On le sait depuis les révélations d’Edward Snowden : les cibles d’une surveillance massive sont avant tout trahies par leurs métadonnées, c’est-à-dire les traces informatiques qu’elles laissent un peu partout et qui permettent de savoir que quelqu’un a communiqué avec quelqu’un d’autre ou lui a envoyé quelque chose. L’exploitation de ces informations permet de constituer l’ensemble du réseau de contacts d’une personne, sans qu’elle s’en aperçoive.
Chiffrer ses emails avec PGP/GPG ne résout pas le problème, car les données de connexion restent visibles. Dans ces conditions, il est très risqué pour un lanceur d’alerte de contacter un journaliste d’investigation ou une organisation non gouvernementale. Certes, avec des solutions techniques comme SecureDrop ou StrongBox, il est possible de faire parvenir de manière anonyme des documents sensibles, mais elles sont assez complexes à mettre en œuvre.
Quatre spécialistes de sécurité informatique cherchent maintenant à créer un outil de messagerie instantanée simple d’usage, pour communiquer et partager des informations de manière anonyme et sans laisser de trace. Baptisé Invisible.im, ce projet s’appuie sur des briques technologiques existantes : XMPP pour les fonctions de messagerie, Tor pour l’anonymat et Off The Record (OTR) pour le chiffrement. Ce qui est nouveau, c’est la manière avec laquelle ces technologies sont utilisées. « Le problème qu’Invisible.im cherche à résoudre est l’identification à posteriori de la source d’une fuite dans les médias. Invisible.im permet à tout membre du public de communiquer avec un journaliste (ou bien tout le monde) sans que l’on puisse retrouver des traces légales sur des serveurs tiers », peut-on lire sur la page de présentation du projet.
Chacun dispose de son serveur de messagerie
Comment cela va-t-il marcher ? Plutôt que de s’appuyer sur des nœuds XMPP publics pour relayer les conversations, l’idée est que chaque utilisateur dispose de son propre serveur XMPP. Celui-ci est ensuite dissimulé grâce à la technique des « services cachés Tor » (Tor Hidden Services). Celle-ci permet, par exemple, de créer un site web qui n’est accessible que par le réseau Tor et, ainsi, de ne pas divulguer son adresse IP aux utilisateurs. Cette façon de faire est utilisée, entre autres, par les cybercriminels du Darknet pour proposer des produits illicites (exemple : SilkRoad). Les flux de communications sont, en plus, chiffrés par OTR, qui permet l’utilisation de clés de chiffrement éphémères qui changent à chaque nouvelle session.
Le projet est donc intéressant, surtout si la promesse de la facilité d’usage est tenue. Pour l’instant, l’outil n’est qu’au stade du prototype : l’équipe a vérifié que les différentes briques technologiques peuvent fonctionner ensemble. Ils vont maintenant se lancer dans le véritable développement. A ce titre, ils sont à la recherche de contributeurs, aussi bien au niveau du code que des finances. Et les développeurs croient dur comme fer à leur futur programme : « Invisible.im est un cauchemar pour tout acteur de surveillance de masse, c’est pourquoi nous pensons que beaucoup de gens sont intéressés par Invisible.im en remplacement de leur messagerie instantanée traditionnelle », soulignent-ils. A suivre.
Lire aussi:
ProtonMail, le webmail anti-NSA, déjà victime de son succès, le 20/05/2014
Le MIT invente un web anti-NSA, le 26/03/2014
Source :
🔴 Pour ne manquer aucune actualité de 01net, suivez-nous sur Google Actualités et WhatsApp.