Off-the-Record Messaging

Off-the-Record Messaging, appelé communément OTR, est un protocole cryptographique.

Description

Il utilise une combinaison d'un algorithme de clés symétriques AES, du protocole d'échange de clés Diffie-Hellman et de la fonction de hachage SHA-1. OTR permet d'avoir des conversations privées sur de multiples protocoles de messagerie instantanée (XMPP/Jabber, IRC, SILC, MSN, ...) en fournissant :

• Chiffrement : personne d'autre ne peut lire vos messages instantanés.
• Authentification : vous êtes assuré que votre correspondant est celui que vous pensez être. Il existe 3 méthodes d'authentification :
  • Question & Réponse : quand vous authentifiez un contact par cette méthode, vous écrivez une question/sa réponse et votre contact seulement la réponse. Si vos réponses ne sont pas identiques, vous pourriez être en conversation avec un imposteur.
  • Secret partagé : choisissez un 'code secret' connu de seulement vous/votre contact et attendez que celui-ci entre le 'code secret'. Si vos secrets ne sont pas identiques, vous pourriez être en conversation avec un imposteur.
  • Vérification manuelle d'empreinte : contactez votre contact via un autre canal authentifié, comme le téléphone ou un mail GPG-signé. Chacun devra donner son empreinte à l'autre. Si l'empreinte de votre contact est identique à celle indiquée sur votre écran, dites que vous avez vérifié l'empreinte.
• Possibilité d'interdiction : n'importe qui peut forger des messages avant/après une conversation privée pour les faire voir comme s'ils venaient de vous. Cependant, pendant une conversation privée, votre correspondant est assuré que les messages qu'il voit sont authentiques et non-modifiés.
• Perfect forward secrecy Perfect forward secrecy (en) : si vous perdez le contrôle de vos clefs privées, aucune conversation antérieure n'est compromise.

OTR se présente sous la forme d'un plugin à greffer à un client de messagerie instantanée ou est incorporé d'office dedans (voir ci-dessous). Tous les protocoles (ou presque) supportés par ces clients de messagerie instantanée peuvent utiliser OTR. Il doit être installé chez chaque interlocuteur pour être actif. Les 'différents OTR' sont compatibles entre eux (un contact utilisant Pidgin + OTR pourra parler de manière sécurisée avec un contact utilisant Gajim + OTR, etc.). OTR est différent du paramètre "off the record" de Google Talk qui désactive simplement l'archivage des conversations.

Disponibilité

D'origine dans

• Kopete depuis la version 0.50 (KDE 4)
• Adium
• Climm (en) (depuis la version 0.5.4)

Sous forme de plugin

• Pidgin
• Miranda IM
• Trillian
• Kopete (sous KDE 3)
• XChat
• Irssi

Divers

• Gajim (version spéciale de Gajim - en développement mais très stable)
• Psi [plugin + version spéciale ("patchée") de Psi]

Liens externes

• Site du projet OTR
• Description du protocole

Source

• Page 'sécuriser ses conversations' du wiki free.korben (sous licence CC-By)

• Portail de la cryptologie