Parlons bien, parlons sécurisé !

Bonjour à toutes et à tous !

En cette période de confinement, la communication numérique est omniprésente, que ce soit pour prendre des nouvelles, garder contact avec ses amis ou simplement discuter.

Utiliser les bons outils et les bonnes technologies dans de tels moments est important. En effet, garantir la sécurité et la confidentialité de ses communications est une base de l’hygiène numérique.

Dans cet article, je détaillerai mes choix de prédilection en ce qui concerne les solutions de visioconférences, d’appels et de messagerie instantanée.

Visioconférence

Lorsque l’on souhaite prendre des nouvelles, la visioconférence est un outil fabuleux permettant de se sentir moins isolé. Aujourd’hui, de nombreuses sociétés proposent de tels outils, gratuitement, au détriment de la sécurité et de la vie privée.

Quelques exemples de logiciels à éviter à tout prix:

  • Zoom (Le pire du pire)
    • Beaucoup de vulnérabilités présentes dans le logiciel
    • Quasiment tout le trafic Zoom est envoyé sur des serveurs Chinois
    • Utilise les mêmes technique que certains virus afin de s’installer et persister
    • Récupère énormément d’informations sur l’appareil (Contacts, applis installées, statistiques d’utilisations…)
  • Skype
    • Peut être intercepté très facilement
    • Appartient à Microsoft, niveau confidentialité on a déjà vu mieux
  • Messenger
    • Performances pas ouf
    • Appartient à Facebook. N’attendez pas de confidentialité là dedans haha
  • Google Duo
    • Appartient à Google
    • Monopole numérique et confidentialité inexistante
  • Whatsapp
    • Appartient à Facebook
    • “Gneugneugneu c’est chiffré” c’est vrai, mais Facebook possède toutes les clés de chiffrement…

Maintenant, parlons de l’alternative qui, à mon sens, est bien meilleure que toutes celles évoquées juste au dessus: Jitsi

Jitsi est un projet OpenSource de visioconférence orienté vers la sécurité et la confidentialité. La force de Jitsi est que vous n’avez pas à créer de compte afin de l’utiliser. C’est un service gratuit, ouvert et sans traçabilité ! En plus, vous avez la possibilité d’héberger vous-même une instance Jitsi sur une de vos machines. Évidemment, des compétences en sysadmin et netadmin sont requises afin de faire fonctionner le tout.

L’équipe de Jitsi met à disposition une instance ouverte à tous et gratuite d’utilisation à l’adresse suivante: https://meet.jit.si

Une fois sur cette page, entrez simplement le nom de votre salon de discussion… et c’est tout ! Partagez le lien avec les personnes de votre choix et le tour est joué ! Idéal pour organiser des CoronApéros ! 😀

Jitsi fonctionne très bien directement dans les navigateurs web Chrome et Firefox, mais vous avez aussi la possibilité de télécharger l’application Android, iOS ou la version ordinateur.

Utilisant Jitsi quotidiennement avec des membres de ma famille, je dois dire que je suis vraiment bluffé par les performances de ce système. Hébergeant une instance dans mon infrastructure privée, la gestion de la plateforme est simple et rapide.

Appels & messagerie instantanée

En ce qui concerne les appels vocaux, trois solutions me viennent directement à l’esprit:

  • Signal
  • Tox
  • Telegram

Signal… mon bon vieux Signal ! Projet totalement OpenSource niveau client et serveur. Gratuit, très rapide, joli et utilisant ce qui se fait de mieux en terme de chiffrement. Que demander de mieux ? 😀 Le client Signal sur smartphone peut aussi être utilisé en tant que client SMS, ce qui évite d’avoir plusieurs applications de messageries en pagaille. Rien de plus à dire sur Signal, car le produit est extrêmement bien fini et maintenu.

Maintenant, parlons d’une solution un peu moins connue: Tox ! Ce projet OpenSource est une solution d’appels/messagerie instantanée sécurisée et décentralisée. Cela signifie que vos messages et appels sont transmis directement de personne à personne, sans passer par aucun autre serveur intermédiaire. Dans le cas de Signal ou Telegram vos messages, bien que chiffrés, transitent par un serveur central propre au logiciel.

Avec Tox, les données sont envoyées directement sans intermédiaire. Attention, cela implique que les deux personnes soient connectées au même moment afin de transmettre un message. De plus, Tox utilise un système d’identifiant unique et non identifiable. Cela signifie que lorsque vous créez un “profile” sur l’application (qui reste local à votre appareil d’ailleurs), cet identifiant unique ne pourra jamais être utilisé pour faire le lien entre votre profil et votre identité réelle. Finalement, Tox est rapide, efficace et très sécurisé.

Le cas de Telegram est assez discuté au sein de la communauté infosec. En effet, Telegram se revendique comme étant chiffré de bout-en-bout. Ce qui est techniquement vrai ! Seules les deux personnes communicantes ont accès à leurs clés de chiffrement respectives et peuvent ainsi lire les messages de la conversation.

Malgré tout, Telegram utilise sa propre méthode de chiffrement. Cette pratique est très critiquée et sujette à controverse. N’étant pas cryptologue, je ne peux  pas vous donner un avis d’expert sur le sujet. Néanmoins si vous êtes curieux, vous pourrez trouver de très bons témoignages sur le sujet en ligne 😉 Dernier point assez important: Telegram n’est pas totalement OpenSource. Les clients Telegram Android et iOS le sont, mais les serveurs appartenant à Telegram n’ont pas leur code source ouvert. Critère assez important pour beaucoup de personnes.

Signal, Tox et Telegram sont dotés de capacités à créer des groupes de discussion, échanger des fichiers, ou encore s’appeler. Ces alternatives ouvertes, gratuites et sûres sont très simples à utiliser.

Pour avoir testé les trois solutions en appels vocaux, je pense que en terme de qualité audio, Tox est le vainqueur. Vient ensuite Signal puis Telegram.

Mon âme de nerd me pousse à vous parler en dernier lieu de Matrix. Matrix est un réseau de communication sécurisé basé sur le principe de la fédération. La base de Matrix est un protocole ouvert de communication fondé sur HTTP et sur le format JSON. Le protocole Matrix se base sur les même standards cryptographique que Signal, donc autant dire que c’est moderne, propre et très bien implémenté !

Pour les personnes ne voyant pas de quoi je parle, résumons la situation brièvement:

  • Chaque personne peut mettre en place son propre serveur Matrix
  • Chaque serveur Matrix a la possibilité de se connecter aux autres serveurs afin de communiquer
  • Ainsi, si vous avez un compte sur votre propre serveur, les données restent dessus et ne sont transmises à personne d’autre

Ce système de “fédération” est le même que celui qu’utilise le réseau social Mastodon. Système très prisé des fous d’auto-hébergement.

Désormais, les développeurs de Matrix laissent à disposition leur propre serveur en libre accès, accessible à tout le monde. Ainsi, vous pouvez très bien télécharger l’application Riot.im sur votre téléphone, créer un compte sur le serveur matrix.org et commencer à communiquer avec n’importe qui !

Sachez aussi que, comme Matrix est un protocole libre, vous n’êtes pas forcés à n’utiliser qu’un seul client. En effet, de nombreuses applications sont disponibles pour beaucoup de plateformes. (Il est même possible d’utiliser Matrix depuis un terminal ou une Nintendo DS, oui oui oui !)

Par défaut, Matrix est basé sur la messagerie instantanée, mais sachez qu’il est possible de faire aussi des appels vocaux ! Par contre, tous les serveurs ne sont pas équipés de cette fonctionnalité. En rédigeant cet article, j’apprends aussi que l’équipe de Matrix a publié une intégration de Matrix avec Jitsi. Cela signifie qu’il est possible d’organiser des vidéoconférences directement depuis Matrix ! Si c’est pas beau tout ça 😀

Conclusion

Afin de conclure cet article, voici ma recommandation personnelle afin de communiquer de la manière la plus sécurisée et pratique possible:

  • Appels: Signal
  • Messagerie: Matrix
  • Vidéo: Jitsi

Sachez tout de même que de nombreuses autres applications de communication sécurisées OpenSource et gratuites existent (Session, Wickr.me, etc). Comme je ne les utilise pas, je ne saurais pas trop vous les recommander haha.

Maintenant que vous êtes des pros de la communication sécurisée, vous pouvez me contacter par ces moyens 😀 :

  • Matrix: @foxty:suspicious.systems
  • Telegram: https://t.me/tomesc
  • Tox: C77F01DB3978BB0F25A75E265CE3A2E27A242B35913EAB2179DF7D4BAC0E6C63B55F69CAB231

Sur ce, j’espère que cet article vous aura été utile et vous permettra de communiquer au mieux avec les personnes qui comptent pour vous, en ces temps difficiles. 🙂