XMPP, il est possible que la connexion entre Boris et vous ne soit pas protégée contre les fouineurs. Regardez la fenêtre du chat, tenez compte du fait qu'elle affiche “Non privé” en rouge, en bas et à droite. Cliquez sur le bouton “Non privé”.

Un menu s'ouvrira, sélectionnez “Authentifier Copain.”

Une fenêtre s'ouvrira. Il vous sera demandé : “Comment souhaitez-vous authentifier votre copain ?”

Le menu déroulant se compose de trois options :

Secret partagé Anchor link

Un secret partagé est une ligne de texte que la personne avec qui vous souhaitez chatter et vous-même avez convenu d'utiliser à l'avance. Vous devez avoir partagé ce secret en personne et ne l'avoir jamais échangé au moyen de réseaux non sécurisés tels que l'e-mail ou Skype.

Votre copain et vous-même devez introduire ce texte ensemble. Cliquez sur le bouton “Authentifier”.

La vérification du secret partagé est utile si votre copain et vous-même vous êtes déjà organisés afin de chatter à l'avenir, mais n'avez pas encore créé d'empreintes digitales OTR sur l'ordinateur que vous utilisez. Cela ne fonctionnera pas, sauf si vous deux utilisez Pidgin.

Vérification manuelle de l'empreinte digitale Anchor link

La vérification manuelle de l'empreinte digitale est utile si votre copain vous a déjà remis son empreinte digitale et que vous vous connectez moyennant Pidgin. Elle ne sera pas utile si votre copain a modifié les ordinateurs ou a créé de nouvelles empreintes digitales.

Si l'empreinte digitale qui vous a été donnée et celle s'affichant sur l'écran coïncident, sélectionnez “J'ai” et cliquez sur le bouton “Authentifiez”.

Question et réponse Anchor link

La vérification de la question et de la réponse est utile si vous connaissez votre copain mais n'avez pas encore choisi de secret partagé ni avez eu la possibilité de partager vos empreintes digitales. Cette méthode est utile afin d'établir une vérification fondée sur quelque chose que vous connaissez tous les deux, comme un évènement ou un souvenir commun. Cela ne fonctionnera pas, sauf si vous deux utilisez Pidgin.

Introduisez la question que vous souhaitez poser. Cette dernière ne doit pas être simple, personne ne doit pouvoir la deviner aisément, mais ne la rendez pas impossible. Un exemple de bonne question serait “Où sommes-nous allés dîner à Minneapolis ?” Et un exemple de mauvaise question serait “Pouvons-nous acheter des pommes à Tokyo?”

Les réponses doivent parfaitement coïncider ; tenez-en compte lorsque vous choisirez une réponse à votre question. Les majuscules sont importantes, vous devriez envisager une note entre parenthèses comme (par exemple : utiliser des majuscules, une minuscule).

Introduisez la question et la réponse, puis cliquez sur le bouton “Authentifier”.

La fenêtre de votre copain sera ouverte et la question affichée sollicitant la réponse. Il devra répondre et cliquer sur le bouton “Authentifier”. Il recevra alors un message lui indiquant que l'authentification a été couronnée de succès.

Une fois que votre copain a achevé la procédure d'authentification, vous recevrez une fenêtre vous indiquant que l'authentification a été couronnée de succès.

Votre copain doit également vérifier votre compte afin que vous soyez tous les deux assurés que la communication est sécurisée. Voici un exemple entre Akiko et Boris. Tenez compte des icônes verts “Privé” en bas et à droite de la fenêtre du chat.

Fonctionnement avec un autre logiciel Anchor link

Les mécanismes afin de vérifier l'authenticité doivent fonctionner sur les différents logiciels de chat tels que Jitsi, Pidgin, Adium et Kopete. Vous n'êtes pas obligé d'utiliser le même logiciel de chat afin de chatter sur XMPP et OTR, mais le logiciel contient parfois des erreurs. Adium, un logiciel de chat pour OS X, génère une erreur lorsqu'il reçoit la vérification de la Question et de la Réponse. Si vous échouez au moment d'utiliser la vérification par le biais de la Question et la Réponse, vérifiez si l'autre personne utilise Adium et voyez si vous pouvez utiliser une autre méthode de vérification.

Dernière actualisation: 
2015-02-10
This page was translated from English. The English version may be more up-to-date.
JavaScript license information