Guide pratique : utiliser le protocole OTR sous Linux
Dernière révision : July 15, 2015
Téléchargement: Disponible sur le Software Center intégré
Configuration requise: Une connection internet, un ordinateur avec Linux installé, un compte XMPP (Jabber).
Versions utilisées dans ce guide: Linux Mint 17; Pidgin 2.10.9, pidgin-otr4.0.0-1
License: Logiciel Gratuit; plusieurs licenses de Logiciel Gratuit
Niveau: Débutant
Durée requise: 20 minutes
Qu’est-ce que OTR? anchor link
OTR (Off-the-record) est un protocole qui vous permet d’avoir des conversations confidentielles en employant les outils de messagerie que vous utilisez déjà. OTR assure cette sécurité en:
- chiffrant vos conversations
- vous permettant de vérifier l’identité de vos correspondants
- ne permettant pas aux serveurs d’accéder à vos conversations ou de les enregistrer
Il ne faut pas le confondre avec le “Off the record” de Google, qui désactive l’enregistrement des conversations, mais qui n’offre pas la capacité de cryptage ou de vérification d’identité.
Il y a plusieurs façons d’utiliser OTR avec Linux. Dans ce guide, il vous sera expliqué comment utiliser le module d’extension (plugin) d’OTR pour Pidgin. Pidgin est un client de messagerie instantanée populaire qui est disponible pour un grand nombre de distributions de Linux. Son fonctionnement peut être modifié avec des modules d’extensions , qui sont généralement installés séparément.
Le client de messagerie instantanée, Pidgin, enregistre automatiquement les conversations qui ne passent pas par OTR, mais il est possible de désactiver cette fonction. Cela étant dit, vous ne pouvez contrôler la personne avec qui vous correspondez - elle pourrait enregistrer ou prendre des captures d’écran de votre conversation, même si vous avez désactivé l’enregistrement.
Pourquoi utiliser Pidgin + OTR? anchor link
Lorsque vous avez une conversation sur Google Hangouts ou Facebook chat à travers leurs sites web, la conversation est chiffrée avec HTTPS , ce qui signifie que le contenu de la conversation est protégé des pirates et d’autres tiers partis pendant qu’elle est en transit. Cependant, le contenu n’est pas protégé de Google ou de Facebook, qui détiennent les codes de chiffrement de vos conversations et qui peuvent transmettre celles-ci aux autorités.
Après que vous avez installé Pidgin, vous pouvez vous connecter en utilisant plusieurs comptes simultanément. Par exemple, vous pourriez utiliser Google Hangouts, Facebook et XMPP en même temps. Pidgin permet également de chatter avec ces outils sans OTR. Puisque OTR ne fonctionne que si les deux partis l’utilisent, cela signifie que même si votre correspondant ne l’a pas installé, vous pouvez quand même chatter avec lui en utilisant Pidgin.
Pidgin permet également d’effectuer une vérification à travers un réseau de contact indépendant pour vous assurer que vous communiquez bel et bien avec la personne à qui vous croyez avoir à faire, et que vous n’êtes pas victime d’une attaque de l’homme du milieu. Pour chaque conversation, il y a une option qui vous donne votre empreinte digitale et celle de votre correspondant. Une empreinte digitale est une chaîne de caractères comme "342e 2309 bd20 0912 ff10 6c63 2192 1928,” qui peut être utilisée pour vérifier un code de chiffrement publique plus longue. Échangez vos empreintes à travers une autre forme de communication, comme Twitter DM ou par courriel, pour vous assurer que personne n’interfère avec votre conversation.
Limitations: Pourquoi ne pas utiliser Pidgin + OTR? anchor link
Les technologues ont une terme pour décrire lorsqu’un logiciel ou une technologie peut être vulnérable à une attaque extérieure: ils parlent de la “surface d’attaque”. Pidgin a une surface d’attaque très grande. C’est un logiciel très complexe, qui n’a pas été conçu dans une optique de sécurité informatique. Il y a certainement des bugs, qui pourraient être exploités par des gouvernements ou même des grandes compagnies pour s’infiltrer dans les ordinateurs qui utilisent le logiciel. Utiliser Pidgin pour chiffrer vos conversations est une excellente défense contre le type de surveillance non-ciblée qui espionne les conversations en ligne de la population en général, mais si vous craignez être la cible d’un attaquant avec beaucoup de ressources à sa disposition (comme un état-nation), vous devriez considérer des précautions plus sûres, comme le courriel chiffré avec PGP .
Télécharger et installer Pidgin et Pidgin OTR anchor link
Malgré le fait que Pidgin et le module OTR fonctionnent généralement de la même façon sur toutes les distributions de Linux, il y a certaines différences. La plus grande différence entre les distributions est comment trouver et installer Pidgin et Pidgin OTR.
Dans le guide ci-dessous, nous utilisons Mint 17, qui contient Pidgin dans sa configuration par défaut et qui offre OTR dans son Mint Software Conter. Les deux logiciels seront presque certainement disponibles dans le référentiel de votre distribution: le Ubuntu Software Center pour Ubuntu, PackageKit pour Redhat ou Fedora, la commande apt-get pour Debian et ainsi de suite. Le paquet pour pidgin en tant que tel est habituellement intitulé “pidgin”; le paquet pour le module OTR est appelé “pidgin-otr”.
L’apparence de Pidgin peut varier des captures d’écran ci-dessous, selon votre gestionnaire de fenêtres Linux.
Pour installer pidgin-otr sur mint, cliquez sur le menu Mint et sélectionnez l’icône Mint Software Conter.
Une fenêtre apparaîtra et vous demandera votre mot de passe . Entrez votre mot de passe et cliquez “OK.”
La fenêtre principale du Software Center s’ouvrira.
Vous trouverez pidgin-otr dans le Software Center en tapant “pidgin” dans la barre de recherche et cliquez “Enter.”
Double-cliquez sur le résultat pidgin-otr pour trouver plus d’information sur pidgin-otr.
Cliquez “Install”. Le Software Centre installera pidgin-otr. Pendant que pidfin-otr installe, vous verrez une barre de progression au bas de la fenêtre Software Center. Une fois l’installation complétée, le bouton “Install” deviendra “Remove”.
Configurer Pidgin anchor link
Cliquez sur le menu Mint, dans la section “Internet”, cliquez sur le bouton “Pidgin Internet Messenger”.
Ajouter un compte anchor link
Lorsque Pidgin démarre pour la première fois, la fenêtre de bienvenue vous offrira l’option d’ajouter un compte. Puisque vous n’avez pas de compte configuré, cliquez le bouton “Add”.
Maintenant vous verrez la fenêtre “Add Account”. Pidgin peut être configuré avec plusieurs services de messagerie, mais nous examinerons la procédure pour XMPP, connu avant comme Jabber.
Pour Protocol entry, sélectionnez l’option “XMPP”.
Pour Username entry, entrez votre nom d’utilisateur.
Pour Domain entry, entrez le nom du domaine de votre compte XMPP.
Pour Password entry, entrez le mot de passe de votre compte XMPP.
Sélectionner l’option “Remember password” facilitera l’accès à votre compte. Soyez conscients qu’enregistrer le mot de passe sur votre ordinateur le rendra accessible à tous ceux avec qui vous partagez votre ordinateur. Si cela pose problème, ne sélectionnez pas cette option. Vous devrez alors entrer votre mot de passe pour votre compte XMPP à chaque fois que vous ouvrez Pidgin.
Ajouter un ami anchor link
Maintenant, vous voudrez ajouter quelqu’un à qui parler. Cliquez le menu “Buddies” et sélectionnez “Add Buddy”. Une fenêtre “Add Buddy” s’ouvrira.
Dans la fenêtre “Add Buddy” vous pouvez entrer le nom d’utilisateur de la personne avec qui vous voulez correspondre. L’autre utilisateur ne doit pas nécessairement provenir du même serveur, mais doit utiliser le même protocole, comme XMPP.
Pour l’entrée “Buddy’s username”, tapez le nom d’utilisateur avec le nom du domaine. Ça aura l’apparence d’une adresse courriel.
Pour l’entrée “(Optional) Alias”, vous pouvez taper le nom de votre choix. Cette procédure est entièrement optionnelle, mais peut aider si le nom du compte XMPP de la personne est difficile à garder en mémoire.
Cliquez “Add”.
Une fois que vous avez cliquer “Add”, Boris recevra un message pour qu’il vous autorise de l’ajouter. Une fois que Boris a confirmé, il ajoutera votre compte et vous recevrez le même message. Cliquez “Authorize”.
Configurer le plugin OTR anchor link
Maintenant vous devez configurer le module OTR afin de chatter de manière sécuritaire. Cliquez le menu “Tools” et sélectionnez l’option “Plugins”.
Défiler vers le bas jusqu’à l’option “Off-the-Record Messaging”, and cochez la boîte. Maintenant cliquez sur l’entrée “Off-the-Record Messaging” and cliquez le bouton “Configure Plugin”.
Maintenant vous verrez la fenêtre de configuration “Off-the-Record Messaging”. Remarquez l’indication “No key present”. Cliquez le bouton “Generate”.
Une petite fenêtre s’ouvrira et générera un code. Lorsque le processus a fini, cliquez “OK.”
Maintenant vous verrez quelque chose de nouveau: une petit texte de 40 caractères, séparé en 5 groupes de huit caractères. C’est votre empreinte digitale OTR. Notez la pour vos dossiers. Cliquez le bouton “Close”.
Maintenant cliquez le bouton “Close” sur la fenêtre des modules.
Chatter sécuritairement anchor link
Vous pouvez maintenant chatter avec Boris. Vous pouvez envoyer et recevoir des messages. Cependant, vous ne chattez pas de manière sécuritaire. Même si vous êtes connecté au serveur XMPP, il est possible que la connection entre Boris et vous ne soit pas imperméable à l’espionnage. Si vous regardez la fenêtre de chat, remarquez “Not private” en rouge en bas à droite. Cliquez le bouton “Not private”.
Un menu s’ouvrira; sélectionnez “Start private conversation".
Notez que le bouton dit maintenant "Unverified" en jaune. Même si votre conversation est maintenant chiffrée, il est possible que un adversaire a intercepté votre conversation (ce qu'on appelle une attaque de l'homme du milieu (MITM)). Pour vous assurer que votre conversation est sécurisé, vous devez vérifier que la personne à l'autre bout de la conversation cryptée est, en fait, votre copain. Pour ce faire, cliquez sur le bouton "Unverified".
Un menu s’ouvrira; sélectionnez “Authenticate buddy.”
Une fenêtre s’ouvrira; on vous demande “How would you like to authenticate your buddy?”
Le menu déroulant comporte trois options:
Secret partagé anchor link
Un secret partagé est une ligne de texte que la personne avec qui vous voulez chatter et que vous avez échangé à l’avance. Si possible, partagez la ligne en personne; n’échangez jamais cette information par une méthode non sécurisée comme courriel ou Skype.
Votre ami et vous devez entrer ce texte ensemble. Cliquez “Authenticate”.
La vérification par secret partagé est pratique si votre ami et vous aviez déjà fait des arrangements pour chatter, mais n’aviez pas encore créé les empreintes digitales OTR sur les ordinateurs que vous utilisez.
Vérification manuelle de l’empreinte digitale anchor link
La vérification manuelle de l’empreinte digitale est utile si votre ami vous avait déjà donné son empreinte digitale et que vous vous connectez maintenant sur pidgin. Cette vérification ne sera pas utile si votre ami a changé d’ordinateur ou si il a dû créer de nouvelles empreintes digitales.
Si l’empreinte digitale que vous avez été donnée et l’empreinte sur l’écran sont les mêmes, sélectionnez “I have” et cliquez le bouton “Authenticate”.
Question et réponse anchor link
La vérification par question et réponse est utile si vous connaissez votre ami mais n’avez ni établi un secret partagé ni eu la chance de partager vos empreintes digitales. Cette méthode est utile pour établir la vérification en fonction de quelque chose que vous savez tous les deux, comme un évènement passé ensemble ou un souvenir.
Tapez la question que vous voulez demander. Ne posez pas une question trop facile dont il serait facile de deviner la réponse, mais ne posez pas une question impossible non plus. Un exemple d’une bonne question serait “Où est-ce qu’on a soupé à Minneapolis?” Un exemple d’une mauvaise question serait “Peut-on acheter des pommes à Tokyo?”
Les majuscules font une différence, alors considérez ajouter une petite note entre parenthèses comme (par exemple: tout en majuscule, minuscule)
Entrez la question et la réponse et cliquez “Authenticate”.
Votre ami verra une fenêtre s’ouvrir avec la question pour demander la réponse. Il cliquera le bouton “Authenticate” aussi puis recevra un message pour l’aviser si la vérification est réussie.
Quand votre ami complète la procédure de vérification, une fenêtre s’ouvrira sur votre ordinateur vous indiquant que la vérification a réussie.
Votre ami devrait également vérifier votre compte pour que tous les deux, vous puissiez être certains que la communication est sécuritaire. Voici ce à quoi ça devrait ressembler pour Akiko et Boris. Remarquez les icônes verts “Private” en bas à droite de la fenêtre de chat.
Comment fonctionner avec d’autres logiciels anchor link
Les mécanismes pour vérifier l’authenticité devraient marcher entrer des logiciels différents comme Jitsi, Pidgin, Adium et Kopete. Vous ne devez pas utiliser le même logiciel pour communiquer à travers XMPP et OTR, mais parfois il y a des erreurs dans les logiciels. Adium, un logiciel de chat pour OS X, cause une erreur avec la vérification par question et réponse. Si vous trouvez que la vérification échoue lorsque vous utilisez la méthode question et réponse, demandez s’ils utilisent Adium et voyez si vous pouvez utiliser une autre méthode de vérification.