Annoncée en 2014 et sortie en 2015, la messagerie Tor tire sa révérence. L'équipe en charge de son développement a décidé de jeter l'éponge, à cause de problèmes jugés insurmontables. Le projet était né dans la foulée des révélations d'Edward Snowden.

Clap de fin pour la messagerie Tor. Dans un message publié le lundi 2 avril, l’équipe en charge du projet annonce jeter l’éponge, après avoir constaté un certain nombre de difficultés jugées insurmontables. C’est donc la fin de l’aventure pour un programme dont la première bêta publique est sortie le 29 octobre 2015, il y a un peu moins de deux ans et demi. Depuis, il y a eu onze mises à jour, toujours en bêta.

Tor Messenger Le projet s’est fait connaître fin mars 2014, un peu moins d’un an après les révélations d’Edward Snowden, qui ont montré notamment que les conversations privées des internautes font partie des informations qui sont espionnées par les agences de renseignement. À cette époque, divers projets avaient vu le jour (BitTorrent Chat, Mega, Heml.is, Caliop…) pour proposer des contre-mesures, mais certains d’entre eux ont jeté l’éponge ou ont dû revoir leurs ambitions à la baisse.

Tor Messenger était une application de messagerie instantanée basée sur le logiciel InstantBird de Mozilla. Il ne visait pas à remplacer pas les messageries habituelles mais à active par défaut le protocole cryptographique Off-The-Record pour masquer le contenu des conversations en cas d’interception par un tiers. Bien sûr, il utilisait le réseau Tor pour cacher l’origine et la destination des échanges, via divers relais.

Le logiciel open-source était disponible pour Linux, OS X et Windows et était capable de prendre en charge un certain nombre de messageries plus ou moins répandues, comme Jabber (XMPP), IRC, Google Talk, Facebook Chat, Twitter et Yahoo.

Selon les explications fournies par l’équipe derrière Tor Messenger, la première raison ayant conduit à l’arrêt du projet concerne l’arrêt du développement d’InstantBird — une décision qui a été annoncée courant octobre 2017. En particulier, il est expliqué que l’interface n’est plus développée, ce qui pose un problème pour Tor, même si les fonctions de discussion elles-mêmes ont été portées sur Thunderbird.

Le deuxième souci, sans doute le plus grave pour ce qui est de la confidentialité des communications, est la fuite incontrôlable de métadonnées issues des messageries mentionnées plus haut.

« Une architecture client-serveur centralisée en souffre et Tor Messenger hérite de ces problèmes tout en étant incapable de les atténuer. Les métadonnées divulguent des informations sur les participants et leurs graphes sociaux, et bien qu’elles ne révèlent pas les données réelles, elles peuvent exposer des modèles de communication : qui sont vos amis, quand vous leur parlez, à quelle fréquence, etc », explique l’équipe.

La dernière difficulté est tout simplement un problème de soutien et de ressources. Le logiciel n’a jamais pu sortir de sa condition de bêta et aucun audit externe n’a pu être mené à bien — il y a quand même eu deux audits internes. Ces insuffisances ont pesé lourd car l’équipe était dans l’incapacité de répondre aux requêtes des usagers pour de nouvelles fonctions ou pour traiter les rapports de bug.

Vers quoi se tourner ?

Maintenant que Tor Messenger tire sa révérence, vers quoi se tourner ? L’équipe suggère par exemple de regarder du côté de CoyIM, si la fuite de métadonnées et l’architecture client-serveur centralisée ne sont pas des lignes rouges, mais que vous avez besoin par contre de passer par le protocole XMPP. Elle suggère aussi de jeter un œil dans un guide de l’EFF ce qu’il faut prendre en compte pour une messagerie sûre.

Au-delà des conseils de l’équipe de Tor Messenger, nous pouvons vous suggérer d’aller lire le tableau Secure Messaging Apps Comparison qui juge des applications (Allo, iMessage, Messenger, Riot, Signal, Skype, Telegram, Threema, Viber, Whatsapp, Wickr, Wire) sur des critères très techniques, ou notre guide plus grand public évoquant BlackBerry Messenger, WhatsApp, iMessages, Hangouts, Telegram et Signal.

Signalons aussi le travail de Florian Maury, ex-ingénieur à l’Agence nationale de la sécurité des systèmes d’information, sur les protocoles de chiffrement pour les messageries quasi-instantanées (Telegram, Off-the-Record, OpenPGP, Signal et OMEMO), en étudiant les mécanismes cryptographiques et en les confrontant dans une étude comparative, avec ce qui va et ce qui ne va pas.