A LEIPZIG, L’AVENIR DES MESSAGERIES SÉCURISÉES EN QUESTION

Courrier tunisien – 29 Décembre 2019 – 16:27 –
Les progrès restant à faire pour sécuriser efficacement les messageries internet étaient en débat ce week-end au Chaos Communication Camp, en Allemagne.
Comment s’assurer que des oreilles indiscrètes, qu’elles appartiennent à un service de renseignement, à des criminels, ou même à des proches, n’espionnent pas vos conversations en ligne ? La question est régulièrement au cœur des débats lors du Chaos Communication Camp (CCC), organisé chaque année depuis trente-six ans par le collectif de hackeurs allemands du Chaos Computer Club. Mais depuis deux ans environ, un pas important a été franchi en la matière par la plupart des messageries populaires, comme WhatsApp (propriété de Facebook) ou Telegram, qui ont rejoint d’autres logiciels plus spécialisés dans la sécurité en proposant à leurs utilisateurs un système de « chiffrement de bout en bout ».
Outil indispensable pour garantir la sécurité d’une conversation, le chiffrement de bout en bout permet, via l’utilisation de clefs cryptographiques, de s’assurer que seuls l’émetteur et le destinataire d’un message peuvent en consulter le contenu. Pour une personne qui l’intercepterait en cours de transmission, tout comme pour les gestionnaires du service qui le transmettent, le message est virtuellement indéchiffrable.
Mais si cet outil est indispensable, il est loin d’avoir résolu tous les problèmes de confidentialité, a résumé vendredi 27 décembre le spécialiste de la sécurité informatique Will Scott, dans une conférence consacrée aux « nouveaux défis » des messageries confidentielles. D’abord parce que le chiffrement peut, dans certains cas, ne pas s’avérer suffisant. M. Scott en veut pour exemple une étude récente montrant qu’il est possible, dans certains cas, de reconstituer un message audio chiffré, en s’appuyant sur la taille de courts segments de son, que les algorithmes de compression parviennent à réduire plus ou moins efficacement.
Les problèmes de ce type sont relativement faciles à corriger, mais d’autres s’avèrent beaucoup plus complexes. A commencer par la protection des métadonnées d’un message – son destinataire, son heure d’envoi – qui ne sont généralement pas ou peu protégées, et peuvent révéler des informations importantes sur l’identité d’une personne et de ses contacts. « Les heures auxquelles des messages sont envoyés peuvent très facilement révéler le fuseau horaire dans lequel vit l’expéditeur, par exemple », a détaillé M. Scott. Certaines messageries, comme Pond, contournent ce problème en envoyant des messages fictifs à heures fixes, pour brouiller les pistes. D’autres projets poussent la sécurité au maximum, comme l’ironiquement nommé Tinfoil Chat (jeu de mot sur tinfoil hat, chapeau en papier aluminium), qui nécessite trois appareils séparés pour toute discussion, compartimentant l’envoi et la réception de messages pour éviter qu’un éventuel piratage permette d’accéder à l’ensemble des données…

 

Centralisation contre décentralisation
Sans aller jusqu’à ces extrémités, certains nouveaux progrès en matière de sécurité des conversations nécessiteront potentiellement des concessions ou efforts de la part des utilisateurs. Or, la vaste majorité des internautes sont plutôt conservateurs. « Pourquoi donc des gens continuent-ils d’utiliser Yahoo! Mail ? Le service n’a pas été mis à jour depuis dix ans, a eu plusieurs problèmes de sécurité majeurs, et on ne sait même plus vraiment à qui il appartient », a ainsi fait mine de s’interroger Moxie Marlinspike, principal concepteur de l’application sécurisée Signal, dans une conférence volontiers provocatrice et parfois empreinte de mauvaise foi sur les avantages des systèmes de messagerie centralisés.
Car tout en reconnaissant les qualités du système de chiffrement de Signal, également utilisé dans de nombreuses autres applications, certains activistes lui reprochent le fait qu’il repose comme WhatsApp ou Telegram sur des serveurs centralisés, par ailleurs gérés par Amazon. Au CCC, où les drapeaux anarchistes sont aussi courants que les conférences pointues, on considère d’un œil méfiant tout système centralisé, plus susceptible d’être piraté ou menacé par un Etat qu’un réseau décentralisé ou fédéré, comme peuvent l’être l’e-mail ou des services comme Mastodon.
« J’héberge mon serveur e-mail depuis vingt ans, mais ce système décentralisé fait que mes e-mails ne sont pas chiffrés et ne le seront probablement jamais », a dit M. Marlinspike – il est tout à fait possible de communiquer de manière chiffrée par e-mail, mais il faut que les deux correspondants chiffrent eux-mêmes leurs messages. « A l’inverse, WhatsApp est centralisé, mais il a rendu le chiffrement par défaut accessible automatiquement à des milliards d’utilisateurs. (…) Notre plus grande priorité est de rendre la technologie plus simple à utiliser. »
Reste que la centralisation, quels que soient ses avantages, présente un défaut structurellement difficile à pallier : elle donne tout pouvoir à l’entité qui gère le service. En novembre, l’application Wire, dont le chiffrement et les garanties techniques font l’unanimité, a été au cœur d’un mouvement de protestations lorsque la presse américaine a révélé que la société qui l’édite avait levé plus de 8 millions de dollars auprès de fonds de placement, et discrètement changé l’adresse de son siège social du Luxembourg aux Etats-Unis – un mouvement qualifié « d’inapproprié » par le lanceur d’alerte Edward Snowden, qui avait recommandé l’utilisation de l’application, selon Le Monde.

Laisser une réponse

Votre adresse email ne sera pas publiéeLes champs requis sont surlignés *

*