Customize

[Tutoriel] Chiffrer sa messagerie Facebook avec XMPP et OTR

Discussion in 'Tutoriels' started by benjaltf4_, Apr 7, 2014.

  1. benjaltf4_ Member

    Facebook c'est le mal. Il ne faut pas l'utiliser.
    L'unique but de Facebook est de collecter toute les informations possibles sur ses utilisateurs afin d'établir des profils marketing. Et les revendre. Blablabla Blabla Blablabla

    Bon ça c'est dit. Maintenant, une astuce pour sécuriser sa messagerie privée sur ce réseau.
    XMPP.

    Facebook utilise pour son outil de messagerie le protocole ouvert XMPP (Extensible Messaging and Presence Protocol). En ce qui nous concerne, l'intérêt de ce protocole c'est bien entendu son ouverture, qui a permis son appropriation par les communautés Hackers, Cypher-punks et autres Hacktivistes, tout comme par les leaders de l'industrie de l'information (Apple, Google, Microsoft, Facebook...).

    En Pratique (sur un ordinateur - PC, Mac).
    Nous allons tout d'abord installer un logiciel client permettant de se connecter au serveur XMPP de Facebook. Ce logiciel c'est Pidgin – http://www.pidgin.im/.

    udmUs2eM73.png

    Pour les utilisateurs de Windows, vous pouvez télécharger Pidgin ici : http://www.pidgin.im/download/windows/ et suivre les instructions.

    Pour les utilisateurs de Mac, ça se passe ici http://www.pidgin.im/download/mac/ et si vous êtes sous Linux, je vous laisse vous démerder, vous êtes grands.
    Une fois Pidgin installé et lancé, il suffit d'ajouter votre compte Facebook (3) en ouvrant la liste de contacts (1) puis l'écran Gérer les comptes (2) dans le menu Comptes.

    kUZmprTt0t.png
    (1) Une liste de contact vide

    Lo52AJFGzc.png
    (2) Gérer les comptes

    dkhBXVZsI5.png
    (3) Ajouter un compte Facebook

    Une fois votre compte ajouté et activé, vous pouvez utiliser Pidgin pour chater avec vos contacts Facebook.

    Premier avantage et non des moindres, vous n'avez pas besoin que votre navigateur soit connecté à Facebook pour utiliser la messagerie.

    Cela vous permet d'éviter d'être tracé par les cookies de Facebook (en gros, le bouton "Like" qu'on voit partout) et au taf, c'est plus discret :) .

    xW4Nl743AN.png

    Exemple d'un chat Facebook via Pidgin avec le copain Julien (mais ça marche aussi avec d'autres copains).

    Le chiffrement par OTR
    OTR (Off The Record messaging) est un protocole de chiffrement asymétrique (c'est à dire avec une clé publique et une clé privée) dédié à XMPP.

    Qui dit chiffrement asymétrique sous-entend que votre interlocuteur doit également utiliser OTR pour pouvoir déchiffrer les messages que vous lui envoyez.

    OTR va générer automatiquement votre couple clé privée / clé publique. Il utilise la clé publique de votre interlocuteur pour chiffrer votre message, votre interlocuteur utilisera sa clé privée pour déchiffrer. Mais, gros avantage par rapport au chiffrement des mails par GPG, l'échange de clés est automatique et vous n'avez même pas besoin de comprendre le concept pour que ça marche.

    A telecharger ici : https://otr.cypherpunks.ca/

    Pour activer OTR dans Pidgin, c'est simple : dans le menu "Outils" ouvrez la fenêtre "Plugins" et cochez "Messagerie Confidentielle 'Off the Record' ".

    FsdoNa2OuM.png


    Activation du plugin OTR dans Pidgin
    Reprenons notre chat avec Julien pour voir comment s'initie la conversation privée.
    Depuis l'activation du plugin, un nouveau bouton, "Non-vérifié" est apparu. Cliquez dessus pour initier le chiffrement.

    smm7SJjE5Q.png
    Et c'est parti !

    OTR, vous préviens, comme vous pouvez le constater dans la discussion, que vous n'êtes pas sûr qu'il s'agit bien de Julien et vous conseil donc de l'authentifier.
    Pour cela trois possibilités :

    - Question & Réponse (vous écrivez la question et la réponse et votre interlocuteur doit donner exactement la même réponse)

    - Secret partagé (un mot de passe connu seulement par vous et votre interlocuteur).

    - Vérification manuelle de la fingerprint (l'empreinte de la clé privé de votre interlocuteur qu'il vous aura fournie par un autre canal de communication (lui aussi sécurisé tant qu'à faire).

    dKtzjLRY2b.png
    Exemple d'authentification par question / réponse
    Et voilà, vos échanges privés via Facebook sont maintenant réellement privés.

    VUsqxZ4w0V.png
    Même Facebook te dis que c'est chiffré

    7i1PRt6Ljr.png
    Et on peut même voir à quoi ça ressemble un message chiffré

    Quel intérêt ?
    Franchement, pour l'utilisateur, il n'est pas énorme.
    Autant utiliser Pidgin pour le chat Facebook est utile pour éviter d'y connecter son navigateur, autant OTR, ça n'apporte pas grand chose.

    Une fois qu'on a Pidgin (ou n'importe quel client XMPP supportant OTR), il vaut mieux se créer un compte sur un vrai serveur Jabber, sans log, et qui accepte l'interconnexion avec les autres serveurs.
    Aucune solution de chiffrement n'est à l'épreuve du temps, et comme vous pouvez le voir dans les captures, Facebook enregistre tous vos messages.

    Le chiffrement peut donc tout ou tard être cassé.
    Par contre, en terme de pédagogie, c'est beaucoup plus intéressant. Je m'explique :

    J'ai organisé pas mal d'ateliers chiffrement et autres cryptoparties et c'est très difficiles d'y faire venir le grand public. Quand on dit "Je vais te montrer comment chiffrer Facebook", c'est beaucoup plus catchy.

    C'est également un très bon préambule à une formation GPG, puisque les concepts sont les mêmes mais la mise en oeuvre beaucoup plus simple. D'autant plus, qu'on peut voir dans l'interface de Facebook à quoi ressemble le chiffrement.

    Et pour finir, ça permet aussi d'expliquer par l'exemple qu'Internet n'est pas le Web et que d'autres services existent.

    C'est de loin le plus important à mes yeux. D'autres outils Facebook sont également utilisables sans passer par le navigateur.
    La messagerie privée peut recevoir des mails venant d'un autre serveur. Les groupes ne sont que des mailing lists.

    Facebook est un très bon support pédagogique pour expliquer énormément de choses, ça serait dommage de s'en priver, nan ?

    Source : www.pokapok.net/article8/chiffrer-sa-messagerie-facebook-avec-xmpp-et-otr
    Distribué sous license CC-BY-SA.

    Remerciements pour l'autorisation : https://twitter.com/oOBaNOo

    Prochainement : Même tuto sans passer par Facebook.
    • Like Like x 2

Share This Page

Customize Theme Colors

Close

Choose a color via Color picker or click the predefined style names!

Primary Color :

Secondary Color :
Predefined Skins