Pour éditer le wiki, il faut demander un compte à un Lapin !

IRC/Chiffrement

From Le L∞p's Wiki
< IRC
Revision as of 23:16, 17 March 2013 by ToM (Talk | contribs) (s/Sec/Chiffrement/ suite)

Jump to: navigation, search

Dans la mesure où vous souhaiteriez sécuriser vos échanges sur les réseaux IRC, voici quelques pistes vers lesquelles s'orienter. Cette page n'est qu'un lâche copier-coller de documentations officielles, mais bon... c'est pas un drame non plus. Ça pourrait même s'avérer utile, au final.

SASL

SASL (Simple Authentication and Security Layer) est une mécanisme permettant de s'authentifier automatiquement auprès des serveurs IRC (entre autres). Il vous est fortement recommandé de le configurer en premier lieu si vous songez à protéger vos correspondances avec les outils qui suivent. Bien sûr, ça marchera mieux si vous avez enregistré votre pseudo auprès du service approprié.


WeeChat Irssi XChat Pidgin

TLS

TLS (Transport Layer Security) est un protocole cryptographique permettant de chiffrer les données échangées entre un client et un serveur d'un bout à l'autre de la connexion. Vous devrez avoir installé les paquets OpenSSL et CA-Certificates au préalable.


Pour simplifier la suite, créez un dossier provisoire et rendez-vous-y :

user@host:~$ mkdir <dossier provisoire> && cd !#^

Puis générez votre certificat SSL comme ceci :

openssl req -newkey rsa:4096 -days 730 -x509 -keyout <votre pseudo>.key -out <votre pseudo>.cert

Le certificat sera valide durant deux ans ('-days 730'). Modifier donc cette option pour allonger ou raccourcir cette durée.
Entrez ensuite une phrase de passe, confirmez-la, puis concaténer votre certificat et sa clé dans un même fichier PEM :

cat <votre pseudo>.cert <votre pseudo>.key > <votre pseudo>.pem

Vous devrez par la suite renseigner votre empreinte auprès du service NickServ. Enregistrez-donc provisoirement la sortie de cette commande dans un fichier :

openssl x509 -sha1 -noout -fingerprint -in <votre pseudo>.pem | sed -e 's/^.*=//;s/://g;y/ABCDEF/abcdef/' > fingerprint

Vous pouvez désormais détruire le certificat et sa clé séparés, puis définir les permissions d'accès aux fichiers restants :

rm <votre pseudo>.{cert,key}
chmod 600 *

WeeChat Irssi XChat Pidgin

TOR

Attention.png Attention : Certains canaux IRC bloquent les connexions passant par Tor, à l'instar de #ubuntu sur Freenode.


TOR (The Onion Router) est un réseau mondial acentré de routeurs organisés en couches, appelés « nœuds de l’oignon », dont la tâche est de transmettre de manière anonyme des flux TCP. C’est ainsi que tout échange Internet basé sur TCP peut être rendu anonyme en utilisant TOR.

Évidemment, vous devrez avoir installé et configuré Tor comme il se doit. Notez qu'il n'est pas nécessaire d'utiliser TLS pour chiffrer des échanges transitant par Tor si le serveur dispose d'un service caché (accessible par une adresse terminant par .onion), TOR s'occupant déjà de ça. Si ce n'est pas le cas, il vous l'est en revanche vivement recommandé.


WeeChat Irssi XChat Pidgin

OTR

Attention.png Attention : Pour fonctionner, OTR doit être présent chez chaque interlocuteur.


OTR (Off-the-Record) est un autre protocole cryptographique vous permettant lui aussi de chiffrer les échanges avec votre correspondant. Il intègre également un mécanisme d'authentification par échange de clés.

Extraits de la FAQ du site officiel

En quoi est-ce différent du greffon pidgin-encryption
Le greffon pidgin-encryption fournit chiffrement et authentification, mais pas le déni plausible ou la confidentialité persistante. Si un attaquant ou un virus accèdent à votre machine, toutes vos conversations passées chiffrées par pidgin-encryption seront rétroactivement compromise. De plus, tous les messages étant signés numériquement, il est difficile de réfuter les propos que vous avez tenu : ce n'est pas ce que nous voulons pour une conversation censée être privée.
En quoi est-ce différent de SILC
SILC se base sur un réseau de serveurs complètement isolé et son propre protocole réseau. Dans certains environnements, tels que ceux disposant d'un pare-feu ou d'une configuration d'entreprise, où un protocole propriétaire de messagerie instantanée est peut-être utilisé, SILC pourrait ne pas être disponible. De plus, en exécution normale, tous les messages SILC sont partagés avec le serveur SILC ; si vous désirez envoyer des messages qui ne pourront être lu que par votre correspondant, vous devrez :

1. Partager une clé secrète au préalable (ce qui est gênant pour la confidentialité persistante).
ou
2. Être en mesure d'effectuer une connexion directe de pair à pair avec le client de votre interlocuteur, afin d'engager un accord de clé (ce qui vous sera peut-être impossible, en fonction de la configuration du NAT et du pare-feu de votre réseau).


WeeChat Irssi XChat Pidgin

SILC

Dès que qu'on en aura le besoin, promis.

http://www.silcnet.org/