Cryptocat, l'outil de conversation chiffré et simplifié, vient de se mettre à jour. Il passe ainsi à la version 2.1, arbore un nouveau look et permet surtout d'échanger certains fichiers de manière directe. Un premier pas vers un fonctionnement plus complet, qui pourrait bien être complété par l'arrivée de l'audio et de la vidéo à terme. Dans le même temps, l'EFF publie une liste d'alternatives aux outils propriétaires en réaction à l'affaire PRISM.
Cryptocat est un outil qui vous permet de créer simplement un salon de discussion privé et chiffré. Pour cela, rien de plus simple : vous installez l'extension, vous choisissez le nom de la conversation, un pseudo, et vous pouvez rejoindre vos amis.
Cryptocat passe au chiffrement de fichiers et continue son évolution
Son interface vient d'être entièrement retravaillée afin d'être plus claire, mais aussi plus simple à comprendre. On regrettera qu'elle ne s'adapte pas mieux aux grands écrans, mais un coup de zoom permet de régler cela assez rapidement.
Quelques bugs ont été corrigés au passage et le code a été nettoyé. Les bibliothèques OTR ont été mises à jour à la version 0.1.5 alors que c'est désormais jQuery 2.0.2 qui est utilisé. Mais la plus grande nouveauté est sans doute l'arrivée de l'échange de fichier dans les conversations privées. Vous pouvez ainsi transférer un document dans la limite de 5 Mo à une personne sans rien installer et de manière totalement chiffrée.
Le tout est encore au stade de bêta et des limitations sont de mise : fichiers zip ou images uniquement, le nom de réception du fichier sera modifié, le tout semble encore connaître quelques ratés... mais les choses avancent dans le bon sens. L'une des prochaines évolutions, en complément de l'arrivée des versions mobiles, pourrait être le support des conversations audio et vidéo via WebRTC.
Face à PRISM, l'EFF vous indique des outils alternatifs, sécurisés et libres
Quoi qu'il en soit, de nombreuses autres solutions existent d'ores et déjà pour chiffrer vos échanges de manière plus ou moins aisée. L'affaire PRISM a donné à l'EFF l'envie d'en faire le bilan, disponible au sein de cette page :
D'Enigmail à Bitmessage en passant par Owncloud, Sparkleshare, Diaspora, Retroshare ou encore Jistsi, les principaux y sont. N'hésitez pas à nous faire part au sein de nos commentaires de vos propres solutions en n'oubliant pas deux règles fondamentales pour ce type d'outils :
- L'importance du code ouvert et mis à l'épreuve par des experts
- L'importance de cumuler anonymat et chiffrement des échanges, qui sont deux choses différentes
Cryptocat précise d'ailleurs de son côté les choses concernant les métadonnées qui sont utilisées par le service, et indique qui peut en disposer ou non selon les cas. Le tout est récapitulé dans le tableau suivant :
Commentaires (71)
#1
Cette outil de conversation est vraiment sécurisé ?
#2
Perso, j’utilise Silc autant que je peux:
http://silcnet.org/ et la doc: https://www.dg-sc.org/silc/doku.php
Sinon, irrsi-OTR, ekiga et SFTP sur mon serveur. GPG pour les mails avec certains de mes amis.
#3
C’est quand même marrant/dramatique…
D’un côté, on écoute et stocke tout “pour rien”, “au cas où ça servirait un jour”.
De l’autre, on se met à tout chiffrer “pour rien”, “au cas où”.
" />
#4
#5
Sinon, une page et surtout un schéma sympa de l’anonymat offert par HTTPS+Tor selon que l’on se place du côté de l’utilisateur, du FAI, de l’admin du site, du hacker, de la police ou de la NSA. " />
Tor and HTTPS: https://www.eff.org/pages/tor-and-https
#6
#7
#8
Heu…; C’est normal que mon post #2 soit affiché chez un autre INpactien (#1) ?" />
#9
#10
#11
#12
#13
#14
#15
#16
Et moi, les clefs publiques/privées fournies par un tiers “de confiance”, ben, je ne leur fais plus confiance non plus, depuis PRISM " />
#17
Ah les outils sécurisés… Le plus dur, c’est pas de les utiliser, c’est de faire prendre conscience à son entourage leur nécessité et qu’ils s’affranchissent des moyens faciles à utiliser et sans prise de tête qu’ils ont l’habitude d’user au quotidien.
J’essaye depuis un moment de me tourner vers le libre et le respect de la vie privée mais en ce qui concerne la famille et les amis, c’est un combat dur à mener, même auprès de personnes qui baignent dans l’informatique - développeurs, spécialistes réseaux, etc.
#18
Comme tout, système centralisé = menace sur la confidentialité.
Diaspora est un outil de messagerie instantanée en P2P il me semble, si quelqu’un peut compléter…
#19
Au fait, il est où le code source de Cryptocat ?" />
#20
#21
#22
#23
#24
#25
#26
#27
Pour ceux qui utilisent Pidgin-OTR, utilisez-vous une clé par ressource (par exemple une pour la maison et une pour le boulot) ou une clé pour toutes les ressources du même compte?
Lorsqu’on utilise des clés différentes, c’est assez chaotique (au moins une des deux ressources ne pourront plus le déchiffrer).
D’un autre côté, à part copier manuellement ~/.purple/otr.private_keys, rien n’est fait pour utiliser la même clé à plusieurs endroits… est-ce une bonne pratique pour OTR?
#28
#29
Cette histoire est suspect . Le gus qui a fait la révélation de PRISM était payé 122 000 €/an par la NSA .Il a été assez stupide pour foutre sa vie en l’air en étant aussi bien payé ?
De plus c’est un secret de polichinelle le fait que google entre autre soit surveillé .
#30
#31
#32
#33
#34
#35
#36
#37
#38
#39
#40
#41
#42
#43
Sauf erreur de ma part, dans le cas de PKI, tu as un organisme de certification auquel tu fais confiance. Qui est peut-être mal placée. Mais bon, je ne suis pas spécialiste.
#44
Et si les américains utilisent un d-wave à la place du système classique pour traiter les données :
http://www.futura-sciences.com/fr/news/t/informatique/d/google-se-lance-dans-les…
Vous pensez qu’en cryptant vos données vous passerez à travers les mailles du filet ?
( Désolé j’ai un peu de mal à croire à cette affaire ) .
#45
#46
#47
#48
https://fr.wikipedia.org/wiki/Cryptocat#Faiblesses
La version web de Cryptocat, bien qu’utilisée via HTTPS, est toujours sensible à une modification du code côté serveur en cas de compromission du serveur. Cela est toutefois limité en cas d’utilisation de l’application Chrome, qui fait tourner le code localement de façon analogue à OTR. Cryptocat peut également hériter de vulnérabilités qui affectent son navigateur web.
Hahaha, ce passage est complètement périmé depuis la refonte de cryptocat 2 !
Comme quoi, on ne peut pas toujours compter sur la communauté de wikipedia pour tenir les pages à jour ;)
Mort de Michael Jackson > Cryptocat corrige ses faiblesses
#49
#50
#51
#52
#53
#54
#55
#56
#57
#58
#59
#60
J’ai envie de dire, pour commencer arrêtez d’utiliser tout ce qui sort des 9 entreprises qui sont dans le système ce sera déjà un commencement.
#61
de toute facon cryptocat = caca
je prefere un vrau bon irc
#62
#63
#64
Sinon il y a I2P aussi. C’est un réseau un peu à la TOR, sauf qu’eux font une surcouche réseau complète et universelle.
Avantages :
Ça poutre sa maman, mangez-en ! " />
Oui, ne t’inquiète pas, le FBI, la NSA et la CIA se sont chargés personnellement de s’occuper du code, et je peut te dire que ce sont de grosses pointures niveau sécurité, tu peut dormir tranquille. " />
C’était donc toi cette histoire de Referer ! Salaud ! " />
#65
Terroristes !
#66
#67
Une question que je me pose cher inpactien (et je me la pose vraiment)
Vous cryptez par principe ou parce que vous avez des choses à cacher?
#68
#69
Je n’ai pas de rideaux chez moi et je crypte en milieu professionel.
On peut avoir des choses à cacher sans que ce soit répréhensible. Mais je me demande si ceux qui mette cela en place c’est par principe ou parce que la nécessité les y poussent?
#70
#71