XMPP adopte le chiffrement sur les services de messagerie instantanée

A partir de cette semaine, les opérateurs de services de messagerie instantanée qui utilisent le protocole XMPP (Extensible Messaging and Presence Protocol) imposeront le chiffrement sur leurs plateformes. Le 19 mai, les représentants du Fonds d’appui à la norme XMPP (XSF) ont annoncé que l’initiative est appuyée par de nombreux services du réseau XMPP public qui ont déjà introduit le chiffrement obligatoire pour les connexions client-serveur et serveur-serveur.

Pour le XSF, il s’agit d’un premier pas vers un renforcement de la sécurité pour tous les utilisateurs du réseau XMPP. D’autres nouveautés prévues comme l’authentification universelle, le DNS protégé ou le chiffrement de bout en bout vont dans le même sens.

XMPP est une plateforme open-source pour la messagerie instantanée. Elle fut utilisée pour la première fois dans Jabber et à l’heure actuelle, ce protocole est largement répandu et il est utilisé à des degrés divers par plusieurs services de messagerie instantanée populaires.

Imposer le chiffrement dans l’ensemble de la communauté XMPP n’est pas possible sur le plan technique car bon nombre de services qui utilisent cette norme fonctionnent de manière autonome. « Dans la mesure ou XMPP est un réseau distribué ouvert, il est clair que personne ne parviendra à obliger tout le monde à utiliser le chiffrement. Toutefois, en tant que groupe, nous avançons dans la bonne direction » expliquent les développeurs du serveur XMPP Prosody qui figurent parmi les signataires de la déclaration.

Ceci étant dit, à en croire les commentaires dans le blog de Prosody, de nombreux services XMPP ne prendront plus en charge les connexions non chiffrées à partir de cette semaine. Ceci étant dit, il ne faut pas oublier qu’une mise en œuvre incorrecte du chiffrement peut entraîner des problèmes dans l’offre des services. Les utilisateurs des services XMPP sont invités à informer leurs opérateurs au sujet de la nouvelle initiative.

Et comme l’affirme Prosody : « Ceci n’est que le début. La nouveauté garantit uniquement le chiffrement (ce qui permet d’éviter l’interception passive du trafic). Personne n’exige encore la présentation de certificats valides délivrés par l’organe compétent (bien que certains services vérifient déjà la présence de tels certificats) ». Dans la mesure où les services XMPP diffèrent, l’ensemble du processus peut être divisé en trois étapes : l’opérateur doit obtenir un certificat pour le serveur, désactiver le non chiffrement des canaux et vérifier la sécurité de XMPP. Ce processus est décrit plus en détails ici. Vous pouvez vérifier la sécurité des connexions et prendre connaissance des résultats d’autres nouveaux tests ici.

La nouvelle initiative s’inscrit dans la tendance globale à l’introduction du chiffrement dans les services en ligne. Cette tendance est née en grande partie des divulgations qui ont montré l’ampleur de la surveillance menée par la NSA. Parmi les partisans les plus farouches du chiffrement, nous retrouvons les avocats de l’organisation communautaire EFF (Electronic Frontier Foundation) qui interviennent dans les procès et au Congrès des Etats-Unis en faveur de la modification des législations et de la confirmation du principe d’inviolabilité de la vie privée sur Internet. Ces défenseurs de la liberté dans le cyberespace ont également publié le rapport semestriel intitulé « Who’s Got Your Back? » (Qui vous protège ?) qui contient un classement des FAI, des opérateurs de téléphonie mobile et des vendeurs de haute technologie. Ces intervenants sont évalués sur la qualité du chiffrement appliqué et sur le traitement qu’ils accordent aux demandes des autorités publiques sur les données des utilisateurs.

Parmi les autres initiatives intéressantes en la matière, citons Reset the Net qui regroupe des défenseurs de la vie privée et qui se prononce en faveur d’une extension de l’utilisation de SSL, HTTP Strict Transport Security (HSTS), Perfect Forward Secrecy (PFS) et du chiffrement de bout en bout.

Threatpost

Posts similaires

Laisser un commentaire

Votre adresse de messagerie ne sera pas publiée. Les champs obligatoires sont indiqués avec *