Lettre d’actualité XMPP du 30 novembre 2018

Bonjour à toutes et à tous,
Nous vous proposons aujourd’hui une traduction de la lettre d’actualité du 30 novembre initialement publiée sur xmpp.org.
Bonne lecture !

Bienvenue sur la lettre d’actualité XMPP.

Si vous connaissez un article, un support de cours ou un billet de blog que vous souhaiteriez voir figurer dans cette lettre, merci de l’ajouter sur le wiki à l’adresse https://wiki.xmpp.org/web/News_and_Articles_for_the_next_XMPP_Newsletter

Actualités

Aux Pays-Bas, un service commercial de discussion en ligne, basé sur XMPP et une version modifiée du client pour Android Xabber, a été compromis quand la police néerlandaise a obtenu l’accès au serveur et a effectué une attaque de l’homme du milieu (MITM) sur des conversations chiffrées via le système « Off-The-Record « (OTR).
OTR et d’autres technologies de chiffrement comme OMEMO ne garantissent la sécurité de bout à bout que si vous êtes en capacité de vérifier l’empreinte des clés de chiffrement de vos contacts. Dans ce cas il semblerait que les utilisateurs n’avaient pas effectué cette vérification et avaient ignoré les avertissements (qui étaient trop discrets et facilement manqués), ce qui a permis l’attaque de l’homme du milieu par toute personne qui avait accès au serveur.
L’attaque était ici effectuée par les forces de l’ordre. Néanmoins elle démontre l’importance de concevoir des interfaces utilisateur qui encouragent de bonnes pratiques de sécurité, et éduquent les utilisateurs. Elle met aussi en avant le problème des services centralisés : tous les utilisateurs d’IronChat étaient sur le même serveur XMPP, ce qui signifie qu’il suffisait de compromettre un seul maillon pour accéder à toutes les conversations d’IronChat. Un réseau fédéré n’a pas un point unique par lequel passent tous les messages.
Il semblerait que ce service était populaire chez les délinquants, c’est la raison pour laquelle la police est intervenue, et plusieurs arrestations ont été effectuées.
À lire (en néerlandais) sur : https://nos.nl/artikel/2258309-beveiliging-door-politie-gekraakte-cryptofoons-was-twijfelachtig.html

Lire la suite

Sortie de Prosody 0.11

Ceci est la traduction de l’article Prosody 0.11.0 released, et est également disponible sur le blog de Prosody et sur LinuxFR.

Nous somme ravis d’annoncer la sortie longuement attendue de Prosody 0.11.0 !

Ceci est la première version de la série 0.11, qui sera maintenant considérée comme la série stable. Cette version, avec plus de 2000 commits, n’aurait pas pu se faire sans l’aide de nombreux contributeurs, testeurs, et autres membres de la communauté. Merci !

Lire la suite

Lettre d’actualité XMPP du 2 novembre 2018

Bonjour à toutes et à tous,
Nous vous proposons aujourd’hui une traduction de la lettre d’actualité de novembre initialement publiée sur xmpp.org.
Bonne lecture !

Bienvenue sur la lettre d’actualité XMPP.
Si vous connaissez un article, un support de cours ou un billet de blog que vous souhaiteriez voir figurer dans cette lettre, merci de l’ajouter sur le wiki à l’adresse https://wiki.xmpp.org/web/News_and_Articles_for_the_next_XMPP_Newsletter

Dans cette lettre d’actualité vous trouverez des informations à propos d’un sprint XMPP qui aura lieu ce mois-ci en Allemagne, un article à propos des cas d’utilisations de XMPP, de nombreuses parutions de logiciels, et bien plus encore.

Lire la suite

Lettre d’actualité XMPP du 1er octobre 2018

Bonjour à toutes et à tous,
Nous vous proposons aujourd’hui une traduction de la lettre d’actualité d’octobre initialement publiée sur xmpp.org.
Bonne lecture !

Bienvenue sur la lettre d’actualité XMPP.
Si vous connaissez un article, un support de cours ou un billet de blog que vous souhaiteriez voir figurer dans cette lettre, merci de l’ajouter sur le wiki à l’adresse https://wiki.xmpp.org/web/News_and_Articles_for_the_next_XMPP_Newsletter

Actualités

Paul Schaub a consigné quelques pensées sur l’avenir d’OMEMO, évoque certains de ses inconvénients actuels, et propose quelques améliorations.
À lire (en anglais) sur : https://blogs.fsfe.org/vanitasvitae/2018/09/07/future-of-omemo/

Lire la suite

Adhésion de JabberFR à CHATONS

L’association JabberFR fait maintenant partie du Collectif des Hébergeurs Alternatifs, Transparents, Ouverts, Neutres et Solidaires. Nous arrivons donc avec la portée numéro quatre.

Cette adhésion est une suite logique de la démarche que JabberFR a toujours défendu : fournir un service Jabber de référence tout en accompagnant toutes les démarches indépendantes de création de serveurs et de communautés auto-hébergées.

N’hésitez pas à vous lancer, et rejoignez-nous sur le salon jabberfr@chat.jabberfr.org.

Ouverture d’un service de statut

Bonjour à toutes et à tous.

JabberFR se dote d’un outil de gestion de statut afin de pouvoir avoir en un coup d’œil l’état des services ainsi que les maintenances prévues.

Nous utilisons pour cela une instance de Cachet hébergé avec l’offre gratuite chez Alwaysdata, afin que le service soit disponible même si nous avons de grosses difficultés sur le serveur principal (ce qui est, quand même, un des objectifs).

Les données sont tout de même rentrées à la main, donc les mises à jour mettront le temps que nous nous rendions compte du problème, ou qu’un utilisateur nous le signale.

Nous n’abandonnerons bien sûr pas le blog pour les annonces de maintenance ou compte-rendus d’incidents, mais le nouveau service permet d’accéder aux informations importantes plus rapidement.

Le service est disponible sur statut.jabberfr.org, n’hésitez pas à vous abonner au flux RSS.

Maintenance du jeudi 13 juillet 23h50

Bonjour à toutes et à tous !

Le serveur sera redémarré brièvement ce jeudi 13 juillet à 23h50 afin d’opérer quelques ajustements découlant de l’incident du 19 juin, ainsi qu’une mise à jour de sécurité.

L’opération devrait être assez rapide, et nous tiendrons comme d’habitude ce billet à jour.

Mise à jour :

  • 23h50 : début de la maintenance
  • 23h58 : retour du serveur en ligne
  • 00h02 : constatation de problèmes techniques causant des erreurs aléatoires
  • 00h16 : redémarrage de prosody, retour à la normale

JabberFR aux Rencontres Mondiales du Logiciel Libre 2017 à Saint-Étienne

Bonjour à tous !

JabberFR était présent cette année aux RMLL, ou Rencontres Mondiales du Logiciel Libre, qui étaient organisées à Saint-Étienne par Alolise.

Stand JabberFR

Le stand JabberFR aux RMLL

J’y ai rencontré des utilisateurs de longue date venus nous dire merci, des gens intéressés mais pas encore utilisateurs, des gens presque satisfaits mais à qui il manque un petit truc, des gens intéressés pour bénéficier de l’expérience qu’on a acquise avec JabberFR pour se lancer dans leur propre hébergement, et bien d’autres.

À un moment j’ai décidé de transformer le stand en stand mobile pour aller vers les gens, plutôt que d’attendre qu’ils viennent à moi, et ce fut un franc succès ! Que ce soit pour venir écouter ce qu’ils avaient à dire sur les messageries instantanées, ou juste leur parler de ce qu’on fait avec XMPP, des évolutions du protocole et des clients, ou encore de ces possibilités que personne encore n’a mis en œuvre mais qui pourraient leur servir pour leurs propres projets, les échanges furent riches pour les deux côtés.

Ces rencontres auront également été une occasion de commencer des partenariats avec quelques associations et particuliers qui n’utilisaient pas encore XMPP faute de temps à accorder à l’hébergement, et faute de savoir que nous proposons ce genre de services. 🙂

Je retire donc énormément de bonnes choses de cette édition des RMLL, et je ne peux que vous inviter l’an prochain si elles ont lieu, dans une ville encore inconnue !

Incident du lundi 19 juin

Vers 17h15, on me signale que le service ne répond plus. Après une rapide investigation je me rends compte que Prosody, notre serveur XMPP, est en train de prendre 100% du CPU et ne log plus rien, ne répond plus sur aucun port, et ne fait rien d’utile du tout d’après strace. C’est le même symptôme que lors de l’interruption de source inconnue dans la nuit du jeudi 8 juin pour laquelle j’avais simplement relancé Prosody.

Je décide alors de prendre du temps pour analyser la situation en compagnie de Zash sur le salon d’aide de Prosody, mais je ne parviens pas à déterminer la cause du problème et restaure donc les services, qui reprennent leur cours normal à 18h51.

J’en ai profité au passage pour mettre à jour Prosody et le passer à lua5.2, pour bénéficier des dernières améliorations.

Édition le 22 juin : certains modules avaient disparus de la configuration, notamment Carbons et HTTP Upload, ils viennent d’être remis.

Chiffrement total des services à partir du 26 juin 2017

Depuis 2005, Google fournissait un service de chat appelé Google Talk, reposant sur XMPP, notamment intégré à Gmail. Leur abandon progressif de ce service à partir de 2013 a rendu la fédération de plus en plus difficile pour les utilisateurs d’autres serveurs.

Les utilisateurs de Google Talk ayant migré vers leur nouveau service non-fédéré restent dans votre liste de contacts, mais apparaissent tout le temps connectés, absents, ne reçoivent pas vos messages, et ne vous voient même plus dans leur liste de contacts. La seule solution pour eux de continuer à communiquer avec vous était d’utiliser un autre client XMPP, mais la plupart de leurs utilisateurs ne sont pas conscients de ce choix.

Un autre problème est que ce service n’a jamais pris en charge le chiffrement des communications avec les autres serveurs, tous les échanges que vous avez eus avec des contacts Google Talk ont été transmis en clair sur Internet !

Le mois dernier, Google a annoncé mettre fin définitivement à Google Talk le 26 juin, nous profiterons de cette occasion pour forcer toutes les communications vers d’autres serveurs à être chiffrées. Pendant les deux prochains mois, nous vous conseillons de conseiller à vos contacts de migrer vers un serveur respectueux de leur vie privée.

Cette nouvelle mesure vous permettra donc de communiquer de façon plus sûre, sans que vous n’ayez à vous préoccuper par vous-mêmes du niveau de chiffrement de chacun des serveurs utilisés par vos contacts.

Édition du 26 juin : c’est chose faite, toutes les communications avec les serveurs externes sont désormais chiffrées ! Si l’un de vos contacts utilise encore l’un de ces serveurs non-sûrs, c’est le moment de lui conseiller de migrer vers un autre serveur, respectueux de sa vie privée.