Lettre d’actualité XMPP du 30 novembre 2018

Bonjour à toutes et à tous,
Nous vous proposons aujourd’hui une traduction de la lettre d’actualité du 30 novembre initialement publiée sur xmpp.org.
Bonne lecture !

Bienvenue sur la lettre d’actualité XMPP.

Si vous connaissez un article, un support de cours ou un billet de blog que vous souhaiteriez voir figurer dans cette lettre, merci de l’ajouter sur le wiki à l’adresse https://wiki.xmpp.org/web/News_and_Articles_for_the_next_XMPP_Newsletter

Actualités

Aux Pays-Bas, un service commercial de discussion en ligne, basé sur XMPP et une version modifiée du client pour Android Xabber, a été compromis quand la police néerlandaise a obtenu l’accès au serveur et a effectué une attaque de l’homme du milieu (MITM) sur des conversations chiffrées via le système « Off-The-Record « (OTR).
OTR et d’autres technologies de chiffrement comme OMEMO ne garantissent la sécurité de bout à bout que si vous êtes en capacité de vérifier l’empreinte des clés de chiffrement de vos contacts. Dans ce cas il semblerait que les utilisateurs n’avaient pas effectué cette vérification et avaient ignoré les avertissements (qui étaient trop discrets et facilement manqués), ce qui a permis l’attaque de l’homme du milieu par toute personne qui avait accès au serveur.
L’attaque était ici effectuée par les forces de l’ordre. Néanmoins elle démontre l’importance de concevoir des interfaces utilisateur qui encouragent de bonnes pratiques de sécurité, et éduquent les utilisateurs. Elle met aussi en avant le problème des services centralisés : tous les utilisateurs d’IronChat étaient sur le même serveur XMPP, ce qui signifie qu’il suffisait de compromettre un seul maillon pour accéder à toutes les conversations d’IronChat. Un réseau fédéré n’a pas un point unique par lequel passent tous les messages.
Il semblerait que ce service était populaire chez les délinquants, c’est la raison pour laquelle la police est intervenue, et plusieurs arrestations ont été effectuées.
À lire (en néerlandais) sur : https://nos.nl/artikel/2258309-beveiliging-door-politie-gekraakte-cryptofoons-was-twijfelachtig.html

Lire la suite