FAQ sécurité
Comment puis-je me protéger de mon serveur ?
Quel que soit le niveau de confiance que vous accordez à votre opérateur·ice de serveur, vous pouvez prendre des mesures supplémentaires pour protéger votre vie privée. Par exemple, accéder au serveur via Tor ou un VPN protégera votre géolocalisation de votre serveur ou de tout observateur entre les deux. De plus, le chiffrement de vos messages avec OMEMO ou PGP protégera le contenu de vos communications de votre serveur, et du serveur de votre destinataire.
Comment un serveur malveillant pourrait-il m'impacter ?
Un serveur malveillant est un gros problème, comme avec d'autres réseaux fédérés (comme le Fédiverse ou le mail). Un serveur malveillant peut :
- lire vos messages non-chiffrés
- voir la liste de vos contacts et groupes de discussion (et autres groupes/communautés)
- lire l'historique de vos précédents messages reçus/envoyés (si l'archivage est activé sur le serveur, et souvent uniquement pour une certaine durée), et lire vos nouveaux messages
- vous empêcher de recevoir ou envoyer des messages
- envoyer des messages à d'autres serveurs/utilisateur·ices en se faisant passer pour vous
Cette liste peut sembler effrayante au premier abord, mais ce modèle de sécurité est le même dans la plupart des réseaux fédérés. Le concept de réseaux fédérés est qu'un serveur est responsable de nombreux utilisateur·ices et agit en leur nom du point de vue des autres utilisateur·ices.
Notez qu'un serveur malveillant ne signifie pas nécessairement un·e opérateur·ice de serveur malveillant. Les serveurs sont compromis et c'est pourquoi nous promouvons également de bonnes pratiques de sécurité pour les serveurs.
Quelles sont les autres menaces dont je devrais être conscient·e ?
Si votre serveur n'est pas compromis, vous devez quand même savoir que :
- le serveur de votre correspondant·e peut être compromis, auquel cas vos communications non chiffrées avec ce·tte correspondant·e pourraient toujours être inspectées/modifiées/bloquées
- certains services publics (comme les salons de discussion) publient l'adresse Jabber de chaque membre ; dans ce cas, vous pourriez recevoir des messages non sollicités d'autres utilisateur·ices même après avoir quitté le salon de discussion (dans les salons pseudonymisés, les autres utilisateur·ices ne peuvent vous contacter que lorsque vous êtes dans le salon)
- les services publics pseudonymisés révéleront toujours votre adresse Jabber à leurs opérateur·ices et administrateur·ices ; de plus, les serveurs implémentant les occupant-id (XEP-0421) associeront un identifiant unique par salon à votre adresse, même si vous vous connectez sous un pseudonyme différent, afin que d'autres utilisateur·ices puissent vous reconnaître (mais pas vous identifier) ; si vous souhaitez vous protéger contre ça, vous pouvez créer un autre compte Jabber/XMPP pour interagir avec ces services.
- l'utilisation d'images d'avatar vcard peut vous identifier à travers de multiples discussions de groupe pseudonymisés même si vous utilisez des noms différents dans chacun d'eux
- la plupart des clients publient des informations de présence (messages de
status
en ligne
,indisponible
) par défaut, qui peut être utilisé pour corréler vos différentes identités (ex. qui passe en ligne/hors ligne au même moment) ou espionner votre emploi du temps ; cela peut être facilement désactivé dans la plupart des clients Jabber/XMPP, alors n'hésitez pas à dire aux développeur·euses de vos clients que la confidentialité devrait être la valeur par défaut ! - un·e observateur·ice passif sur le réseau peut enregistrer l'activité du réseau entre vous et votre fournisseur de services, et tenter de corréler votre activité réseau avec votre identité pseudonyme
- un·e observateur·ice passif sur le réseau peut découvrir que vous vous connectez à un fournisseur de services spécifique en espionnant vos requêtes DNS et/ou les en-têtes TLS SNI
- un·e attaquant·e actif sur le réseau peut essayer :
- une attaque par repli pour forcer des communications moins sécurisées avec votre fournisseur de services
- d'usurper l'identité de votre fournisseur de services, avec un certificat TLS approuvé par une Autorité de Certification connue
- votre client Jabber/XMPP peut stocker certaines informations non chiffrées sur votre système, comme votre nom d'utilisateur/mot de passe ou un historique de vos messages ; la plupart des clients peuvent être configurés pour éviter cela
Dois-je choisir un prestataire de services spécifiquement destiné aux militants ?
Si vous participez à une dissidence politique pour le changement social, vous pouvez envisager d'ouvrir un compte chez un hébergeur auto-organisé et pro-militants. Ceux-ci ignoreront généralement les demandes légales étrangères de divulguer vos données, mais soyez conscient·es qu'ils peuvent toujours être contraints par leurs autorités locales de dénoncer les utilisateur·ices. De plus, vous devez être conscient·e que les serveurs radicaux favorisent la sécurité des luttes sociales, mais banniront activement les sympathisants fascistes, les crypto-escrocs et autres utilisateur·ices ayant des comportements préjudiciables pour leurs communautés. Script kiddies du monde entier, veuillez gérer vos propres serveurs, vous apprendrez peut-être une chose ou deux.
Lorsque vous utilisez un fournisseur de services à but non lucratif qui ne prend pas de mesures supplémentaires pour protéger la vie privée de ses utilisateur·ices, veuillez garder à l'esprit qu'ils sont généralement gérés par de petites communautés, qui peuvent choisir de collaborer avec les forces de l'ordre car ils n'ont peut-être pas les ressources nécessaires pour se battre devant les tribunaux et fournir de nouveaux serveurs en cas de saisie de matériel.
Enfin, il peut y avoir des avantages à avoir un compte sur un serveur populaire. Selon votre modèle de menace, un compte sur un grand serveur populaire peut aider à masquer vos métadonnées dans les masses de connexions vers/depuis ce serveur.
Audits de sécurité
La plupart de l'écosystème Jabber/XMPP n'a pas été audité pour la sécurité. Les discussions chiffrés par OMEMO sur Conversation ont été auditées en 2016. Côté serveur, prosody et ejabberd n'ont pas d'audit de sécurité publique disponible, mais ont très peu de vulnérabilités (à part les vecteurs de DOS) trouvées au fil des ans (ejabberd, prosody).
Si un audit de sécurité est important pour vous, n'hésitez pas à fournir ou à financer des audits de sécurité pour des parties de l'écosystème. Notamment, certains développeurs du serveur prosody ont exprimé le souhait d'être audités. Si un audit de sécurité complet est une exigence pour vous, et que vous n'avez pas les compétences/ressources pour y contribuer, veuillez envisager d'utiliser des alternatives à l'écosystème Jabber/XMPP comme Signal (dernier audit en 2017), Briar (dernier audit en 2017) ou Threema (dernier audit en 2020).
Qui développe Jabber/XMPP ? Sera-t-il bloqué dans mon pays ?
L'écosystème XMPP/Jabber est développé et géré par un réseau mondial de bénévoles et de petites organisations, bien qu'il existe également de grandes multinationales et des gouvernements qui en dépendent. Au moment d'écrire ces lignes, la plupart des bénévoles de l'écosystème XMPP libre résident en Europe centrale, mais il y a des contributeur·ices du monde entier. Bien qu'il soit hautement improbable qu'un gouvernement bloque l'ensemble du protocole XMPP (qui est utilisé pour beaucoup de choses), il est tout à fait possible qu'ils bloquent des serveurs spécifiques, ou bloquent les connexions des clients vers des serveurs étrangers, comme c'est le cas de nombreux services passant par le Grand Pare-feu de Chine par exemple.
Cependant, même s'il est peu probable que Jabber/XMPP soit bloqué par votre gouvernement, il est tout à fait possible qu'ils surveillent et enregistrent vos connexions, qui sont des informations qui peuvent être utilisées contre vous.
Dans les cas les plus extrêmes, il est possible pour un opérateur de réseau (ou un ordre gouvernemental) de bloquer entièrement le réseau Jabber/XMPP. Dans ce cas, utiliser des mécanismes de contournement de la censure comme Tor peut vous aider à rester en contact. Cependant, sachez que le contournement de la censure gouvernementale peut être une infraction pénale là où vous résidez et que vous pourriez avoir des problèmes avec vos autorités locales si elles le découvre.