Si vous suivez mon Shaarli ou l’actualité de la sécurité informatique en général, vous aurez peut-être remarqué le lancement en trombe d’un service nommé Odin – Secure Networking, qui se veut être un service de messagerie en ligne gratuit, anonyme et chiffré, avec une rétention de vos données réduite à son minimum. Avec le nombre de scandales tournant autour de la sphère privée auxquels nous devons faire face en tant qu’utilisateurs finaux, Odin arrive à point nommé. C’est une petite bouffée d’air frais parmi les sombres nuages noirs que sont les grands spécialistes du stockage de masse, ce genre d’initiative doit donc être encouragé et soutenu.
Contacté récemment par le créateur d’Odin, je me suis laissé dire qu’une interview était un moyen idéal de prendre connaissance du service, de ses buts afin d’avoir une vue d’ensemble du projet. Pour le service, c’est un moyen de plus se promouvoir et de faire part de ses intentions. C’est ainsi que vous pouvez donc sans plus attendre découvrir la première interview officielle de ce blog! Enjoy!
– Peux-tu te présenter?
Je m’appelle Christophe Jochum, informaticien de 24 ans, je suis suisse et j’y vis également. Je suis un grand passionné d’informatique depuis que j’ai un PC entre les mains, même si les premiers ont beaucoup souffert !
– Pourquoi ce nom, « Odin »? Fan de mythologie ou de Marvel?
Ni l’un ni l’autre. La créativité m’a toujours fait défaut, comme tu peux le voir au design de Odin…
J’ai passé des heures à chercher un nom avec l’aide d’un ami, c’est lui qui a trouvé « Odin » pour rappeler Tor et l’idée d’anonymat. À ce moment précis, le plus gros du travail à mon sens était fait !
– Quand t’es venu l’idée d’Odin?
En fin mai de cette année. Une connaissance « tirait la gueule » un matin, car sa copine était tombée sur ses logs de conversation Facebook, elle y a lu des choses qu’elle n’aurait pas dû lire.
Ça m’a fait simplement remarquer que je ne connaissais aucun service de communication sur le web sans logs. Le même soir, je cherchais quoi développer, car mon précédent projet était terminé alors j’ai plus amplement réfléchi à ce qu’est devenu Odin. J’ai commencé à le développer puis une vingtaine de jours plus tard a éclaté le scandale NSA, alors j’ai pressé la cadence.
– Qui se cache derrière Odin à part toi?
Beaucoup de code ! Plus sérieusement, je suis seul sur ce projet, mais je peux toujours me plaindre auprès de ma copine, ça aide !
– Quelles sont les sécurités/parades mises en place afin de garantir à 100% l’anonymat à l’utilisateur?
Cela s’explique simplement en plusieurs cas de figure où « je » serais une agence de renseignement :
1) J’intercepterais les communications entre Odin et votre PC: qu’est ce que j’y verrais? Des communications chiffrées par TLS et une clé de chiffrement que je n’ai pu acheter au webmaster…
Je ne serais pas très avancé, car ce que je verrais, chez tous les utilisateurs de Odin, c’est un PC communiquant avec Odin et non deux internautes communiquant entre eux. Si les communications n’étaient pas chiffrées, le bilan serait le même.
2) Je trouverais le moyen de récupérer les logs présents sur le serveur pour identifier les gens se connectant à Odin et donc y voir les métadonnées (heure, votre IP et les informations « GET » échangées donc clé de chiffrement et de salon) enregistrées par ces logs. Il me faudrait une bonne équipe de hacker derrière moi, beaucoup de patience et des nerfs solides quand je me rendrais compte qu’il n’y en a aucun.
3) Si j’avais trouvé le moyen de hacker le serveur Odin, pourquoi ne pas faire un tour sur la base de données? Diantre, encore un subterfuge ! Elle est tout simplement vide..
Les messages ne sont retenus qu’une seconde et demie sur la base de données. Ils sont inscrits le temps de l’échange avec les interlocuteurs du salon uniquement. Pour ce qui est des salons, 60 secondes après absence de participants, ils sont supprimés. Pas de données, pas de risques !
4) Si je réussis à intercepter un message: voici « https://strak.ch/ » une fois chiffré à l’identique de tous les messages sur base de données : « Gc3tois/eATWI0t1h3plKrSRJwLpvn7gnn0IOU/ey5I= ».
Sachant que tous les salons possèdent une clé de chiffrage qui leur est propre (et non inscrite sur la BDD), la BruteForce est la seule méthode et là, il faut se frotter à 1’532’495’540’865’888’858’358’347’027’150’300’000’000’000’000’000’000’000 possibilités (véridique !).
Cela reste à prouver, mais je pense qu’il y a plus d’une chance sur 1.5e+54 de trouver un résultat cohérent autre que « https://strak.ch/ » dans cet exemple de message.
5) Je trouve sur Google un lien d’invitation à un salon et sa clé: impossible de rejoindre un salon sans être visible dans la case « connecté », il est donc très aisé de vérifier d’un simple coup d’œil si l’on est à l’abri des lecteurs indiscrets.
J’ai également prévu une URL spéciale contenant certains paramètres me permettant de supprimer le contenu du serveur en quelques secondes depuis n’importe quel téléphone mobile/PC. Juste au cas où, car je suis un grand paranoïaque ! (véridique aussi !)
– Comment Odin est-il financé? Restera-t-il toujours gratuit?
Odin est financé de ma poche et sera gratuit jusqu’à ce que l’air que vous respirez ne le soit plus. J’estime que communiquer sans que personne ne regarde par dessus votre épaule est un droit et se doit d’être gratuit. Je m’insurge régulièrement de l’inexistence en masse de ce genre de services web. Pour ce qui est de mes finances, comme je l’ai déjà précisé sur la vidéo de type « mise au point » présente sur YouTube, je pense intégrer au site un discret appel aux dons.
– Quelles sont les prochaines nouveautés à venir?
Il y a beaucoup de mises à jour prévues. Les plus proches sont le transfert de fichiers, des messages de type « Burn on reading » permettant de communiquer sans le côté « instantané » d’un tchat ainsi que, peut être, des communications audio en mode Talkie Walkie », le tout chiffré évidement. J’ai beaucoup d’idées et j’en entends beaucoup de mon entourage, certaines sont bonnes à prendre et d’autres moins, mais ce qui est sûr c’est qu’il faut établir des priorités, car le temps ne m’est pas illimité.
– Une application Android/iOS est-elle prévue?
Effectivement et elle me donne des sueurs froides ! L’adaptation du système Odin sera très difficile pour un mobile. Il faudra principalement s’assurer que le temps de réponse moyen en EDGE ne pose pas de problèmes avec le temps d’expiration du message à recevoir tout en gérant plus efficacement la consommation de batterie. Le site fonctionne d’ores et déjà sur mobile avec une interface non adaptée, mais je déconseille fortement d’y accéder via un téléphone sur batterie. Celle-ci se déchargerait en quelques minutes à cause des requêtes répétées (une toutes les 400ms).
– Un mot pour les lecteurs de Strak.ch?
Nul ne sait ce que l’avenir nous réserve ou ce qui va nous être imposé comme nouvelle loi farfelue !
Nul ne sait si ce que je poste sur Facebook va être utilisé contre moi dans le futur ou si mes logs de conversations vont être lus à mon désavantage dans 15 ans !
Ce que vous savez c’est que vous pouvez agir maintenant. J’ai posé ma pierre dans l’édifice avant que ça ne dérape ! Et vous, avez-vous la conscience tranquille ?
Salut a Strik-Strak, habitué de tes tests et autres, je me permet de réagir vivement à cet article ! J’ai testé ODIN, et mon retour n’a pas le même enthousiasme que toi ! Le code est pourri, on peut facilement lire le code source PHP sur le site est sans utilisez de grande technique de hacking, la sécurité est omise à 200%, un code non-objet, hirsute et sans fondement. Perso je préfère encore me faire choper par la NSA que de participer à ce grand bal masqué. Tu devrais aller jeter un oeil sur la vidéo youtube, qui elle aussi est parlante, un grand parano ne se montre pas à visage découvert, et de plus ce cher Monsieur n’est pas informaticien du tout vu qu’il est apprenti, encore une fois depuis facebook on remonte à plein de chose.
Je vous déconseille d’utiliser ODIN, malgré une idée intelligente, M :Jochum arrêtez de croire que vous avez inventé quelque chose d’extraordinaire vous en êtes bien loin et surtout attendez d’être un peu plus professionnel.
Bonjour tifon,
Je suis le webmaster de Odin. Le code n’est pas définitif car soumis à trop de mises à jours pour le moment. Ce qui explique le non objet. Pour la sécurité, trouve une faille…
PS: Tu ne peux voir le Php, ce que tu observe, c’est du Javascript en librairie Jquery.
Non il est possible de voir votre code PHP Vous savez celui qui Etant spécialiste en programmation je pense que si je dis que vois du code PHP ce n’est pas celui d’une pseudo classe abstraite de JQuery. Pour les failles, elles sont vites énumérables car vous vous cachez derrière un hash qui si il était impénétrable, ce n’est pas vous qui l’aurait inventé. Pour preuve documentez vous sur des livres de cryptographie et atteignez un niveau dans ce domaine et après vous vous ferez un nom. Ce que je vois d’Odin est qu’il s’agit de poudre au yeux et que vous vous êtes emballés un peu vite… C’est une bonne idée mais pas aboutie et surtout dangereuse car vous faites croire des choses qui peuvent mettre en péril vos futurs clients !
Pour recentrer un peu le débat, je te propose d’énumérer les différentes failles auxquelles tu fais allusion, afin que tout le monde puisse s’en rendre compte et se faire sa propre opinion, si tu le veux bien?
Je suis tout à fait d’accord avec Strik-Strak, peux-tu donner des exemples?
Le code PHP n’est en aucun cas retourné par le serveur à un client. Si tu avais d’ailleurs pu le lire, en étant spécialiste en programmation, comme tu le précises sur un autre article, tu ne citerais pas des choses qui ne sont pas en rapport avec le dit code…
Maintenant, pour prouver ta bonne foi, je te demanderais de poster ne serait-ce qu’un bout de mon code PHP. Si je m’aperçois que c’est effectivement du code provenant de mon serveur, je mettrais sans attendre Odin hors ligne jusqu’à réparation intégrale du problème.
Il n’est pas nécessaire de commenter d’autres articles au propos de Odin, chose dont tu sembles friand. Si soucis de sécurité il y a et qu’ils sont prouvés, Odin sera mis hors ligne.
Il est impossible normalement de lire directement le PHP, ce qui est retourné vers le client est le code html et non le code php. Le php n’étant utilisé que du coté serveur et pas du coté client, c’est donc déjà une grande erreur pour un soit disant spécialiste de dire qu’il peut avoir lu le code php.
Bonjour,
En effet toutes les critiques sont bonnes à prendre, mais Tifon je pense que vous ne parlez pas en connaissance de cause. En effet, si seuls les ingénieurs sont capables de produire quelque chose de nouveau alors nous n’aurions pas beaucoup de choses à se mettre sous la dent. Je connais bien le créateur d’Odin car il travaille pour la société dont je m’occupe et je peux vous assurer que son niveau est bon. Il manque encore un peu de professionnalisme, mais cela va venir avec le temps. Une lecture du code php même via des techniques de hacking poussée n’est pas évidente, cependant j’ai essayé hier soir et si on peut aisément voir le nom des fichiers appelés, les lire me semble très compliqué. Je ne dis pas non plus qu’il n’y a aucune faille ce cher M.Jochum ne m’a pas divulgué le code :-), par contre il va falloir chercher avant de la trouver !