Tor lance son propre Messenger, basé sur le client InstantBird de Mozilla
Communiquer, chiffrer, anonymiser
De la même façon que le réseau Tor propose son propre navigateur basé sur Firefox, il met désormais à disposition un client de messagerie : Tor Messenger. Il utilise les fondations d’InstantBird, soutenu par Mozilla, et se veut un compromis idéal entre facilité d’utilisation et sécurité.
Le réseau Tor est célèbre pour son anonymisation des communications. Les utilisateurs qui s’y connectent peuvent s’y estimer protégés, l’objectif étant de chiffrer les comunications et de faire rebondir les requêtes jusqu’à ce que l’adresse IP ne puisse plus être retrouvée. Dans la pratique, on sait que cette protection n’est pas absolue et que la NSA notamment possède différentes techniques pour s’insérer dans le réseau.
Reprendre une solution existante et y ajouter un client Tor
Le réseau utilise déjà les bases de Firefox ESR (une mouture disposant d’un support prolongé) pour son Tor Browser. L’idée est de simplifier au maximum l’utilisation du réseau puisque l’activation de la connexion se fait au travers d’un petit bouton qu’il suffit de cliquer. Le concept est le même pour la première bêta de Tor Messenger : bâtir sur l’existant et réorienter les communications vers le réseau Tor pour les chiffrer et les rendre anonymes.
Comme expliqué dans le billet de l’annonce officielle, l’équipe indique qu’elle ne voulait pas réinventer la roue. Elle a donc repris le client de messagerie InstantBird de Mozilla, permettant déjà une connexion à divers services de messagerie tels que XMPP, Yahoo, Google, ICQ, Facebook et ainsi de suite. Le code a été modifié pour y intégrer un client de connexion au réseau Tor.
L’équipe précise qu’elle a bien considéré d’autres clients tels que Pidgin ou le xmpp_client d’Adam Langley. Le choix d’InstantBird semblait cependant évident, pour plusieurs raisons. D’une part, il est écrit en bonne partie en JavaScript, un langage memory-safe, ce qui intéressait particulièrement les développeurs. D’autre part, l’interface graphique était séparée et déjà en place, manipulable donc facilement. Enfin, il s’agit d’un logiciel XUL et les développeurs ont déjà une certaine expertise de ce langage avec Tor Browser.
Messenger veut laisser aussi peu de traces que possible
L’idée générale est donc de permettre aux utilisateurs de se servir de leurs comptes habituels, mais en ajoutant une couche importante de sécurité. Le protocole OTR (Off-the-Record) est donc présent et actif par défaut, les communications transitant donc par le réseau et en émergeant vers les contacts classiques. Il y a évidemment une limitation à ce fonctionnement, car les serveurs gérant les différents services sont centralisés, ce qui signifie que du côté du correspondant, la liste des contacts et certaines informations sont théoriquement consultables.
L’important est toutefois que les communications elles-mêmes et l’adresse IP sont masquées, ce qui correspond d’ailleurs à l’objectif central de Tor. D’ailleurs, Tor Messenger désactive par défaut l’historique local des conversations, la philosophie étant que le client servira pour des conversations éphémères, comme si elles avaient été tenues dans une pièce secrète à l’abri des regards entre deux personnes.
L’équipe note bien qu’il existe des solutions plus sécurisées comme Pond et Ricochet, mais elles nécessitent de rebâtir complètement le réseau de contacts, et donc d’inviter ses connaissances à installer un nouveau client. D’autres solutions comme Pidgin et Adium pouvaient également se servir du protocole OTR, mais uniquement sous forme de plugin. Là encore, l’équipe tenait à fournir un petit logiciel ne nécessitant pas de manipulations supplémentaires.
De fait, cette première bêta est disponible sous Windows, OS X et Linux, en moutures 32 et 64 bits pour ce dernier. Le code est bien évidemment en open source et est disponible depuis ce dépôt Github. Dans son annonce, l’équipe explique que la priorité sera donnée dans tous les cas à la sécurité. La phase bêta va se poursuivre avec de nombreux correctifs et de nouvelles versions seront diffusées sur une base régulière. Cependant, le modèle de distribution se calera à terme sur le cycle ESR de Mozilla, comme pour le Tor Browser finalement.
Une bêta au fonctionnement parfois erratique
L’arrivée de Tor Messenger a le potentiel de créer un impact conséquent. Le fait qu’il puisse être utilisé avec les comptes de messagerie existants en fait un candidat sérieux à une utilisation de masse, si l’on met de côté une interface que certains risquent de trouver assez vieillotte. Cela étant, ce point a largement le temps d’évoluer. Rappelons également qu’il ne s’agit que d’une première bêta et que des bugs et surtout des failles peuvent exister.
Pour télécharger Tor Messenger, on pourra utiliser l’un des liens suivants :
De notre côté, on signalera tout de même que Tor Messenger aura fort à faire avec l’utilisation très massive des messageries mobiles, comme WhatsApp, Viber, Telegram et Facebook Messenger (dont les conversations peuvent être chiffrées via Cryptocat).
D’autre part, le fonctionnement du client sous Windows 10 semble parfois poser problème. Nous avons ainsi rencontré des plantages sur la version finale du système, tandis que le logiciel refuse catégoriquement de se lancer sur la dernière build 10576 publiée hier soir. De plus, les tentatives de connexion aux réseaux peuvent échouer selon les paramètres de sécurité, notamment quand l'authentification à deux facteurs est active.
Commentaires (31)
Vous devez être abonné pour pouvoir commenter.
Déjà abonné ? Se connecter
Abonnez-vousLe 30/10/2015 à 10h27
Excellente initiative
" />
Par contre, vu la base logicielle retenue, j’ai l’impression qu’on va devoir attendre pour une variante mobile
Le 30/10/2015 à 10h30
XUL il s’agit pas de la techno prochainement abandonnée par Mozilla dans firefox ?
Sinon bonne initiative, ils sont pragmatiques, mais je pense que ceux qui sont à la recherche de sécurité doivent se tourner vers des logiciels dédiés du type https://tox.chat/
Le 30/10/2015 à 11h02
Ah, retour de l’actu après 30 minutes dans les limbes
" />
Le 30/10/2015 à 11h13
Le temps que les boîtes noires se branchent sur le flux de personnes se connectant à l’actualité.
Le 30/10/2015 à 11h38
“De notre côté, on signalera tout de même que Tor Messenger aura fort à faire avec l’utilisation très massive des messageries mobiles, comme WhatsApp, Viber, Telegram et Facebook Messenger (dont les conversations peuvent être chiffrées via Cryptocat).”
" />
Vous avez oublié Textsecure aussi.
Le 30/10/2015 à 11h43
Le 30/10/2015 à 11h44
il va vraiment falloir que j’essaie TOR, ça m’a l’air intéressant
" />
Le 30/10/2015 à 11h45
La classique dichotomie contexte / contenu
" />
Le 30/10/2015 à 11h47
avec Tor + OTR il n’y a plus de dichotomie du tout vu qu’il y a anonymisation pour le contexte et vie privée (chiffrement) sur le contenu ! :)
Le 30/10/2015 à 11h48
Le 30/10/2015 à 11h53
Le 30/10/2015 à 11h56
Oui, mais je pense qu’il faut toujours l’avoir en tête. Tor Browser par ex. protège le contexte. Pour protéger le contenu, il faut toujours passer par HTTPS (sinon les noeuds d’entrée et de sortie verront toujours passer le contenu en clair)
" />
Il est donc utile de la rappeler car elle ne coule pas de source et elle devrait être la première question qu’on se pose face à un logiciel de ce type
Le 30/10/2015 à 11h56
C’est un terme de journaliste Môssieur l’esprit libre
" />
" />
Le 30/10/2015 à 12h00
Le 30/10/2015 à 12h26
“c’est pas faux”
" />
Le 30/10/2015 à 12h40
Tor c’est le logiciel qui est utilisé pour se connecter dans le DarkWeb. On l’utilise entre autre pour vendre des numéros de carte bleu volé, je l’ai vu à la télé sur D8. On trouve même sur GitHub des logiciles pirates à utiliser avec les clef USB NFC pour voler les numéro de CB à distance. Vu sur D8
Le 30/10/2015 à 12h47
Le 30/10/2015 à 13h14
bah si c’est D8 qui le dit ça doit être vrai [/sarcasme]
Le 30/10/2015 à 13h34
Le 30/10/2015 à 13h45
Le 30/10/2015 à 13h52
Le 30/10/2015 à 13h53
Il n’empêche que Tor est même recommandé par la CNIL !
Voir :http://www.dailymotion.com/video/xw4h3k_tutoriel-cnil-4-limiter-ses-traces-sur-i… (vers la fin pour Tor).
Le 30/10/2015 à 14h05
Le 30/10/2015 à 14h19
Le 30/10/2015 à 14h45
Le 30/10/2015 à 14h50
Je vois que ça pêche à la dynamite dans le coin
" />
Le 30/10/2015 à 14h55
je vois pas du tout de quoi tu veux parler. 
" />
Le 30/10/2015 à 15h23
Le 30/10/2015 à 18h54
Et puis ces dissidents utilisateurs de TOR qui vivent dans des dictatures sont forcément des mafieux pédophiles… D’ailleurs on devrait interdire les autoroutes, les avions et les bateaux car ils sont utilisés pour le trafic de drogue. Tiens et si on coupait le Net ça empêcherait Daech de recruter ? On serait tranquille. Le blackout sera finalement THE révolution 4.0
" />
Le 31/10/2015 à 09h55
Je ne connaissais même pas InstantBird. Étonnant sachant que Thunderbird à les memes fonctionnalités, il fait client XMPP, etc.
XUL sera conservé pour quelques produits ? Il a été abandonné pour Android, pour Firefox bientôt (cf.http://xulfr.org/news/2015/08/24/300-confirmation-mozilla-veut-se-debarrasser-de… d’où le besoin de réécriture des extensions avec la nouvelle API, qui seront compatibles Chrome), du coup le Tor Browser aussi à terme ? InstantBird, idem ? Je ne comprends pas pour le coup…
Le 02/11/2015 à 08h17
Ca fait un moment que les malhonnêtes utilisent I2P, qui semble plus robuste niveau sécurité.