Clap de fin pour la messagerie Tor. Dans un message publié le lundi 2 avril, l’équipe en charge du projet annonce jeter l’éponge, après avoir constaté un certain nombre de difficultés jugées insurmontables. C’est donc la fin de l’aventure pour un programme dont la première bêta publique est sortie le 29 octobre 2015, il y a un peu moins de deux ans et demi. Depuis, il y a eu onze mises à jour, toujours en bêta.
Le projet s’est fait connaître fin mars 2014, un peu moins d’un an après les révélations d’Edward Snowden, qui ont montré notamment que les conversations privées des internautes font partie des informations qui sont espionnées par les agences de renseignement. À cette époque, divers projets avaient vu le jour (BitTorrent Chat, Mega, Heml.is, Caliop…) pour proposer des contre-mesures, mais certains d’entre eux ont jeté l’éponge ou ont dû revoir leurs ambitions à la baisse.
Tor Messenger était une application de messagerie instantanée basée sur le logiciel InstantBird de Mozilla. Il ne visait pas à remplacer pas les messageries habituelles mais à active par défaut le protocole cryptographique Off-The-Record pour masquer le contenu des conversations en cas d’interception par un tiers. Bien sûr, il utilisait le réseau Tor pour cacher l’origine et la destination des échanges, via divers relais.
Le logiciel open-source était disponible pour Linux, OS X et Windows et était capable de prendre en charge un certain nombre de messageries plus ou moins répandues, comme Jabber (XMPP), IRC, Google Talk, Facebook Chat, Twitter et Yahoo.
Selon les explications fournies par l’équipe derrière Tor Messenger, la première raison ayant conduit à l’arrêt du projet concerne l’arrêt du développement d’InstantBird — une décision qui a été annoncée courant octobre 2017. En particulier, il est expliqué que l’interface n’est plus développée, ce qui pose un problème pour Tor, même si les fonctions de discussion elles-mêmes ont été portées sur Thunderbird.
Le deuxième souci, sans doute le plus grave pour ce qui est de la confidentialité des communications, est la fuite incontrôlable de métadonnées issues des messageries mentionnées plus haut.
« Une architecture client-serveur centralisée en souffre et Tor Messenger hérite de ces problèmes tout en étant incapable de les atténuer. Les métadonnées divulguent des informations sur les participants et leurs graphes sociaux, et bien qu’elles ne révèlent pas les données réelles, elles peuvent exposer des modèles de communication : qui sont vos amis, quand vous leur parlez, à quelle fréquence, etc », explique l’équipe.
La dernière difficulté est tout simplement un problème de soutien et de ressources. Le logiciel n’a jamais pu sortir de sa condition de bêta et aucun audit externe n’a pu être mené à bien — il y a quand même eu deux audits internes. Ces insuffisances ont pesé lourd car l’équipe était dans l’incapacité de répondre aux requêtes des usagers pour de nouvelles fonctions ou pour traiter les rapports de bug.
Vers quoi se tourner ?
Maintenant que Tor Messenger tire sa révérence, vers quoi se tourner ? L’équipe suggère par exemple de regarder du côté de CoyIM, si la fuite de métadonnées et l’architecture client-serveur centralisée ne sont pas des lignes rouges, mais que vous avez besoin par contre de passer par le protocole XMPP. Elle suggère aussi de jeter un œil dans un guide de l’EFF ce qu’il faut prendre en compte pour une messagerie sûre.
Au-delà des conseils de l’équipe de Tor Messenger, nous pouvons vous suggérer d’aller lire le tableau Secure Messaging Apps Comparison qui juge des applications (Allo, iMessage, Messenger, Riot, Signal, Skype, Telegram, Threema, Viber, Whatsapp, Wickr, Wire) sur des critères très techniques, ou notre guide plus grand public évoquant BlackBerry Messenger, WhatsApp, iMessages, Hangouts, Telegram et Signal.
Signalons aussi le travail de Florian Maury, ex-ingénieur à l’Agence nationale de la sécurité des systèmes d’information, sur les protocoles de chiffrement pour les messageries quasi-instantanées (Telegram, Off-the-Record, OpenPGP, Signal et OMEMO), en étudiant les mécanismes cryptographiques et en les confrontant dans une étude comparative, avec ce qui va et ce qui ne va pas.
Vous avez lu 0 articles sur Numerama ce mois-ci
Tout le monde n'a pas les moyens de payer pour l'information.
C'est pourquoi nous maintenons notre journalisme ouvert à tous.
Mais si vous le pouvez,
voici trois bonnes raisons de soutenir notre travail :
- 1 Numerama+ contribue à offrir une expérience gratuite à tous les lecteurs de Numerama.
- 2 Vous profiterez d'une lecture sans publicité, de nombreuses fonctions avancées de lecture et des contenus exclusifs.
- 3 Aider Numerama dans sa mission : comprendre le présent pour anticiper l'avenir.
Si vous croyez en un web gratuit et à une information de qualité accessible au plus grand nombre, rejoignez Numerama+.
Abonnez-vous à Numerama sur Google News pour ne manquer aucune info !