Tor Messenger : un de plus, de trop ou futur incontournable ? Tour d'horizon rapide du marché + test
Depuis quelques jours une partie du Web est en effervescence : l’équipe du Tor-Project publie une BETA de son logiciel de communication du même nom : Tor Messenger. woooooaaaaaawwwwww !!!
Si le sérieux de leur travail n’est pas à remettre en question on peut cependant se demander où est l’intérêt d’un tel projet
Certes leur publication du fameux TorBrowser, qui clairement a fait connaître Tor aux utilisateurs de Windows qui peuvent maintenant se prendre pour des fouineurs en puissance, était au fond une très bonne chose pour les personnes en manque de compétences/connaissances informatiques et nécessitant un minimum d’anonymat sur Internet. Je pense plus aux résidents de pays pratiquant la censure ainsi qu’à des journalistes qu’aux pédophiles ou vendeurs/acheteurs d’herbe sur des marchés noirs. Comment ça je suis subjectif ?!
Bref quoiqu’il en soit il existe déjà une multitude de programmes PHP, Linux, Windows, Mac, Android, sans compter les pigeons voyageurs ou -plus sérieusement- les emails chiffrés, pour discuter à 2 ou plusieurs, de manière anonyme et/ou chiffrée. Les difficultés résidant surtout dans :
- Leur interopérabilité, (petite pensée pour Peerio qui n’était -n’est toujours- que pour Chrome sous Windows/Mac… Hum)
- Leur fiabilité (sans parler des BETA) : les sources doivent au moins être publiées voire vérifiées afin de garantir leur réel degré de fiabilité,
- Leur capacité à être décentralisés : si les échanges, même chiffrés, sont stockés sur des serveurs donc centralisés, alors on peut tout de même douter du caractère confidentiel de ces derniers,
- Leur capacité à anonymiser les connexions et échanges : les métadonnées sont difficiles à anonymiser et sans connaître le contenu on sait tout de même ce qui transite de qui vers qui, quelle taille etc,
- Leur capacité à chiffrer et anonymiser les échanges. Là on restreint tout de suite les candidats. Et c’est bien sur ce terrain que Tor Messenger pourrait faire la différence car le flux sera véhiculé via le réseau Tor mais aussi chiffré via OTR.
Surtout que d’autres solutions sont déjà bien établies, éprouvées et relativement aisées à utiliser
Après avoir testé de nombreux outils d’anonymisation et de chiffrement d’échanges texte/voix je me suis arrêté sur ce qui me permet de contacter simplement le plus de personnes :
- Les emails chiffrés, qui sont utilisables partout notamment sur Android avec K9mail et APG qui gère les clés,
- Tox, dont mon ID se trouve ici, qui remplace Skype et permet de faire de la VOIP via Tor (donc en noyant son flux de données dans ceux des autres utilisateurs du réseau). De plus, selon les clients, on peut tout à fait exporter/importer un profil entre différents périphériques,
- Le couple IRC/OTR afin de discuter de manière chiffrée sur n’importe quel serveur IRC (un peu comme Fish sauf qu’OTR ne marche qu’en /query, donc à deux seulement),
- Le duo XMPP/OTR qui permet finalement d’avoir ma propre infrastructure et de discuter avec ceux ayant aussi ce plugin dans leur client XMPP.
C’est déjà pas mal et disposer de ces 4 canaux permet de toujours trouver une solution d’échange privé selon l’interlocuteur et son degré de familiarité avec l’un ou l’autre.
Toutes ces solutions demandent toujours un peu plus qu’un double-clic sur un .exe
Et c’est peut-être là encore que cette équipe fera la différence, comme avec sa vulgarisation de l’utilisation de Tor au travers de son navigateur Firefox modifié. En effet outre les aspects techniques (et éthiques) évoqués plus haut, démocratiser l’accès à un outil de communication fiable, multiplate-forme, sécurisé et garantissant un minimum d’anonymat (car il ne sera jamais complet d’un point de vue technique pur) relève encore du Saint-Graal.
Je vous passe les étapes du téléchargement et de la vérification de la signature des sources, incontournable dans ce domaine. Je prends la version Linux 64bits.
Pour faire simple je prends la 1ère option, qui “marchera dans la plupart des cas”. La connexion au réseau Tor se lance ensuite.
Et là je me rends compte que c’est un client type PidGin ou Jitsi (plutôt utilisés pour XMPP). Donc j’y reviendrai ensuite mais du coup ce projet n’a rien à envier à tout autre duo XMPP ou IRC/OTR, il simplifie uniquement la connexion via le réseau Tor.
Du coup je vais utiliser mon compte XMPP.
En regardant les options XMPP je m’aperçois qu’ils utilisent encore une fois un outil de Mozilla : InstantBird. En effet un client XMPP indique toujours la “Ressource”, donc l’outil de connexion utilisé. L’intérêt est de pouvoir se connecter depuis différents clients, périphériques et de l’indiquer alors à ses contacts.
Je suis donc bien connecté à mon compte XMPP et je peux voir la liste de mes contacts qui sont en ligne, comme sur tout autre client XMPP.
Au niveau des add-ons (Tools/Add-ons) nul doute qu’on utilise un logiciel Mozilla. Les 2 installés et chargés par défaut sont OTR et Tor, évidemment.
Tout comme pour les préférences de l’application. On voit d’ailleurs très bien que le seul intérêt de ce “package” est qu’il configure tout seul le proxy Tor pour se connecter à Internet. Chose qui est tout à fait faisable manuellement en 5 minutes pour un “noob” avec n’importe quelle autre application de communication/navigation le permettant.
Déception
Hélas, comme le Saint Graal auquel je faisais référence (en bon athée éduqué en France), Tor Messenger n’est pas l’outil convoité et espéré. Je lui reconnais qu’il simplifie l’initiation à l’anonymat et à la vie privée (chiffrement des échanges entre 2 personnes) du fait qu’il installe et configure de manière transparente un client XMPP avec le plugin OTR et un proxy Tor.
Mais comme évoqué c’est amplement faisable par n’importe qui avec tout autre client du genre. Dont certains sont plus modernes d’ailleurs et pourvus d’options/plugins. D’autant qu’il nécessite l’utilisation d’un compte XMPP ou IRC etc, ce qui s’il ne perd pas l’utilisateur néophyte en route permettra au moins de démocratiser un peu (plus) ces canaux de communication.
