Jabber et courriel : même combat

Une interview de Alexandre Durante (F-Secure) est publiée sur le Journal du Net. Bien que courte, elle est assez intéressante. À lire entre les lignes et avec le recul nécessaire, comme lorsque l’on lit un article Wikipédia (ou encore un article du Monde ou de Courier International), étant donné que le monsieur, il veut vendre un peu de ses softs, et c’est légitime, on ne lui en veut pas (enfin si, c’est proprio). Cette interview ne traite pas de Jabber, mais un point a attiré mon attention, je fais valoir ici le droit de citation :

Pensez-vous que nous verrons un jour la fin du spam ?

Je pense nous verrons la fin du spam le jour où l’on changera de protocole pour l’envoi du courrier électronique en utilisant des moyens d’authentification et de chiffrement. Mais ce n’est pas à l’ordre du jour.

J’attire votre attention monsieur Durante sur XMPP, protocole standard ouvert authentifié et chiffré, je me permet donc de dresser très rapidement un état des lieux, une sorte de mini-comparaison entre le courriel et XMPP.

Côté authentification, SMTP ne demande pas d’authentification, même s’il existe des mécanismes couplés avec POP/IMAP. POP et IMAP sont authentifiés en revanche, on ne pourrait faire autrement pour la livraison du courriel.

XMPP, en outre de proposer une architecture à un serveur unique, plutôt qu’une architecture à un serveur d’envoi et un serveur de réception, est un protocole identifié/authentifié par défaut.

Même s’il est possible de mettre en place les versions « S » pour « sécurisé », plus précisément chiffré par TLS/SSL des protocoles SMTP, POP et IMAP (SMTPS, POPS et IMAPS), il faut tout de même avouer que c’est loin de la majorité, et pas si que trivial que ça, autant côté serveur(s) que côté client (User Agent).

Le protocole XMPP propose par défaut le chiffrement TLS/SSL, aussi bien en connexion client/serveur que serveur/serveur. Le choix de l’utiliser est laissé au client comme à l’admin du serveur. De plus la XSF propose un service de certification, afin de faciliter la mise en place globale du chiffrement sur le réseau Jabber fédéré.

Ajoutons que le protocole XMPP fournit un mécanisme de dialback entre serveurs, ce qui rend difficile (rien n’est impossible) l’usurpation d’identité de serveur. Un serveur SMTP peut être simplement et rapidement mis en place, sur n’importe quelle machine relié à Internet, un simple poste de bureautique par exemple, et ainsi spammer toute la terre entière en flux continu.

Ajoutons en outre que les mécanismes d’autorisation mutuelle de voir la présence des correspondants et la possibilité de bloquer les communications n’existent pas dans le courriel.

Ajoutons en outre en outre que l’intégrité d’un mail n’est pas du tout assurée, il est en effet trivial de le changer, notamment l’adresse d’expéditeur.

Ajoutons en outre en outre en outre qu’il existe deux XEP pour combattre le spim :

• SPIM-Blocking control : XEP-0159
• SPIM Reporting : XEP-0161

Ce sont un peu tous ces aspects là qui sont – dans une certaine mesure – responsables d’une partie du pourriel. Notez bien que les protocoles de courriel ont été conçus il y a bien longtemps, dans un contexte de confiance, du temps où il n’y avait pas de boulets. Son évolution pose d’énormes problèmes, car il est déjà une pile (devrais-je dire un amas ?) de RFC assez fouillis, assez difficile à faire évoluer et accepter par ses concurrents.

XMPP est un protocole moderne conçu en gardant les aspects sécurité, confidentialité, intégrité, identification/authentification à l’esprit et son évolutivité est supervisée par la XSF, pour être proposée de manière régulée et ordonnée à l’IETF.

Ici prend fin le portrait rapide. Projetons maintenant.

Je ne dis pas que les protocoles de courriel doivent être remplacés par le protocole standard ouvert XMPP, je ne dis pas que le courriel doit être remplacé par Jabber, mais le courriel aujourd’hui, ça fait si… XXème siècle ! ;-)

Utilisez Jabber !