Protéger sa vie privée sur Internet – Communiquer (1/3)

Cet article est issu d’une série d’articles sur le thème « Protéger sa vie privée sur Internet »

  • 1/3 – Communiquer de façon sécurisée 
  • 2/3 – Naviguer sans se faire tracker (à venir)
  • 3/3 – Stocker et partager ses fichiers (Cloud et autres pratiques) (à venir)

Protéger sa vie privée sur Internet : pourquoi personne n’a « Nothing to hide »

Tout au long de l’année universitaire, le Master 1 droit du numérique a abordé la question des données personnelles à travers le prisme de la régulation.

Le nouveau Règlement européen relatif à la Protection des Données personnelles (#RGPD ou GDPR), entré en application le 25 mai dernier, ainsi que le projet de directive européenne « E-PRIVACY », amènent les autorités publiques à définir de nouveaux standards pour tenter de protéger les données des particuliers, mais aussi des entreprises (voir site de la CNIL).

La question des données personnelles est un sujet d’actualité brûlant, au moment où sont révélées à un rythme quasi quotidien des failles informatiques ou des pratiques douteuses qui semblent mettre à mal notre vie privée (dernier exemple en date : la condamnation de la société OPTICAL CENTER sur le site de la CNIL).

Pierre angulaire de nombres modèles économiques, nos données sont récoltées en masse par un nombre incalculable d’acteurs, avant d’être recoupées et traitées par des intelligences artificielles ou des algorithmes toujours plus poussés et incompréhensibles pour le commun des mortels.

Nous tenterons ici de nous écarter des questions juridiques pour se concentrer sur l’aspect technique et pratique, afin de vous proposer diverses alternatives techniques envisageables à certains services, décriés pour leur opacité ou pour la gestion qu’ils font des données personnelles recueillies.

Il ne sera pas question de critiquer l’ensemble des nouveaux services numériques, ou de proposer une déconnexion absolue comme seule arme face aux GAFAM, mais plutôt de chercher à proposer des alternatives faciles d’utilisation lorsqu’elles existent. Plus généralement, j’espère que cette série d’articles nous amènera collectivement à réfléchir sur l’usage que nous faisons tous des outils numériques, dans un cadre privé ou professionnel.

Vous êtes prêts ? C’est parti !


Partie 1/3 – Communiquer de façon sécurisée

Internet est à l’origine un réseau dédié à la communication ; d’abord entre machines, ensuite entre chercheurs, enfin entre le monde entier.

Or, tous les moyens de communiquer sur Internet ne sont pas sûrs et nombreux sont les tiers susceptibles de pouvoir accéder aux messages que vous échangez : hébergeurs et fournisseurs de service, fournisseurs d’accès à Internet, services gouvernementaux de renseignements, pirate informatique … Les routes virtuelles d’Internet sont vastes, entremêlées, et le chemin que vos données empruntent pour traverser le monde en quelques secondes est très complexe. Selon le degré de confidentialité de vos messages, et des pièces jointes qu’ils contiennent, cette complexité peut être problématique.

Il est alors intéressant de s’intéresser au chiffrement de vos données.

Petit point sur le chiffrement, ou le salut pour vos données

Le Larousse nous donne une définition simple du chiffrement : c’est une opération qui consiste à transformer un message à transmettre, dit « message clair », en un autre message, inintelligible pour un tiers, dit « message chiffré », en vue d’assurer le secret de sa transmission.

A l’aide de logiciels ou d’applications qui utilisent des algorithmes spécifiques, il est possible de chiffrer n’importe quelle donnée informatique, n’importe quel fichier : message, photo, documents, etc.

Avant / après le chiffrement du message

La personne qui chiffre une donnée utilise une clé de chiffrement ; la clé de chiffrement est simplement un mot de passe que l’on donne à l’algorithme de chiffrement afin qu’il puisse effectuer son travail. Plus la clé de chiffrement est longue, et son contenu aléatoire, et plus les données chiffrées avec cette clé seront sécurisées. dejDE8èç27U0Deà!çè682UDIedçè6582UIDE est ainsi beaucoup plus sécurisé que ILoveRgpd31.

Pour obtenir une sécurité maximale, les développeurs informatiques ont donc eu l’idée d’utiliser des fichiers clés (keyfile). Ce sont de petits fichiers qui contiennent de très longues clés de chiffrement, si longues qu’il serait bien impossible de les mémoriser. Lorsqu’on veut chiffrer un message ou une information, on donne donc à l’algorithme de chiffrement le fichier clé, qui contient la clé de chiffrement.

Pour déchiffrer le message, c’est un peu plus délicat. Cela dépend en fait du type de chiffrement. Le chiffrement peut être :

  •  SYMÉTRIQUE : on utilise une seule clé de chiffrement. La clé permet de chiffrer et de déchiffrer la donnée.Utilité : par exemple, pour chiffrer un document confidentiel dont vous êtes le (la) seul(e) propriétaire. Vous utilisez le mot de passe « supermotdepasse » pour chiffrer le document, et vous réutiliserez ce même mot de passe pour le déchiffrer plus tard.
  • ASYMÉTRIQUE : on utilise deux clés. La première sert à chiffrer le message (dite clé publique), l’autre sert à le déchiffrer (dite clé privée).

    La clé publique ne peut servir qu’à chiffrer le message ! Il est mathématiquement impossible de déchiffrer un message en utilisant la clé publique. De même, la clé privée ne sert qu’à déchiffrer le message et non à le chiffrer.Les deux clés sont liées entre elles : elles forment un couple indissociable, ce qui signifie que pour une clé publique donnée, il n’existe normalement qu’une seule clé privée qui lui correspond.

    Utilité : pour échanger des messages chiffrés, il est très utile d’avoir deux clés distinctes.
    Imaginons ainsi que Roxane souhaite transmettre à Pierre un message chiffré. Elle demande à Pierre de lui envoyer sa clé publique, celle qui sert à chiffrer le message. Roxane peut alors chiffrer son message avec la clé publique, et l’envoyer à Pierre par n’importe quel moyen de communication peu ou pas sécurisé (mail, courrier, pigeon voyageur…). Quiconque intercepte le message sera incapable de le déchiffrer s’il ne possède pas la clé privé. Pierre est a priori le seul à détenir cette clé privée, et pourra donc à la réception du message, le déchiffrer.

     

    Cliquer pour agrandir

 

Quels services de communication ne sont pas sûrs ?

Chassons d’emblée une idée reçue : aucun système ne pourra vous permettre une sécurité ou une confidentialité garantie à 100%. En règle générale, plus un système sera sécurisé pour vos données, plus sa mise en oeuvre et/ou son utilisation au quotidien peut être contraignante. Il s’agit donc de trouver un juste équilibre.

Il existe aujourd’hui de (très) nombreux services de messagerie ou de communication électronique sur le marché, gratuits ou non, plutôt adressés aux particuliers ou ciblant les professionnels. Ces services offrent tous une protection relative des données qui leur sont transmises (messages, fichiers en pièces jointes, photos, etc.).

A titre d’illustration, citons : Facebook (et Messenger.com), Skype, Slack, WhatsApp, Snapchat, etc.

Les messages échangés à travers ces plateformes transitent à travers le réseau Internet. Concrètement, lorsque vous envoyez un message à un ami via Messenger, le message est envoyé sur les serveurs de Facebook, avant d’être renvoyé sur le téléphone ou l’ordinateur de votre ami. Afin de se protéger des pirates informatiques qui pourraient intercepter les messages lorsqu’ils transitent sur le réseau, les transmissions sont la plupart du temps, chiffrées au moment de leur transmission, à l’aide d’un algorithme de chiffrement plutôt connu, le protocole SSL (HTTPS).

Cliquer pour agrandir

Vous avez remarqué ? Les messages ne sont pas chiffrés lorsqu’ils sont stockés sur le serveur du fournisseur de messagerie. Cela signifie plusieurs choses :

  • Un pirate qui intercepte un message lors du transit ne peut pas ouvrir le message, car il est chiffré ;
  • Mais un pirate qui réussit à s’infiltrer dans le serveur du fournisseur de messagerie peut théoriquement consulter librement vos messages ;
  • Le fournisseur de messagerie lui même peut consulter vos messages, soit manuellement (employé malintentionné par ex), soit automatiquement (algorithmes de machine learning et IA qui pourraient par exemple faire du data mining sur le contenu de vos messages pour vous adresser des publicités ciblées. Voir ici par ex pour Google [LIEN]) ;
  • Des institutions officielles peuvent utiliser les moyens légaux mis à leur disposition pour enjoindre les fournisseurs ou les hébergeurs à leur transmettre certains messages dans le cadre d’une procédure judiciaire.

Vos données restent donc librement accessibles par certaines personnes, et vous ne savez jamais vraiment qui peut y accéder, et qui le fait en pratique. Les fournisseurs de services de communication adoptent certes de nombreuses mesures techniques et organisationnelles pour sécuriser les données de leurs utilisateurs : c’est d’ailleurs une obligation légale en Europe depuis le RGPD. Nous pouvons toutefois adopter un regard très critique sur ces mesures, parfois floues et vaguement définies auprès du grand public.

En d’autres termes, personne n’a rien à cacher.

 

Alors, COMMENT sécuriser ses communications ?

Il faut s’intéresser au chiffrement de bout-en-bout (ou end-to-end) des messages et contenus échangés. Un tel système repose sur un mécanisme de clé privée/clé publique (voir plus haut) ; les messages sont chiffrés avant l’envoi, et ne sont déchiffrés que lorsqu’ils arrivent chez le destinataire. Ainsi, les messages sont stockés chiffrés sur le serveur du fournisseur de messagerie : personne ne pourra les lire sans la clé privée, que le destinataire du message est en théorie le seul à posséder.

Il faut donc choisir un service de messagerie qui permette un chiffrement de bout en bout des messages échangés. Mais ce n’est pas tout ! Il faut également s’assurer que le service de messagerie que vous sélectionnez ne stocke pas lui même les clés privées. Sinon tous ces efforts seraient réduits à néant …

En pratique, la récupération des clés privées peut être effectuée de différentes façons, par exemple un service de sauvegarde peut récupérer ces clés automatiquement (par ex : sauvegarde iCloud qui sauvegarde la clé pour iMessage…).

Enfin, il faut s’assurer qu’il n’existe pas de backdoors dans le logiciel de messagerie, le service, ou l’algorithme utilisé.

Quelques services à essayer

Voici donc une liste de services à essayer pour protéger un peu mieux nos communications. Tous ces services permettent un chiffrement de bout en bout, proposent un code open source, et reposent sur des technologies et algorithmes de chiffrement audités et reconnus pour leur efficacité et leur solidité. Petit bonus : ils sont tous gratuits.

Signal (Windows/Mac OS/Android/iOS)

Signal est une application qui chiffre vos messages et vos pièces jointes. Relativement facile d’utilisation, vous devez cependant posséder un téléphone (Android ou iOS) pour créer un compte. Vous pourrez ensuite utiliser l’appli sur votre ordinateur.

Les fonctionnalités sont assez limitées par rapport à d’autres services tels que Facebook Messenger ou Whatsapp, mais les messages sont chiffrés.

Le code est ouvert, pour la partie client et serveur.

Télécharger Signal (https://signal.org/)

 

Telegram (Windows/Mac OS/Android/iOS)

Rendu populaire par Edward Snowden, Telegram fonctionne de la même façon que Signal, et permet d’échanger messages et pièces jointes.

Petit bémol, le code n’est que partiellement open source.

De plus, les conversations ne sont pas chiffrées par défaut. Il faut penser à activer cette option dans vos paramètres.

Notons que certains critiquent cette application et déconseillent son utilisation (voir par ex cet article [en anglais]).

Télécharger Telegram (https://telegram.org/)

 

OpenPGP (Windows/Mac OS/Linux/Android/iOS)

OpenPGP est une extension qui permet de chiffrer vos emails et pièces jointes, et qui se base sur le protocole PGP.

Efficace et utilisé depuis de nombreuses années, cette solution est un peu contraignante (installation et configuration nécessaire sur chaque appareil, échange manuel de clés publiques), mais reste toutefois largement utilisée et relativement sécurisée.

À noter : une faille récente a été découverte concernant le protocole PGP. Voir ici.

Télécharger OpenPGP (https://www.openpgp.org/)

 


Et voilà, vous vous y connaissez désormais un peu plus en chiffrement de données, et vous êtes maintenant prêts à échanger des messages de façon sécurisée, à l’aide de services plus respectueux de votre vie privée !

Bravo, vous avez eu le courage de lire cet article en entier

Gardez cependant à l’esprit que personne n’est jamais à l’abri d’une faille informatique, et que le plus sécurisé des messages restera toujours celui que vous transmettrez de vive voix à votre interlocuteur 😉

 

 

Laisser un commentaire

Votre adresse de messagerie ne sera pas publiée. Les champs obligatoires sont indiqués avec *