OTR signifie «off the record». C’est un moyen d’avoir des conversations de messagerie instantanée privées cryptées en ligne. Il utilise un cryptage de bout en bout pour que votre fournisseur de réseau, le gouvernement et même le service de messagerie instantanée lui-même ne puissent pas voir le contenu de vos messages.
Ce n’est pas trop difficile à configurer, bien que les deux personnes devront utiliser le logiciel approprié et passer par un processus de configuration rapide avant que vos conversations ne soient cryptées.
Comment fonctionne OTR
Comme tous les logiciels, OTR n’est pas parfait. Toute vulnérabilité dans libpurple – la bibliothèque mssaging utilisée à la fois dans Pidgin et Adium – ou une vulnérabilité dans le plug-in OTR lui-même pourrait permettre à un attaquant de compromettre votre session sécurisée. Si la NSA voulait vraiment vous fouiner, il est possible qu’elle ait déjà un moyen de casser OTR.
Mais OTR a plus d’utilisations que de simplement cacher vos conversations à la NSA. Il fournit une couche supplémentaire de cryptage et d’authentification via AIM, Google Talk, ICQ, Yahoo! Messenger, MSN Messenger ou tout autre protocole pris en charge par Pidgin ou Adium. Cela masque ce dont vous parlez du service de messagerie instantanée que vous utilisez, de votre fournisseur de services Internet, de votre opérateur de réseau local et, en théorie, des agences de renseignement surveillant votre utilisation d’Internet.
OTR fournit également une authentification, vous avez donc la garantie que vous parlez à la personne réelle. Même si leur compte a été compromis et que quelqu’un d’autre a tenté de vous parler avec son nom d’écran, vous verrez une erreur car les informations de cryptage ne correspondent pas.
Bien que l’OTR ne soit probablement pas parfait, il peut ajouter une certaine confidentialité supplémentaire si vous avez besoin de parler de questions sensibles en ligne.
Configurer OTR
OTR est un plug-in pour la messagerie instantanée Pidgin. Pour l’utiliser, vous devrez installer Sabir et le Plug-in Pidgin-OTR. Les deux sont disponibles pour Windows et devraient se trouver dans les référentiels de logiciels de votre distribution Linux. Les utilisateurs de Mac OS X devront utiliser Adium plutôt.
Après l’installation, lancez Pidgin et configurez vos comptes si vous ne l’avez pas déjà fait. Accédez au menu Outils> Plugins et activez le plug-in Messagerie Off-the-Record.
Cliquez sur le bouton Configurer le plug-in pour afficher ses options. Sélectionnez le compte avec lequel vous souhaitez discuter en privé et cliquez sur le bouton Générer pour créer une clé privée pour ce compte spécifique. Cette clé sera utilisée pour crypter vos messages.
Vous devrez générer des clés séparément pour chaque compte si vous souhaitez utiliser OTR avec plusieurs comptes.
Si la personne à qui vous souhaitez parler n’a pas encore configuré OTR, elle devra suivre ce processus sur son propre ordinateur pour configurer son logiciel et générer une clé privée.
Lancer une conversation privée
Ensuite, ouvrez une fenêtre de conversation avec la personne à qui vous souhaitez parler. Vous verrez un bouton OTR indiquant « Non privé » si une conversation n’est pas sécurisée avec OTR. Cliquez sur le bouton et sélectionnez Démarrer une conversation privée pour commencer.
Vous verrez maintenant un message indiquant que la session est sécurisée avec un cryptage, mais que votre copain n’a pas été vérifié. Si cela ne fonctionne pas, votre ami n’a probablement pas configuré et configuré correctement l’OTR.
Authentifiez votre copain
Vous voudrez maintenant authentifier ou vérifier votre ami. Pour démarrer ce processus, cliquez à nouveau sur le bouton OTR et sélectionnez Authentifier le copain.
Sélectionnez Question et réponse, Secret partagé ou Vérification manuelle des empreintes digitales. L’idée ici est que vous vérifiez que la personne à laquelle vous vous êtes connecté est en fait votre copain et non un imposteur. Par exemple, vous pouvez vous rencontrer en personne à l’avance et choisir une phrase secrète que vous utiliserez plus tard ou poser une question qu’ils connaissent.
Votre ami verra l’invite d’authentification et devra répondre avec le message exact que vous avez tapé. C’est sensible à la casse.
Une fois l’authentification terminée, le statut de votre conversation passera de Non vérifié à Privé.
Empreintes digitales connues
Le plug-in OTR se souviendra désormais de l’empreinte digitale de la clé de votre ami. La prochaine fois que vous vous connecterez à ce copain, il vérifiera qu’il utilise la même clé et les vérifiera automatiquement. Si quelqu’un d’autre compromet son compte et tente de se connecter avec une autre empreinte digitale, vous le saurez.
Rendre les futures conversations privées
Le plug-in devrait maintenant initier automatiquement une conversation sécurisée avec votre ami chaque fois que vous lui parlez.
Notez que le premier message envoyé et reçu dans chaque conversation est envoyé en clair! La conversation sécurisée n’est initiée qu’après l’envoi du message. Pour cette raison, il est judicieux de démarrer les conversations avec un message d’accueil rapide tel que « Bonjour ». Ne lancez pas une conversation avec quelque chose de sensible, comme «Protestons contre [location]»Ou en révélant un secret commercial sensible.
L’OTR n’est probablement pas nécessaire pour la grande majorité des conversations, mais il offre une certaine confidentialité supplémentaire lorsque vous avez besoin de parler de quelque chose de sensible. Cela devrait fonctionner assez bien, mais nous devrions tous supposer qu’il y a des failles de sécurité quelque part dans Pidgin ou le plug-in OTR dont les agences de renseignement pourraient tirer parti, tout comme il y en a dans tous les logiciels.
Bien sûr, utiliser OTR sera toujours plus privé que de parler en texte clair! (À moins que la NSA ne commence à vous accorder plus d’attention lorsqu’elle voit que vous utilisez un logiciel de cryptage, ce qui est également une possibilité.)
