tag:linuxfr.org,2005:/tags/smssecure/publicLinuxFr.org : les contenus étiquetés avec « smssecure »2016-12-14T14:15:01+01:00/favicon.pngtag:linuxfr.org,2005:News/373492016-12-09T10:12:43+01:002016-12-09T10:49:25+01:00Silence : XMPP, chiffrement et méta‐donnéesLicence CC By‑SA http://creativecommons.org/licenses/by-sa/4.0/deed.fr<div><p>Silence est une application libre (GPL v3) pour Android de SMS et MMS, permettant de chiffrer les communications avec les autres utilisateurs de Silence. Silence vous permet donc d’envoyer du texte et des images en toute sécurité, mais le texte et les images passeront en clair par les réseaux vers les utilisateurs classiques. Cette application est disponible sous forme de code source sur <a href="https://github.com/SilenceIM/Silence">GitHub</a> et binaire sur <a href="https://f-droid.org/repository/browse/?fdfilter=SILENCE&fdid=org.smssecure.smssecure">F-Droid</a> et le Play Store de Google.</p>
<p><img src="//img.linuxfr.org/img/68747470733a2f2f6769746875622e636f6d2f53696c656e6365494d2f53696c656e63652f7261772f6d61737465722f7265732f6472617761626c652d787878686470692f69636f6e2e706e67/icon.png" alt="logo de Silence" title="Source : https://github.com/SilenceIM/Silence/raw/master/res/drawable-xxxhdpi/icon.png"></p>
<p>Silence est le nouveau nom de SMSSecure, divergence (<em>fork</em>) de Signal (anciennement TextSecure) d’<a href="https://whispersystems.org/">Open Whisper Systems</a>. On avait déjà parlé de l’<a href="//linuxfr.org/news/textsecure-les-sms-et-mms-chiffres-c-est-fini">abandon du chiffrement des SMS et MMS de Signal</a>, à cause des limites des API d’iOS, d’une expérience utilisateur compliquée en ce qui concerne l’échange de clefs et aussi des méta‐données des SMS et MMS qui transitent forcément en clair. Silence/SMSSecure <a href="//linuxfr.org/news/smssecure-les-sms-et-mms-chiffres-sur-android-ce-n-est-pas-fini">était né de ce constat</a>, ainsi que de la volonté de se débarrasser des dépendances aux services de Google.</p>
<p>Un <a href="https://github.com/SilenceIM/Silence/pull/390">transport XMPP</a> est actuellement en cours d’ajout dans Silence.</p></div><ul><li>lien nᵒ 1 : <a title="https://silence.im/" hreflang="en" href="https://linuxfr.org/redirect/97365">Site du projet</a></li><li>lien nᵒ 2 : <a title="https://github.com/SilenceIM/Silence" hreflang="en" href="https://linuxfr.org/redirect/98771">Code source de Silence</a></li><li>lien nᵒ 3 : <a title="https://f-droid.org/repository/browse/?fdfilter=silence&fdid=org.smssecure.smssecure" hreflang="en" href="https://linuxfr.org/redirect/98778">Silence sur F-Droid</a></li></ul><div><h2 id="chiffrement-des-sms-et-mms-et-des-métadonnées">Chiffrement des SMS et MMS et des méta‐données</h2>
<p>Le rôle premier de Silence est de chiffrer les SMS et MMS entre deux utilisateurs de l’application. C’est une des <a href="//linuxfr.org/news/smssecure-les-sms-et-mms-chiffres-sur-android-ce-n-est-pas-fini">raisons historiques du <em>fork</em> de l’application</a>, quand TextSecure a abandonné cette fonctionnalité.</p>
<p>Après un échange de clefs, l’utilisateur pourra, de manière simple et transparente, chiffrer ses communications par SMS avec les autres utilisateurs de Silence. Et pour les autres contacts qui n’utilisent pas l’application, Silence se comportera comme n’importe quelle application de SMS, c’est‐à‐dire que les messages ne seront pas chiffrés.</p>
<p>Le gros problème des SMS est qu’ils laissent beaucoup de méta‐données. Les méta‐données, globalement, qui parle à qui, quand et à quelle fréquence, permettent de calculer des graphes sociaux et sont massivement utilisées par les agences de renseignement. Silence ne peut pas masquer les méta‐données, puisque celles‐ci sont intrinsèquement nécessaires pour que le SMS soit correctement envoyé. Les opérateurs téléphoniques (ainsi que les agences ayant accès aux bases de données des opérateurs) peuvent donc savoir vers quels numéros un utilisateur discute, même si le contenu des messages reste inaccessible grâce au chiffrement de bout en bout du message par Silence.</p>
<p>Le projet parent de Silence, TextSecure (aujourd’hui Signal), a choisi de se concentrer sur les messages qui passent par Internet. Les opérateurs téléphoniques n’ont alors pas accès aux méta‐données. En revanche, TextSecure/Signal utilise les services de Google. Même si un effort est fait pour réduire les informations exploitables par la firme, des méta‐données restent accessibles à Google. En outre, TextSecure/Signal n’a pas de système fédéré de serveurs et l’intégralité des contacts des utilisateurs est sauvegardée en ligne.</p>
<p>Les méta‐données des SMS sont un vrai problème et il est nécessaire de proposer une solution. Cependant, il ne s’agit pas de supprimer la prise en charge des SMS et MMS, mais seulement de proposer une meilleure solution. XMPP étant décentralisé et ouvert, Silence se dirige vers ce choix et va bientôt permettre de transmettre les messages via XMPP.</p>
<h2 id="xmpp">XMPP</h2>
<p>XMPP est décentralisé. Mais il faut quand même un certain nombre de paramétrages côté serveur, tant en termes de sécurité que de fonctionnalités (notamment la <a href="http://xmpp.org/extensions/xep-0198.html,">XEP-0198 : <em>Stream Management</em></a> pour ne pas perdre de messages quand la connectivité est mauvaise).</p>
<p>Pour acheminer les messages XMPP, il vaut mieux se reposer sur des serveurs gérés par des organisations en qui on peut avoir relativement confiance. Certes, les messages continueront d’être chiffrés de bout en bout et ne pas avoir confiance en son serveur XMPP n’est pas rédhibitoire. Pour autant, c’est un plus appréciable.</p>
<p>Ainsi, Silence va intégrer une liste de serveurs XMPP « de confiance », c’est‐à‐dire répondant aux critères de sécurité, de configuration et opérés par des organisations à but non lucratif. Bien entendu, il vaut mieux un grand nombre de serveurs afin de réduire l’intérêt et les dégâts potentiels d’une attaque.</p>
<p>Prenons Bob qui envoie un message à Alice. Bob est connecté à son serveur XMPP : le serveur de Bob voit un message en provenance d’une adresse XMPP inconnue (il n’y a pas de lien entre l’adresse XMPP de Bob et le numéro de téléphone de Bob ; le serveur ne connaît même pas l’identité réelle de Bob) à destination d’une autre adresse XMPP inconnue. Le serveur de Bob connaît l’adressee IP qui s’est connectée, mais il ne peut pas l’associer à une personne (encore moins si Bob passe par Tor). Il ne connaît pas non plus l’adresse IP d’Alice. Le serveur XMPP d’Alice voit arriver un message XMPP, mais il ne connaît pas l’adresse IP de Bob. En outre, les FAI de Bob et Alice ne connaissent pas les adresses XMPP, puisque les connexions sont encapsulées dans TLS. Et aucun contact n’est envoyé en ligne, tout reposant sur le carnet d’adresses local de chaque utilisateur.</p>
<h2 id="appel-aux-hébergeurs">Appel aux hébergeurs</h2>
<p>Silence doit donc reposer sur un « réseau » composé d’opérateurs de serveurs XMPP. De tels opérateurs peuvent être des associations, des fédérations d’hébergeurs (au hasard, des membres du collectif <a href="https://chatons.org/">Chatons</a>), des hébergeurs indépendants, etc. Ce « réseau » doit être mis en place avant la publication de la première version de Silence, ajoutant le transport XMPP, puisque l’utilisateur va créer un compte sur un de ces serveurs en fonction de la liste incluse dans l’application. Il sera bien sûr également possible pour l’utilisateur de paramétrer un autre serveur s’il le souhaite.</p>
<p>Si vous êtes intéressés par le projet, envoyez un courrier électronique à « support <em>chez</em> silence <em>point</em> im » ! ;)</p></div><div><a href="https://linuxfr.org/news/silence-xmpp-chiffrement-et-meta-donnees.epub">Télécharger ce contenu au format EPUB</a></div> <p>
<strong>Commentaires :</strong>
<a href="//linuxfr.org/nodes/109153/comments.atom">voir le flux Atom</a>
<a href="https://linuxfr.org/news/silence-xmpp-chiffrement-et-meta-donnees#comments">ouvrir dans le navigateur</a>
</p>
BastienLQNÿcoDavy DefaudariasunifiuzzyDenis DordoigneNils Ratusznikpalm123https://linuxfr.org/nodes/109153/comments.atom