Informatique

Le projet Tor abandonne le développement de Tor Messenger

Avant d'avoir publié la première version stable de son application de messagerie sécurisée

Le projet Tor a annoncé la fin du développement de Tor Messenger, son programme de messagerie instantanée axé sur la protection de la vie privée, plus de deux ans après son lancement en version bêta.

Pour ceux qui ne sont pas familiers à Tor, il s’agit d’un réseau informatique décentralisé qui permet d’anonymiser l’origine des connexions. Cela peut, entre autres, servir à anonymiser la source d’une session de navigation Web ou de messagerie instantanée. Il est donc utilisé pour se protéger contre l’analyse de trafic, qui est une forme de surveillance sur Internet. C’est aussi un outil de contournement de la censure sur Internet, car il permet aux personnes l’utilisant d’accéder à des sites, contenus ou services bloqués dans certaines zones du monde.

Cependant, l’anonymisation du flux n’est pas suffisante, car les applications ou services que vous utilisez peuvent transmettre des informations annexes ou métadonnées permettant de vous identifier. C’est pour cette raison que le projet Tor développe également le navigateur Web Tor Browser, ainsi que d’autres applications spécialement modifiées pour préserver l’anonymat de leurs utilisateurs. Tor Messenger faisait certainement partie de ces applications.

Lancé au dernier trimestre de 2015 en version bêta, Tor Messenger est un programme de messagerie instantanée multiplateforme qui se voulait sécurisé par défaut en envoyant tout son trafic sur Tor et en chiffrant les conversations grâce à l’utilisation d’OTR (Off-the-Record Messaging). OTR est un protocole cryptographique qui permet d’avoir des conversations privées sur de multiples protocoles de messagerie instantanée existants en fournissant, entre autres, un chiffrement, une authentification et une confidentialité persistance. « L’objectif était de fournir un client de messagerie qui prend en charge une grande variété de réseaux de transport tels que Jabber (XMPP), IRC, Google Talk, Facebook, Twitter ; qui dispose d’une interface graphique facile à utiliser ; et qui configure automatiquement la plupart des paramètres de sécurité et de confidentialité avec une intervention minimale de l’utilisateur », explique Sukhbir Sing, développeur de Tor Messenger.

Il y avait toutefois des limites pour un tel programme : Tor Messenger était destiné à la communication sur les réseaux sociaux existants. Et comme l’a précisé le projet Tor, avec un tel modèle client-serveur, les métadonnées des utilisateurs pouvaient être enregistrées par le serveur, même si la route vers le serveur ne serait pas divulguée (puisque ce serait sur Tor) et que les communications seraient chiffrées avec OTR. Toutefois, « nous avons toujours pensé que c’était une meilleure alternative que les autres produits sur le marché, tels que Pidgin, car [Tor Messenger] avait des configurations par défaut plus sûres et sécurisées », affirme le développeur. Mais, après onze versions bêta, le projet sera abandonné avant même que la première version stable ait vu le jour.

Justifiant cette décision, Sukhbir Sing évoque l’arrêt du développement du projet Instantbird. Tor Messenger est en effet basé sur le client de messagerie instantanée Instantbird, et le produit n’est plus maintenu par ses développeurs. Le problème de la fuite des métadonnées semble aussi avoir été déterminant dans la décision d’abandonner le projet. « Une architecture client-serveur centralisée souffre de fuites de métadonnées et Tor Messenger hérite de ces problèmes sans pouvoir être en mesure de les atténuer », souligne le développeur. Il explique que si les métadonnées ne révèlent pas le contenu des communications, elles divulguent des informations sur les utilisateurs et leurs graphes sociaux (cartographies de leurs relations en sein d’un réseau social). Par conséquent, elles peuvent révéler des tendances concernant leurs communications, à savoir qui sont leurs amis, quand ils leur parlent, à quelle fréquence, etc.

Le dernier problème évoqué concerne les ressources dédiées à Tor Messenger. Le projet Tor était par exemple obligé d’ignorer les demandes de fonctionnalités faites par les utilisateurs, ainsi que les rapports de bogues en raison des ressources limitées qu’il pouvait allouer à Tor Messenger. « Dans ces circonstances, nous avons décidé qu’il était préférable d’abandonner plutôt que de livrer un produit incomplet », estime Sukhbir Sing.

Aux utilisateurs qui ont déjà adopté l’application (ils sont très peu nombreux d’ailleurs), l’équipe Tor recommande de passer des alternatives acceptables, même si elle pense qu’elle ne laisse pas ces derniers avec beaucoup de bonnes options. Elle reste également convaincue de la possibilité d’utiliser Tor dans une application de messagerie, mais regrette de ne pas avoir les ressources pour y arriver maintenant. Cela dit, c’est donc une piste que des entreprises soucieuses de la vie privée des utilisateurs pourraient explorer.

Autres aticles de la rubrique

Vidéo du jour

Duel de la semaine

Newsletter

Je souhaite rester informé et recevoir toutes les informations sur TechDeGeek dans ma boite mail