J'utilise, depuis un bon moment déjà, Jabber [1] comme protocole de messagerie instantanée, et je me suis récemment intéressé au chiffrement des données quand je communique avec Jabber. J'utilise personnellement Psi un client sous Linux, qui permet de chiffrer tout simplement en utilisant Gnupg [2] : vous créez une clé gnupg et ensuite vous la liez à votre compte. Il suffit ensuite de faire de même avec les clés publiques de vos correspondants dans la liste de vos contacts.
Malheureusement, Psi est un client uniquement Jabber (même si on peut, en utilisant des passerelles serveurs, communiquer avec les autres protocoles IM) et certains de mes amis ne l'utilisent pas pour cette raison (ils n'ont pas encore fait le tri dans leurs amis afin de ne plus communiquer avec ceux disposant d'un compte MSN, AOL ou Yahoo! ;-) et on a donc essayé de communiquer de manière sécurisée avec leur propre logiciel IM.

L'un d'entre eux utilise Gaim, qui est un bon logiciel pour Jabber, Yahoo!, AOL, MSN... (c'est celui que j'utilisais précédemment) et je lui ai donc fait installé le plugin gaim-encryption pensant que cela suffirait : hop un petit coup de

apt-get install gaim-encryption

et c'était réglé. Et là, quel ne fut pas ma/notre surprise de constater que aucun problème pour communiquer entre Gaim-s, mais aucun moyen de communiquer avec un autre logiciel Jabber (Psi en l'occurence) ! donc... aucun intérêt [3]. En regardant la FAQ, je découvre que ce plugin utilise NSS pour le chiffrement et ne peut/veut pas être compatible avec PGP/GnuPG... tant pis donc ! ce n'est pas la bonne solution...

Je commence donc à chercher une autre solution, et voici mes pistes :

  • gaim-e semble être un plugin pour chiffrer les communications Gaim avec GnuPG, mais il est écrit "It currently works with AOL, MSN, and Yahoo." est-ce que ça veut dire que avec Jabber non ? à voir ;
  • Gabber est un autre client Jabber pour Gnome, il semble supporter le chiffrement (selon cette page) mais je ne sais pas quel type de chiffrement, et je ne sais pas si il est multi-protocoles ;
  • OTR existe comme plugin pour Gaim, dans le but de chiffrer les communications, mais encore une fois il utilise un autre protocole que gnupg, et même si il existe des plugins pour d'autres clients que Gaim (Trillian, Adium X), il n'en existe pas pour Psi. Par contre, il semble exister la possibilité de créer un proxy OTR qui chiffrera les communications passant par lui, même si le client ne supporte pas OTR nativement... ça peut donc être jouable ;
  • il semble qu'on puisse utiliser le chiffrement propre à Jabber, qui est un chiffrement basé sur SSL, pourquoi pas... malheureusement, cette offre paraît être basée sur les serveurs qui doivent donc offrir cette possibilité, et être moins sûre que le chiffrement de bout en bout (gnupg permettant, de plus, grâce à l'échange obligatoire de clés publiques, d'être sûr de l'identité de son interlocuteur) (cf http://arch.jabber.com/archives/2004/04/000096.html)

La suite dans pas trop longtemps j'espère.

Si vous aussi, vous voulez tchatter avec moi, grâce à Jabber, il vous faut :

  • un client Jabber : en voici une liste, je vous conseille personnellement les sus-nommés Psi et Gaim (existant sous Linux et Windows, et libres) ou Exodus (Windows) ;
  • mon JabberID, pour cela, si vous me connaissez, vérifiez la signature de mes e-mails récents (j'en ai changé durant le mois de septembre) ; sinon, essayez de m'envoyer un mail ;

Pour info, Google vient de lancer son propre logiciel IM : Google Talk et il est basé sur Jabber justement. Je ne vous conseille pas de l'utiliser (surtout que je crois avoir lu qu'il n'était pas compatible avec les autres clients Jabber) mais l'information mérite d'être signalée.

Notes

[1] cf sur Wikipedia

[2] explication sur Wikipedia

[3] si c'est pour utiliser des LL et se retrouver dans les mêmes problèmes que les logiciels propriétaires