Bonjour à toutes et à tous,
Nous vous proposons aujourd’hui une traduction de la lettre d’actualité du 30 novembre initialement publiée sur xmpp.org.
Bonne lecture !
Bienvenue sur la lettre d’actualité XMPP.
Si vous connaissez un article, un support de cours ou un billet de blog que vous souhaiteriez voir figurer dans cette lettre, merci de l’ajouter sur le wiki à l’adresse https://wiki.xmpp.org/web/News_and_Articles_for_the_next_XMPP_Newsletter
Actualités
Aux Pays-Bas, un service commercial de discussion en ligne, basé sur XMPP et une version modifiée du client pour Android Xabber, a été compromis quand la police néerlandaise a obtenu l’accès au serveur et a effectué une attaque de l’homme du milieu (MITM) sur des conversations chiffrées via le système « Off-The-Record « (OTR).
OTR et d’autres technologies de chiffrement comme OMEMO ne garantissent la sécurité de bout à bout que si vous êtes en capacité de vérifier l’empreinte des clés de chiffrement de vos contacts. Dans ce cas il semblerait que les utilisateurs n’avaient pas effectué cette vérification et avaient ignoré les avertissements (qui étaient trop discrets et facilement manqués), ce qui a permis l’attaque de l’homme du milieu par toute personne qui avait accès au serveur.
L’attaque était ici effectuée par les forces de l’ordre. Néanmoins elle démontre l’importance de concevoir des interfaces utilisateur qui encouragent de bonnes pratiques de sécurité, et éduquent les utilisateurs. Elle met aussi en avant le problème des services centralisés : tous les utilisateurs d’IronChat étaient sur le même serveur XMPP, ce qui signifie qu’il suffisait de compromettre un seul maillon pour accéder à toutes les conversations d’IronChat. Un réseau fédéré n’a pas un point unique par lequel passent tous les messages.
Il semblerait que ce service était populaire chez les délinquants, c’est la raison pour laquelle la police est intervenue, et plusieurs arrestations ont été effectuées.
À lire (en néerlandais) sur : https://nos.nl/artikel/2258309-beveiliging-door-politie-gekraakte-cryptofoons-was-twijfelachtig.html
Paul Schaub a écrit à propos d’un générateur de code QR pour OMEMO sur lequel il a travaillé. Ce générateur encode l’identifiant Jabber de l’utilisateur ainsi que les empreintes OMEMO qu’il souhaite y inclure.
À lire (en anglais) sur : https://blog.jabberhead.tk/2018/11/03/qr-code-generator-for-omemo/
JC Brand a écrit à propos du sprint XMPP récemment tenu à Düsseldorf. Au programme : sushi, ramen, whisky, discussions à propos du protocole, traductions, correctifs, documentation, sorties de logiciels, bidouilles et développement.
À lire (en anglais) sur : https://opkode.com/blog/xmpp-sprint-dusseldorf/
Monal, le client pour iOS et Mac affiche maintenant une introduction simple à XMPP avec des illustrations adorables de Pierre Lapin qui entre et s’échappe du jardin de monsieur McGregor. D’autres écrans sont illustrés de la même façon lorsqu’ils sont vides.
À lire (en anglais) sur : https://monal.im/blog/the-welcome-screen/ et https://monal.im/blog/the-empty-state/
Le célèbre blog Kuketz en Allemagne a publié un article « XMPP n’est pas le sauveur − mais une solution ». C’est en partie une réponse à l’article « XMPP: Admin-in-the-middle », écrit par le InfoSec Handbook qui détaille comment les administrateurs de serveurs XMPP peuvent accéder aux métadonnées des utilisateurs ainsi qu’à d’autres informations sensibles.
À lire (en allemand) sur : https://www.kuketz-blog.de/messenger-xmpp-ist-nicht-der-heilsbringer-aber-eine-loesung/
Mailbox.org, le fournisseur allemand de courrier électronique, a dévoilé une nouvelle version de son site web avec de nouvelles fonctionnalités, notamment la migration vers un nouveau serveur de discussion XMPP (Ejabberd) et le déploiement d’un client web (Converse.js).
À lire (en anglais) sur : https://mailbox.org/en/post/a-new-logo-a-new-website-new-software-versions-and-new-features-at-mailbox-org
Golem.de, le site allemand consacré à l’informatique, a écrit à propos de Quicksy, la nouvelle application Android de Daniel Gultsch, qui permet aux utilisateurs de s’identifier avec leur numéro de téléphone mobile.
À lire (en allemand) sur : https://www.golem.de/news/quicksy-mit-der-telefonnummer-ins-jabber-netz-1811-137855.html
Un billet du blog Stardust explique comment vous pouvez développer un robot XMPP en une demi-heure.
À lire (en anglais) sur : https://starbeamrainbowlabs.com/blog/article.php?article=posts%2F327-Write-an-XMPP-bot-in-half-an-hour.html
Andrea Schäfer a fourni de nouvelles informations techniques et une démonstration de Chatty, le client de discussion compatible XMPP qui est développé pour le téléphone Purism qui sortira prochainement. Cet article a été publié il y a quelque temps déjà, mais je ne l’ai découvert que récemment.
À lire (en anglais) sur : https://puri.sm/posts/librem5-progress-report-19/
Prochains évènements
Le vingt-troisième Sommet XMPP a été annoncé. Il se tiendra les 31 janvier et 1er février 2019 à Bruxelles, en Belgique. Ce sont les deux jours juste avant le début du FOSDEM 2019.
À lire (en anglais) sur : https://xmpp.org/2018/11/xmpp-summit-23/
Nouvelles versions de logiciels
- MongooseIM 3.2
- Prosody 0.10.3, 0.11 et 0.11.1 – La version 0.11 apporte une réécriture du composant MUC et beaucoup d’améliorations de PubSub.
(NDT : vous pouvez lire ici-même la traduction en français de l’article concernant la version 0.11)
Clients
- Converse 4.0.5
- Gajim 1.1.0
- Opa 0.1.0 – Un nouveau client web implémenté avec Vue.js, Nuxt.js et ElementUI.
- Quicksy – Un dérivé de Conversations, mais avec une découverte automatique des contacts (NDT : sur base des numéros de mobile issus du répertoire téléphonique de l’utilisateur).
- Yaxim 0.9.3 – disponible via F-Droid ou Google Play
Bibliothèques
- Le projet Prosody a créé plusieurs rétro-portages compatibles Lua5.2 pour Prosody 0.11
- Strophe 1.3.1
Autres logiciels
- xmpp-websocket-proxy − un nouveau gestionnaire de connexion XMPP websocket qui utilise DotNetty et MatriX vNext.
- Movim 0.14 − Movim a dix ans ce mois-ci, et cette version a nécessité neuf mois de développement.
Services
Muclumbus, l’outil de recherche de MUC publics est maintenant disponible sur https://search.jabber.network/