Qu’est-ce que la messagerie off-the-record (OTR)?

[ware_item id=33][/ware_item]

Pour les journalistes, la capacité de protéger une source est vitale pour communiquer avec succès avec des personnes précieuses. Pour les sources, les enjeux sont encore plus importants: leur sécurité et leur liberté dépendent du fait de ne pas être identifiés comme la source d'une histoire.


La simple révélation que quelqu'un à l'intérieur d'une entreprise ou d'une organisation gouvernementale a parlé à un journaliste peut être aussi dommageable que le contenu de la conversation elle-même.

Imaginez ceci: après avoir reçu un avertissement anonyme, une importante publication de nouvelles raconte l'histoire d'une grande compagnie pétrolière couvrant un accident. Le lendemain de la rupture de l'histoire, la société apprend qu'un employé a récemment échangé des informations cryptées avec quelqu'un de la société de presse. La société tire immédiatement la fuite, mettant fin à sa carrière et menace la fuite avec un gros procès.

Les communications officieuses aident à empêcher le déploiement de ces scénarios.

«Off-the-record» (OTR) en tant que terme dans le journalisme fait référence à des informations provenant de sources qui n'existent pas officiellement, ou à des conversations qui «n'ont pas eu lieu». Ces informations peuvent mais ne doivent pas provenir de sources connues au journaliste, prenant la forme de tout, d'une information anonyme à des informations provenant d'une source de confiance.

Bien que de nombreuses organisations de presse respectables aient pour politique de ne pas publier d'informations partagées, ces informations peuvent toujours jouer un rôle essentiel en orientant les journalistes dans la bonne direction ou en aidant les journalistes à trouver des sources citables avec les mêmes informations..

Jetons un œil à la messagerie OTR et à son fonctionnement.

OTR utilise le secret avancé

Pour comprendre les fonctionnalités d'OTR, examinons d'abord Pretty Good Privacy (PGP), qui est antérieure à OTR de plus de 10 ans. PGP est un logiciel de cryptage dans lequel l'expéditeur et le destinataire créent une paire de clés de cryptage qu'ils utilisent pour crypter les messages et les données. Il est populaire pour les e-mails et les transferts de fichiers et permet également aux utilisateurs de signer des données avec une clé publique statique pour prouver leur authenticité. Cette clé est souvent publiée sur le site Web du propriétaire ou dans des répertoires et peut être utilisée pendant longtemps par son propriétaire..

Bien qu'un logiciel de cryptage comme PGP soit efficace pour garder secret le contenu des données communiquées, il présente quelques inconvénients lorsqu'il s'agit de rester en contact avec vos sources. Si votre clé de cryptage est exposée, un attaquant peut décrypter toutes vos conversations précédentes s'il a intercepté et enregistré les messages cryptés.

OTR protège vos messages contre le décryptage en pratiquant le «parfait secret de retransmission».

Le secret de transmission signifie que vous avez le secret aujourd'hui même si votre clé est compromise à l'avenir. OTR assure la confidentialité des retransmissions en utilisant une clé différente pour chaque session, qui n'est pas stockée une fois la session terminée.

L'inconvénient d'avoir des clés différentes pour chaque session est que vous ne pouvez pas récupérer votre historique sans l'enregistrer en texte clair, ce qui pourrait vous compromettre plus tard. De plus, il n'y a aucun moyen de savoir si l'autre partie vous connecte, mais vous ne lui auriez pas révélé votre identité ou des informations précieuses si vous ne leur aviez pas fait confiance au départ, non?

OTR fournit une authentification et un cryptage déniables

Authentification déniable

Dans PGP, vous pouvez utiliser la clé statique pour signer tout type de données ou de texte. Cette signature vous authentifie sans aucun doute et montre que vous avez créé ou approuvé certains messages. Mais comme cette signature est visible par tout observateur, elle peut révéler l'identité des deux parties communicantes.

Pratiques OTR authentification déniable. Cela signifie qu'il est impossible pour une personne qui espionne de dire uniquement à partir des messages chiffrés qui communique avec qui. Seuls les participants obtiennent des informations sur leurs identités respectives sous la forme d'une empreinte digitale.

Pour vérifier les identités des uns et des autres et vous assurer que personne n'effectue une attaque d'homme au milieu, vous pouvez publier vos empreintes digitales ou les échanger via un autre canal, par exemple en personne ou sur vos profils de réseaux sociaux. Cet échange d'empreintes digitales est une caractéristique importante qui rend OTR nettement plus anonyme que PGP.

Cryptage déniable

De la même manière que l'authentification, PGP permet à un observateur ou à un espionnaire de voir quelle clé privée déverrouille un fichier crypté. Même si l'attaquant ne parvient pas à mettre la main sur cette clé privée, il sait qui la possède et peut faire pression sur une victime ou un suspect d'un crime pour décrypter le fichier.

Dans OTR, il est impossible de voir qui détient la clé d'une conversation cryptée. De plus, il est possible que la clé ait été détruite immédiatement après la conversation. C'est appelé chiffrement déniable.

Bien que l'authentification et le cryptage déniables puissent être assurés ou même importants dans certains contextes, il existe d'autres façons de relier les clés de deux parties à leurs identités réelles, comme via les canaux de chat, les comptes et les adresses IP utilisés dans une conversation..

Lisez la suite pour savoir comment protéger votre anonymat lorsque vous utilisez la communication OTR.

Exigences de base pour OTR

En théorie, l'utilisation d'OTR est similaire à PGP, mais vous n'avez pas à vous soucier de la création, de la publication et du partage de clés manuellement, ni de leurs dates d'expiration. Voici les étapes de base pour utiliser OTR.

  1. Installez le logiciel OTR. Comme OTR est limité aux chats, il est livré avec une variété de logiciels de chat, notamment Pidgin (Windows, Linux), Adium (Mac OS X), Chat Secure (iOS, Android) et Tor Messenger (multiplateforme, toujours en version bêta).
  2. Configurez un compte de chat compatible avec ces clients de messagerie. Le compte doit au moins prendre en charge des protocoles comme jabber / xmpp, un système ouvert et décentralisé qui fonctionne de manière similaire à la messagerie électronique. La plupart des comptes Gmail ou Google Apps fonctionnent également comme des comptes Jabber, sans frais supplémentaires. Il existe également de nombreux services qui vous permettent d'enregistrer un compte jabber librement et anonymement.
  3. Ajoutez vos contacts en tant que «copains» pour discuter avec eux. Entrez leur adresse jabber, qui ressemble ou est identique à leur adresse e-mail.
  4. Pour lancer un message OTR, cliquez sur «démarrer une conversation privée» ou cliquez sur un symbole de verrouillage, selon le logiciel que vous utilisez.
  5. Pour vérifier l'identité de votre ami, partagez votre empreinte digitale les uns avec les autres. Vous pouvez voir votre empreinte digitale en cliquant sur «vérification manuelle» dans votre fenêtre de chat. Si vous avez déjà établi un canal crypté vérifié, vous pouvez vous vérifier mutuellement par ce biais. Vous pouvez également répertorier votre empreinte digitale sur votre site Web ou sur les réseaux sociaux.

Comment maintenir l'anonymat sur OTR

Bien que le protocole OTR lui-même soit assez étonnant pour protéger votre vie privée et votre anonymat, il est moins puissant si vous utilisez un canal qui peut être lié à votre véritable identité. Le déni cryptographique est génial en théorie, mais cela va à l'encontre du but si vous communiquez via votre compte Google Apps professionnel, où votre employeur, Google et probablement le gouvernement peuvent voir qui vous envoyez des messages. Souvent, cela leur suffit pour tirer des conclusions sur l'identité de votre source et de vos collaborateurs.

Voici comment rester anonyme lorsque vous utilisez OTR.

Étape 1: utiliser plusieurs comptes

La première étape pour améliorer votre confidentialité consiste à utiliser plusieurs comptes et à savoir qui vous ajoutez sur quel compte. Vous pouvez aller jusqu'à créer un nouveau compte pour chacun de vos contacts. Pour éviter l'analyse de corrélation du moment et de l'endroit où vous vous connectez, vous pouvez enregistrer ces comptes sur divers serveurs et services.

Étape 2: Connectez-vous à OTR via VPN ou Tor

La deuxième étape consiste à toujours se connecter à ces comptes de chat via un VPN ou même Tor, surtout lorsque vous vous inscrivez. Se connecter une seule fois à partir de votre adresse IP personnelle ou professionnelle est suffisant pour vous compromettre.

Étape 3: vérifier l'identité du destinataire

La dernière étape est la plus fatigante: vérifier l'identité du destinataire. Ceci est particulièrement important pour garantir qu'aucun tiers n'intercepte l'échange au milieu, en substituant les clés OTR de votre contact aux leurs. Votre connexion vous semblera sécurisée et cryptée, mais peut ne pas l'être avant d'avoir vérifié les clés.

Pour vérifier de manière fiable l'identité de votre destinataire, une bonne pratique consiste à diffuser votre empreinte digitale via un canal de confiance tel que votre carte de visite, votre site Web ou votre compte de réseau social. (Vous pouvez trouver votre empreinte digitale sous «paramètres» ou «vérifier manuellement».)

Comment rester anonyme lors du partage de fichiers

Bien que le protocole Jabber et de nombreux clients permettent théoriquement le partage de fichiers ou de pièces jointes, il fonctionne rarement et n'utilise pas le cryptage.

Pour partager des fichiers, ExpressVPN recommande Onionshare, un service de partage de fichiers P2P construit via Tor. De cette façon, aucune des parties ne peut identifier l'autre facilement grâce à son adresse IP, et le fichier est chiffré en transit.

Comme pour tout téléchargement, sachez que les fichiers peuvent contenir du code malveillant qui pourrait vous désanonymiser. Votre meilleur pari est de vous déconnecter d'Internet avant d'ouvrir les fichiers ou d'ouvrir les fichiers à l'intérieur d'une machine virtuelle.

Veillez à cliquer sur tous les types de liens, en particulier les raccourcis, car ils peuvent contenir des codes de suivi qui vous permettent de vous identifier auprès de l'autre partie. Si vous devez ouvrir des liens suspects, ouvrez-les uniquement dans le navigateur Tor.

Cliquez ici pour savoir comment configurer un compte Jabber anonyme avec cryptage OTR.

Image vedette: Scott Griessel / Dollar Photo Club

Qu'est-ce que la messagerie off-the-record (OTR)?
admin Author
Sorry! The Author has not filled his profile.