[Tech] Interview du créateur d'Odin, messagerie anonyme et chiffrée

• 06 novembre 2013

Si vous suivez mon Shaarli ou l'actualité de la sécurité informatique en général, vous aurez peut-être remarqué le lancement en trombe d'un service nommé Odin - Secure Networking, qui se veut être un service de messagerie en ligne gratuit, anonyme et chiffré, avec une rétention de vos données réduite à son minimum. Avec le nombre de scandales tournant autour de la sphère privée auxquels nous devons faire face en tant qu'utilisateurs finaux, Odin arrive à point nommé. C'est une petite bouffée d'air frais parmi les sombres nuages noirs que sont les grands spécialistes du stockage de masse, ce genre d'initiative doit donc être encouragé et soutenu.

Contacté récemment par le créateur d'Odin, je me suis laissé dire qu'une interview était un moyen idéal de prendre connaissance du service, de ses buts afin d'avoir une vue d'ensemble du projet. Pour le service, c'est un moyen de plus se promouvoir et de faire part de ses intentions. C'est ainsi que vous pouvez donc sans plus attendre découvrir la première interview officielle de ce blog! Enjoy!

• Peux-tu te présenter?

Je m'appelle Christophe Jochum, informaticien de 24 ans, je suis suisse et j'y vis également. Je suis un grand passionné d'informatique depuis que j'ai un PC entre les mains, même si les premiers ont beaucoup souffert !

• Pourquoi ce nom, "Odin"? Fan de mythologie ou de Marvel?

Ni l'un ni l'autre. La créativité m'a toujours fait défaut, comme tu peux le voir au design de Odin... J'ai passé des heures à chercher un nom avec l'aide d'un ami, c'est lui qui a trouvé "Odin" pour rappeler Tor et l'idée d'anonymat. À ce moment précis, le plus gros du travail à mon sens était fait !

• Quand t'es venu l'idée d'Odin?

En fin mai de cette année. Une connaissance "tirait la gueule" un matin, car sa copine était tombée sur ses logs de conversation Facebook, elle y a lu des choses qu'elle n'aurait pas dû lire. Ça m'a fait simplement remarquer que je ne connaissais aucun service de communication sur le web sans logs. Le même soir, je cherchais quoi développer, car mon précédent projet était terminé alors j'ai plus amplement réfléchi à ce qu'est devenu Odin. J'ai commencé à le développer puis une vingtaine de jours plus tard a éclaté le scandale NSA, alors j'ai pressé la cadence.

• Qui se cache derrière Odin à part toi?

Beaucoup de code ! Plus sérieusement, je suis seul sur ce projet, mais je peux toujours me plaindre auprès de ma copine, ça aide !

• Quelles sont les sécurités/parades mises en place afin de garantir à 100% l'anonymat à l'utilisateur?

Cela s'explique simplement en plusieurs cas de figure où "je" serais une agence de renseignement :

1. J'intercepterais les communications entre Odin et votre PC: qu'est ce que j'y verrais? Des communications chiffrées par TLS et une clé de chiffrement que je n'ai pu acheter au webmaster... Je ne serais pas très avancé, car ce que je verrais, chez tous les utilisateurs de Odin, c'est un PC communiquant avec Odin et non deux internautes communiquant entre eux. Si les communications n'étaient pas chiffrées, le bilan serait le même.

2. Je trouverais le moyen de récupérer les logs présents sur le serveur pour identifier les gens se connectant à Odin et donc y voir les métadonnées (heure, votre IP et les informations "GET" échangées donc clé de chiffrement et de salon) enregistrées par ces logs. Il me faudrait une bonne équipe de hacker derrière moi, beaucoup de patience et des nerfs solides quand je me rendrais compte qu'il n'y en a aucun.

3. Si j'avais trouvé le moyen de hacker le serveur Odin, pourquoi ne pas faire un tour sur la base de données? Diantre, encore un subterfuge ! Elle est tout simplement vide.. Les messages ne sont retenus qu'une seconde et demie sur la base de données. Ils sont inscrits le temps de l'échange avec les interlocuteurs du salon uniquement. Pour ce qui est des salons, 60 secondes après absence de participants, ils sont supprimés. Pas de données, pas de risques !

4. Si je réussis à intercepter un message: voici "https://strak.ch/" une fois chiffré à l'identique de tous les messages sur base de données : "Gc3tois/eATWI0t1h3plKrSRJwLpvn7gnn0IOU/ey5I=". Sachant que tous les salons possèdent une clé de chiffrage qui leur est propre (et non inscrite sur la BDD), la BruteForce est la seule méthode et là, il faut se frotter à 1'532'495'540'865'888'858'358'347'027'150'300'000'000'000'000'000'000'000 possibilités (véridique !). Cela reste à prouver, mais je pense qu'il y a plus d'une chance sur 1.5e+54 de trouver un résultat cohérent autre que "https://strak.ch/" dans cet exemple de message.

5. Je trouve sur Google un lien d'invitation à un salon et sa clé: impossible de rejoindre un salon sans être visible dans la case "connecté", il est donc très aisé de vérifier d'un simple coup d’œil si l'on est à l’abri des lecteurs indiscrets. J'ai également prévu une URL spéciale contenant certains paramètres me permettant de supprimer le contenu du serveur en quelques secondes depuis n'importe quel téléphone mobile/PC. Juste au cas où, car je suis un grand paranoïaque ! (véridique aussi !)

• Comment Odin est-il financé? Restera-t-il toujours gratuit?

Odin est financé de ma poche et sera gratuit jusqu'à ce que l'air que vous respirez ne le soit plus. J'estime que communiquer sans que personne ne regarde par dessus votre épaule est un droit et se doit d'être gratuit. Je m'insurge régulièrement de l’inexistence en masse de ce genre de services web. Pour ce qui est de mes finances, comme je l'ai déjà précisé sur la vidéo de type "mise au point" présente sur YouTube, je pense intégrer au site un discret appel aux dons.

• Quelles sont les prochaines nouveautés à venir?

Il y a beaucoup de mises à jour prévues. Les plus proches sont le transfert de fichiers, des messages de type "Burn on reading" permettant de communiquer sans le côté "instantané" d'un tchat ainsi que, peut être, des communications audio en mode Talkie Walkie", le tout chiffré évidement. J'ai beaucoup d'idées et j'en entends beaucoup de mon entourage, certaines sont bonnes à prendre et d'autres moins, mais ce qui est sûr c'est qu'il faut établir des priorités, car le temps ne m'est pas illimité.

• Une application Android/iOS est-elle prévue?

Effectivement et elle me donne des sueurs froides ! L'adaptation du système Odin sera très difficile pour un mobile. Il faudra principalement s'assurer que le temps de réponse moyen en EDGE ne pose pas de problèmes avec le temps d'expiration du message à recevoir tout en gérant plus efficacement la consommation de batterie. Le site fonctionne d'ores et déjà sur mobile avec une interface non adaptée, mais je déconseille fortement d'y accéder via un téléphone sur batterie. Celle-ci se déchargerait en quelques minutes à cause des requêtes répétées (une toutes les 400ms).

• Un mot pour les lecteurs de Strak.ch?

Nul ne sait ce que l'avenir nous réserve ou ce qui va nous être imposé comme nouvelle loi farfelue ! Nul ne sait si ce que je poste sur Facebook va être utilisé contre moi dans le futur ou si mes logs de conversations vont être lus à mon désavantage dans 15 ans !

Ce que vous savez c'est que vous pouvez agir maintenant. J'ai posé ma pierre dans l'édifice avant que ça ne dérape ! Et vous, avez-vous la conscience tranquille ?

• ← Précédent
  [Gaming] The Stanley Parable: le jeu qui casse les codes
• Suivant →
  [Rage] les Conditions Générales du WiFi "gratuit" des CFF