Alice veut discuter en ligne avec Bob. Ils veulent quelque chose de raisonnablement rapide et fiable ce qui exclut le mail d'entrée : entre les blacklists, greylisting, filtrages anti-virus et anti-spam complètement moisis qui existent, le mail part perdant avec une bonne longueur d'avance; et je ne parle même pas du temps nécessaire à la rédaction d'un mail qui prend typiquement plus de temps que celle d'une simple ligne de texte (il faut renseigner le destinataire à chaque fois, etc).

Que reste-t-il ? Si on ajoute la contrainte que la communication doit être confidentielle au sens que seuls Alice et Bob peuvent lire ce qu'ils s'écrivent, on exclut automatiquement tous les systèmes de messagerie instantanée tel que AIM, MSN, ICQ sauf à utiliser des extensions spécifiques à un logiciel donné (apparemment tout le monde a trouvé drôle de faire son chiffrement DES/AES dans son coin. Pas moi). Si on veut en plus que la communication soit authentifiée, à savoir qu'Alice est sûre de parler à Bob et réciproquement, il ne reste essentiellement plus que deux solutions : jabber à condition d'utiliser conjointement GnuPG, ou un logiciel de messagerie instantanée comprenant OTR.

jabber a l'avantage d'être un système de discussion distribué, c'est-à-dire que chacun peut mettre en place son propre serveur (probabilité que l'Alice ou le Bob moyen installe son serveur : négligeable). De base, c'est aussi sûr que MSN et compagnie à savoir pas du tout. Si on décide d'utiliser GnuPG, on gagne du même coup le chiffrement et l'authentification de messages. Chaque misérable ligne de dialogue demande le lancement d'un processus de chiffrement/signature ou déchiffrement/vérification ce qui est plutôt du gâchis. Probabilité qu'une personne sous windows parvienne à installer un client jabber, GnuPG et à les faire fonctionner ensemble : faible. En considérant le temps de concentration moyen d'un utilisateur qui n'est pas très versé dans la technique, on retombe à une proba négligeable.

OTR, ça assure la confidentialité, l'authentification des messages, et comme bonus sympa l'authentification est répudiable. À savoir que lors de la conversation, Alice est certaine de parler à Bob, mais elle ne pourra pas prouver à Charlie que Bob lui a dit qu'il a un petit zizi. Ce qui est un plus, avouons le, Charlie est costaud et Bob n'était pas assidu aux séances de muscu. Le problème, c'est que OTR ne sera pas intégré dans les protocoles de communication grand public que sont MSN et consorts parce les compagnies qui fournissent le service se contretapent de votre sécurité. Donc pour le moment pour utiliser OTR on encode le canal de communication sécurisé par OTR au sein du canal de communication "hôte". Confus ? Pour dire Passe moi le sel, OTR demande de chiffrer le message avec une clef de session connue d'Alice et Bob seuls, d'ajouter de quoi vérifier que le message n'a pas été patouillé en cours de route, deux trois marqueurs bien placés pour pouvoir s'y retrouver (je simplifie à peine) et le compte y est. Notre brave message est devenu un infâme pâté binaire. Alors on le convertit en ASCII pour que ça passe tout de même dans le tuyau, on ajoute ?OTR en tête pour bien indiquer qu'on ne plaisante pas, et Bob va pouvoir déchiffrer le message d'Alice. Et lui passer le sel à cette conne qui est à l'autre bout de la table et qui fait sa maligne avec sa connexion wifi.

Le problème, c'est que les logiciels qui savent encapsuler de l'OTR dans un système de messagerie hôte arbitraire se comptent sur le doigt d'un bûcheron jongleur maladroit. Y'a gaim avec son plugin OTR ad hoc. Et encore, je ne suis même pas certain que ça fonctionne correctement sous windows. Les gens sous mac, vous ne comptez pas. Je n'ai aucun de mes contacts qui tourne sous mac. Cqfd.

Au final, la solution c'est peut-être de se convaincre que pour se dire Passe moi le sel la sécurité n'a pas besoin d'être d'un grade militaire. Mais c'est dur d'arrêter les bonnes habitudes de la paranoïa (règle 1 : on ne l'est jamais trop et ceux qui vous disent le contraire complotent contre vous).