Messagerie : les réseaux XMPP s'accordent à chiffrer les connexions

Afin d'augmenter continuellement la sécurité des messageries instantanées, la communauté gravitant autour de XMPP a décidé de sécuriser les échanges, quitte à bloquer les connexions.

Face aux mastodontes de la messagerie instantanée comme Microsoft, AOL ou Yahoo!, la communauté open source a mis en place une solution décentralisée baptisée XMPP et précédemment connue sous l'appellation Jabber. Concrètement n'importe qui est en mesure de monter un serveur XMPP pour devenir fournisseur. L'internaute enverra un message vers son serveur, lequel le transférera vers le serveur du destinataire. Le principe s'apparente donc davantage aux emails et présente l'avantage d'être universel.

Aujourd'hui marque un changement au sein de la communauté et les principaux fournisseurs - 70 au total - se sont accordés à suivre les directives d'un manifeste publié un peu plus tôt cette année. Dans ce dernier il est notamment expliqué qu'il est nécessaire de mettre à jour les dispositifs de sécurité. D'une part le protocole SSLv2 sera désactivé, d'autre part, il est conseillé d'opter pour TLS 1.2 mais d'assurer une rétro-compatibilité pour les versions précédentes (TLS 1.1, 1.0 et SSLv3).

Par ailleurs, dorénavant, le protocole TLS devra être activé par défaut entre le logiciel de l'utilisateur - type Adium ou Pidgin - mais également entre les différents serveurs des fournisseurs. Bien entendu, il n'est pas possible d'obliger les fournisseurs à mettre à jour leur configuration. Toutefois, puisque la plupart d'entre eux ont suivi cette mesure de sécurité, les internautes devront s'assurer que leur logiciel est paramétré convenablement.

Pour vérifier l'état de son fournisseur et la présence de chiffrement entre le logiciel et le serveur ou les communications d'un serveur à l'autre rendez-vous sur cette page.