Vuvuzela, un système de messagerie anonyme s’attardant aux métadonnées

Publié le 17 décembre 2015 par _nicolas @BranchezVous
Andrew Moore">"> Exclusif

Si vous désirez avoir des communications ultra-anonymes, Vuvuzela est probablement un choix pour vous.

Depuis l’affaire Snowden, on constate qu’il y a une volonté claire de la part de bon nombre de développeurs et de fabricants d’appareils de toute sorte de tenter de conserver les yeux et les oreilles de gouvernements en dehors des conversations des internautes. Si pour la plupart des services la volonté est de chiffrer le contenu des messages, peu se penchent sur les métadonnées. Or, la situation semble en phase de changer.

Qu’est-ce que les métadonnées?

En faisant la corrélation entre différentes métadonnées, il est possible d’avoir une bonne idée de vos comportements, notamment ce que vous faites, avec qui, combien de temps et où.

La définition la plus simple de ce que sont les métadonnées consiste à dire que se sont les données à propos de données. Il existe essentiellement deux types de métadonnées, soit les données structurelles, et les données descriptives.

Les données structurelles touchent aux informations entourant le contenant des données. En d’autres mots, c’est l’emballage et ses déplacements – on ne voit pas ce qui se trouve à l’intérieur, mais on a accès aux informations de base sur le paquet. Les données descriptives quant à elles correspondent à des informations de base permettant par exemple le classement, comme les mots-clés liés à un document, ou encore les dates de création d’un document, son format, etc.

Si vous pensez que ces métadonnées sont plus ou moins pertinentes pour savoir qui vous êtes et ce que vous faites, détrompez-vous. En faisant la corrélation entre différentes métadonnées, il est possible d’avoir une bonne idée de vos comportements, notamment ce que vous faites, avec qui, combien de temps et où. Cela a non seulement été démontré plusieurs fois, mais en plus, il est important de noter que la NSA elle-même a spécifié que les informations contenues dans les métadonnées étaient suffisantes pour prendre la décision de tuer quelqu’un.

Entre en scène Vuvuzela

C’est pour pallier à ce problème d’identification en lien avec les métadonnées que des chercheurs du MIT ont créé un système de messagerie anonyme nommé Vuvuzela, disponible sur GitHub. Voici essentiellement comment fonctionne le logiciel.

Tout d’abord, un utilisateur laisse un message à un autre utilisateur à un endroit prédéfini, dans une adresse-mémoire appartenant à un serveur connecté à Internet servant d’une boîte aux lettres morte. Un peu comme le système TOR, le message est chiffré et relayé au travers différents serveurs appartenant au réseau.

Ainsi, pour s’assurer que ces paquets ne puissent pas être inspectés par des tiers non autorisés, ils seront chiffrés trois fois dans le processus d’envoi et seront déchiffrés au fur et à mesure qu’il sera reçu par le bon interlocuteur. Le premier serveur a pour objectif de déchiffrer l’entête d’authentification du message, pour le relayer au second serveur. Le second serveur fait de même et relaye le tout au troisième serveur. Le troisième serveur est donc le seul à détenir l’information sur la boîte aux lettres morte, sa désignation dans la mémoire du serveur et, conséquemment, son destinataire.

Ensuite, un peu à l’image de la fameuse trompette grandement utilisée lors de la Coupe du monde de football en 2010, Vuvuzela a pour objectifs d’ajouter du bruit dans les communications. Ainsi, chaque fois qu’un message est relayé à travers un serveur, ce dernier va générer à son tour de faux paquets qui seront transités à l’intérieur de l’ensemble du réseau.

Ce bruit est aussi créé de manière continuelle par le système, et ce peu importe si un utilisateur envoie un message ou non. Dans cette optique, Vuvuzela continu à envoyer de faux messages à intervalles irréguliers, camouflant ainsi le patron du trafic de communications. Par exemple, trois personnes utilisent le système, mais seulement deux échangent des messages. Malgré cela, la troisième personne va tout de même générer des paquets et les envoyer vers les serveurs.

Tant et aussi longtemps qu’un seul serveur du réseau n’est pas compromis, c’est statistiquement quasi impossible pour un utilisateur extérieur voulant analyser les métadonnées de savoir qui communique avec qui et quand.

Conséquemment, tant et aussi longtemps qu’un seul serveur du réseau n’est pas compromis, c’est statistiquement quasi impossible pour un utilisateur extérieur voulant analyser les métadonnées de savoir qui communique avec qui et quand. Le système génère en effet une quantité trop importante de fausses données à éplucher, rendant le tout non viable d’un pont de vue analytique; d’autant plus qu’il est virtuellement impossible d’accéder aux contenus des paquets.

Si les défenseurs de la vie privée y voient un système fort intéressant, les créateurs affirment toutefois qu’il y a deux freins majeurs en ce qui concerne l’utilisation de Vuvuzela, soit la bande passante utilisée par le système qui est importante, et la vitesse d’envoi d’un message qui peut prendre jusqu’à 30 secondes avant d’être transmis.

Notons au final que Vuvuzela n’est pas le seul système du genre. Il existe par exemple Invisible.im, dont le cœur du développement est lié au service de messagerie Ricochet, une alternative à Tor Messenger. Cependant, Vuvuzela se démarque sans contredit de façon originale avec sa capacité à gérer du bruit pour mieux camoufler les communications.