Quel niveau de surveillance la démocratie peut-elle endurer ? par Richard Stallman

« Le niveau de surveillance actuel dans nos sociétés est incompatible avec les droits de l’homme… »

C’est ce qu’affirme et expose Richard Stallman dans ce long article argumenté en proposant un certain nombre de mesures pour desserrer l’étau.

Sur la photo ci-dessous, on voit Stallman lors d’une conférence en Tunisie muni d’un étrange badge. Il l’a recouvert lui-même de papier aluminium pour ne pas être pisté lors de l’évènement !

Quel niveau de surveillance la démocratie peut-elle supporter ?

par Richard Stallman

URL d’origine du document (sur GNU.org)

Une première version de cet article a été publiée sur Wired en octobre 2013.
Licence : Creative Commons BY-ND 3.0 US
Traduction : aKa, zimadprof, Lamessen, Sylvain, Scailyna, Paul, Asta, Monsieur Tino, Marc, Thérèse, Amine Brikci-N, FF255, Achille, Slystone, Sky, Penguin et plusieurs anonymes
Révision : trad-gnu@april.org – Version de la traduction : 14 août 2014

Grâce aux révélations d’Edward Snowden, nous comprenons aujourd’hui que le niveau de surveillance dans nos sociétés est incompatible avec les droits de l’homme. Le harcèlement répété et les poursuites judiciaires que subissent les opposants, les sources et les journalistes (aux États-Unis et ailleurs) en sont la preuve. Nous devons réduire le niveau de surveillance, mais jusqu’où ? Où se situe exactement le seuil tolérable de surveillance que l’on doit faire en sorte de ne pas dépasser ? C’est le niveau au delà duquel la surveillance commence à interférer avec le fonctionnement de la démocratie : lorsque des lanceurs d’alerte comme Snowden sont susceptibles d’être attrapés.

Face à la culture du secret des gouvernements, nous, le peuple,1 devons compter sur les lanceurs d’alerte pour apprendre ce que l’État est en train de faire. De nos jours, cependant, la surveillance intimide les lanceurs d’alerte potentiels, et cela signifie qu’elle est trop intense. Pour retrouver notre contrôle démocratique sur l’État, nous devons réduire la surveillance jusqu’à un point où les lanceurs d’alerte se sentent en sécurité.

L’utilisation de logiciels libres, comme je la préconise depuis trente ans, est la première étape dans la prise de contrôle de nos vies numériques – qui inclut la prévention de la surveillance. Nous ne pouvons faire confiance aux logiciels non libres ; la NSA utilise et même crée des failles de sécurité dans des logiciels non libres afin d’envahir nos ordinateurs et nos routeurs. Le logiciel libre nous donne le contrôle de nos propres ordinateurs, mais cela ne protège pas notre vie privée dès l’instant où nous mettons les pieds sur Internet.

Une législation bipartisane ayant pour but de « limiter les pouvoirs de surveillance sur le territoire national » est en cours d’élaboration aux États-Unis mais elle le fait en limitant l’utilisation par le gouvernement de nos dossiers virtuels. Cela ne suffira pas à protéger les lanceurs d’alerte si « capturer le lanceur d’alerte » est un motif valable pour accéder à des données permettant de l’identifier. Nous devons aller plus loin encore.

Le niveau de surveillance à ne pas dépasser dans une démocratie

Si les lanceurs d’alerte n’osent pas révéler les crimes, délits et mensonges, nous perdons le dernier lambeau de contrôle réel qui nous reste sur nos gouvernements et institutions. C’est pourquoi une surveillance qui permet à l’État de savoir qui a parlé à un journaliste va trop loin – au delà de ce que peut supporter la démocratie.

En 2011, un représentant anonyme du gouvernement américain a fait une déclaration inquiétante à des journalistes, à savoir que les États-Unis n’assigneraient pas de reporter à comparaître parce que « nous savons avec qui vous parlez ». Parfois, pour avoir ces renseignements, ils obtiennent les relevés téléphoniques de journalistes par injonction judiciaire, mais Snowden nous a montré qu’en réalité ils adressent des injonctions en permanence à Verizon et aux autres opérateurs, pour tous les relevés téléphoniques de chaque résident.

Il est nécessaire que les activités d’opposition ou dissidentes protègent leurs secrets des États qui cherchent à leur faire des coups tordus. L’ACLU2 a démontré que le gouvernement des États-Unis infiltrait systématiquement les groupes dissidents pacifiques sous prétexte qu’il pouvait y avoir des terroristes parmi eux. La surveillance devient trop importante quand l’État peut trouver qui a parlé à une personne connue comme journaliste ou comme opposant.

L’information, une fois collectée, sera utilisée à de mauvaises fins

Quand les gens reconnaissent que la surveillance généralisée atteint un niveau trop élevé, la première réponse est de proposer d’encadrer l’accès aux données accumulées. Cela semble sage, mais cela ne va pas corriger le problème, ne serait-ce que modestement, même en supposant que le gouvernement respecte la loi (la NSA a trompé la cour fédérale de la FISA,3 et cette dernière a affirmé être incapable, dans les faits, de lui demander des comptes). Soupçonner un délit est un motif suffisant pour avoir accès aux données, donc une fois qu’un lanceur d’alerte est accusé d’« espionnage », trouver un « espion » fournira une excuse pour avoir accès à l’ensemble des informations.

Le personnel chargé de la surveillance d’État a l’habitude de détourner les données à des fins personnelles. Des agents de la NSA ont utilisé les systèmes de surveillance américains pour suivre à la trace leurs petit(e)s ami(e)s – passés, présents, ou espérés, selon une pratique nommée « LOVEINT ». La NSA affirme avoir détecté et puni cette pratique à plusieurs reprises ; nous ne savons pas combien d’autres cas n’ont pas été détectés. Mais ces événements ne devraient pas nous surprendre, parce que les policiers utilisent depuis longtemps leurs accès aux fichiers des permis de conduire pour pister des personnes séduisantes, une pratique connue sous les termes de « choper une plaque pour un rencard ».

Les données provenant de la surveillance seront toujours détournées de leur but, même si c’est interdit. Une fois que les données sont accumulées et que l’État a la possibilité d’y accéder, il peut en abuser de manière effroyable, comme le montrent des exemples pris en Europe et aux États-Unis.

La surveillance totale, plus des lois assez floues, ouvrent la porte à une campagne de pêche à grande échelle, quelle que soit la cible choisie. Pour mettre le journalisme et la démocratie en sécurité, nous devons limiter l’accumulation des données qui sont facilement accessibles à l’État.

Une protection solide de la vie privée doit être technique

L’Electronic Frontier Foundation et d’autres structures proposent un ensemble de principes juridiques destinés à prévenir les abus de la surveillance de masse. Ces principes prévoient, et c’est un point crucial, une protection juridique explicite pour les lanceurs d’alerte. Par conséquent, ils seraient adéquats pour protéger les libertés démocratiques s’ils étaient adoptés dans leur intégralité et qu’on les faisait respecter sans la moindre exception, à tout jamais.

Toutefois, ces protections juridiques sont précaires : comme nous l’ont montré les récents événements, ils peuvent être abrogés (comme dans la loi dite FISA Amendments Act), suspendus ou ignorés.

Pendant ce temps, les démagogues fourniront les excuses habituelles pour justifier une surveillance totale ; toute attaque terroriste, y compris une attaque faisant un nombre réduit de victimes, leur donnera cette opportunité.

Si la limitation de l’accès aux données est écartée, ce sera comme si elle n’avait jamais existé. Des dossiers remontant à des années seront du jour au lendemain exposés aux abus de l’État et de ses agents et, s’ils ont été rassemblés par des entreprises, seront également exposés aux magouilles privées de ces dernières. Si par contre nous arrêtions de ficher tout le monde, ces dossiers n’existeraient pas et il n’y aurait pas moyen de les analyser de manière rétroactive. Tout nouveau régime non libéral aurait à mettre en place de nouvelles méthodes de surveillance, et recueillerait des données à partir de ce moment-là seulement. Quant à suspendre cette loi ou ne pas l’appliquer momentanément, cela n’aurait presque aucun sens.

En premier lieu, ne soyez pas imprudent

Pour conserver une vie privée, il ne faut pas la jeter aux orties : le premier concerné par la protection de votre vie privée, c’est vous. Évitez de vous identifier sur les sites web, contactez-les avec Tor, et utilisez des navigateurs qui bloquent les stratagèmes dont ils se servent pour suivre les visiteurs à la trace. Utilisez GPG (le gardien de la vie privée) pour chiffrer le contenu de vos courriels. Payez en liquide.

Gardez vos données personnelles ; ne les stockez pas sur le serveur « si pratique » d’une entreprise. Il n’y a pas de risque, cependant, à confier la sauvegarde de vos données à un service commercial, pourvu qu’avant de les envoyer au serveur vous les chiffriez avec un logiciel libre sur votre propre ordinateur (y compris les noms de fichiers).

Par souci de votre vie privée, vous devez éviter les logiciels non libres car ils donnent à d’autres la maîtrise de votre informatique, et que par conséquent ils vous espionnent probablement. N’utilisez pas de service se substituant au logiciel : outre que cela donne à d’autres la maîtrise de votre informatique, cela vous oblige à fournir toutes les données pertinentes au serveur.

Protégez aussi la vie privée de vos amis et connaissances. Ne divulguez pas leurs informations personnelles, sauf la manière de les contacter, et ne donnez jamais à aucun site l’ensemble de votre répertoire téléphonique ou des adresses de courriel de vos correspondants. Ne dites rien sur vos amis à une société comme Facebook qu’ils ne souhaiteraient pas voir publier dans le journal. Mieux, n’utilisez pas du tout Facebook. Rejetez les systèmes de communication qui obligent les utilisateurs à donner leur vrai nom, même si vous êtes disposé à donner le vôtre, car cela pousserait d’autres personnes à abandonner leurs droits à une vie privée.

La protection individuelle est essentielle, mais les mesures de protection individuelle les plus rigoureuses sont encore insuffisantes pour protéger votre vie privée sur des systèmes, ou contre des systèmes, qui ne vous appartiennent pas. Lors de nos communications avec d’autres ou de nos déplacements à travers la ville, notre vie privée dépend des pratiques de la société. Nous pouvons éviter certains des systèmes qui surveillent nos communications et nos mouvements, mais pas tous. Il est évident que la meilleure solution est d’obliger ces systèmes à cesser de surveiller les gens qui sont pas légitimement suspects.

Nous devons intégrer à chaque système le respect de la vie privée

Si nous ne voulons pas d’une société de surveillance totale, nous devons envisager la surveillance comme une sorte de pollution de la société et limiter l’impact de chaque nouveau système numérique sur la surveillance, de la même manière que nous limitons l’impact des objets manufacturés sur l’environnement.

Par exemple, les compteurs électriques « intelligents » sont paramétrés pour envoyer régulièrement aux distributeurs d’énergie des données concernant la consommation de chaque client, ainsi qu’une comparaison avec la consommation de l’ensemble des usagers. Cette implémentation repose sur une surveillance généralisée mais ce n’est nullement nécessaire. Un fournisseur d’énergie pourrait aisément calculer la consommation moyenne d’un quartier résidentiel en divisant la consommation totale par le nombre d’abonnés, et l’envoyer sur les compteurs. Chaque client pourrait ainsi comparer sa consommation avec la consommation moyenne de ses voisins au cours de la période de son choix. Mêmes avantages, sans la surveillance !

Il nous faut intégrer le respect de la vie privée à tous nos systèmes numériques, dès leur conception.

Remède à la collecte de données : les garder dispersées

Pour rendre la surveillance possible sans porter atteinte à la vie privée, l’un des moyens est de conserver les données de manière dispersée et d’en rendre la consultation malaisée. Les caméras de sécurité d’antan n’étaient pas une menace pour la vie privée. Les enregistrements étaient conservés sur place, et cela pendant quelques semaines tout au plus. Leur consultation ne se faisait pas à grande échelle du fait de la difficulté d’y avoir accès. On les consultait uniquement sur les lieux où un délit avait été signalé. Il aurait été impossible de rassembler physiquement des millions de bandes par jour, puis de les visionner ou de les copier.

Aujourd’hui, les caméras de sécurité se sont transformées en caméras de surveillance ; elles sont reliées à Internet et leurs enregistrements peuvent être regroupés dans un centre de données [data center] et conservés ad vitam aeternam. C’est déjà dangereux, mais le pire est à venir. Avec les progrès de la reconnaissance faciale, le jour n’est peut-être pas loin où les journalistes « suspects » pourront être pistés sans interruption dans la rue afin de surveiller qui sont leurs interlocuteurs.

Les caméras et appareils photo connectés à Internet sont souvent eux-mêmes mal protégés, de sorte que n’importe qui pourrait regarder ce qu’ils voient par leur objectif. Pour rétablir le respect de la vie privée, nous devons interdire l’emploi d’appareils photo connectés dans les lieux ouverts au public, sauf lorsque ce sont les gens qui les transportent. Tout le monde doit avoir le droit de mettre en ligne des photos et des enregistrements vidéo une fois de temps en temps, mais on doit limiter l’accumulation systématique de ces données.

Remède à la surveillance du commerce sur Internet

La collecte de données provient essentiellement des activités numériques personnelles des gens. D’ordinaire, ces sont d’abord les entreprises qui recueillent ces données. Mais lorsqu’il est question de menaces pour la vie privée et la démocratie, que la surveillance soit exercée directement par l’État ou déléguée à une entreprise est indifférent, car les données rassemblées par les entreprises sont systématiquement mises à la disposition de l’État.

Depuis PRISM, la NSA a un accès direct aux bases de données de nombreuses grandes sociétés d’Internet. AT&T conserve tous les relevés téléphoniques depuis 1987 et les met à la disposition de la DEA sur demande, pour ses recherches. Aux États-Unis, l’État fédéral ne possède pas ces données au sens strict, mais en pratique c’est tout comme.

Mettre le journalisme et la démocratie en sécurité exige, par conséquent, une réduction de la collecte des données privées, par toute organisation quelle qu’elle soit et pas uniquement par l’État. Nous devons repenser entièrement les systèmes numériques, de telle manière qu’ils n’accumulent pas de données sur leurs utilisateurs. S’ils ont besoin de détenir des données numériques sur nos transactions, ils ne doivent être autorisés à les garder que pour une période dépassant de peu le strict minimum nécessaire au traitement de ces transactions.

Une des raisons du niveau actuel de surveillance sur Internet est que le financement des sites repose sur la publicité ciblée, par le biais du pistage des actions et des choix de l’utilisateur. C’est ainsi que d’une pratique simplement gênante, la publicité que nous pouvons apprendre à éviter, nous basculons, en connaissance de cause ou non, dans un système de surveillance qui nous fait du tort. Les achats sur Internet se doublent toujours d’un pistage des utilisateurs. Et nous savons tous que les « politiques relatives à la vie privée » sont davantage un prétexte pour violer celle-ci qu’un engagement à la respecter.

Nous pourrions remédier à ces deux problèmes en adoptant un système de paiement anonyme – anonyme pour l’émetteur du paiement, s’entend (permettre au bénéficiaire d’échapper à l’impôt n’est pas notre objectif). Bitcoin n’est pas anonyme, bien que des efforts soient faits pour développer des moyens de payer anonymement avec des bitcoins. Cependant, la technologie de la monnaie électronique remonte aux années 80 ; tout ce dont nous avons besoin, ce sont d’accords adaptés pour la marche des affaires et que l’État n’y fasse pas obstruction.

Le recueil de données personnelles par les sites comporte un autre danger, celui que des « casseurs de sécurité » s’introduisent, prennent les données et les utilisent à de mauvaises fins, y compris celles qui concernent les cartes de crédit. Un système de paiement anonyme éliminerait ce danger : une faille de sécurité du site ne peut pas vous nuire si le site ne sait rien de vous.

Remède à la surveillance des déplacements

Nous devons convertir la collecte numérique de péage en paiement anonyme (par l’utilisation de monnaie électronique, par exemple). Les système de reconnaissance de plaques minéralogiques reconnaissent toutes les plaques, et les données peuvent être gardées indéfiniment ; la loi doit exiger que seules les plaques qui sont sur une liste de véhicules recherchés par la justice soient identifiées et enregistrées. Une solution alternative moins sûre serait d’enregistrer tous les véhicules localement mais seulement pendant quelques jours, et de ne pas rendre les données disponibles sur Internet ; l’accès aux données doit être limité à la recherche d’une série de plaques minéralogiques faisant l’objet d’une décision de justice.

The U.S. “no-fly” list must be abolished because it is punishment without trial.

Il est acceptable d’établir une liste de personnes pour qui la fouille corporelle et celle des bagages seront particulièrement minutieuses, et l’on peut traiter les passagers anonymes des vols intérieurs comme s’ils étaient sur cette liste. Il est acceptable également d’interdire aux personnes n’ayant pas la citoyenneté américaine d’embarquer sur des vols à destination des États-Unis si elles n’ont pas la permission d’y rentrer. Cela devrait suffire à toutes les fins légitimes.

Beaucoup de systèmes de transport en commun utilisent un genre de carte intelligente ou de puce RFID pour les paiements. Ces systèmes amassent des données personnelles : si une seule fois vous faites l’erreur de payer autrement qu’en liquide, ils associent définitivement la carte avec votre nom. De plus, ils enregistrent tous les voyages associés avec chaque carte. L’un dans l’autre, cela équivaut à un système de surveillance à grande échelle. Il faut diminuer cette collecte de données.

Les services de navigation font de la surveillance : l’ordinateur de l’utilisateur renseigne le service cartographique sur la localisation de l’utilisateur et l’endroit où il veut aller ; ensuite le serveur détermine l’itinéraire et le renvoie à l’ordinateur, qui l’affiche. Il est probable qu’actuellement le serveur enregistre les données de localisation puisque rien n’est prévu pour l’en empêcher. Cette surveillance n’est pas nécessaire en soi, et une refonte complète du système pourrait l’éviter : des logiciels libres installés côté utilisateur pourraient télécharger les données cartographiques des régions concernées (si elles ne l’ont pas déjà été), calculer l’itinéraire et l’afficher, sans jamais dire à qui que ce soit l’endroit où l’utilisateur veut aller.

Les systèmes de location de vélos et autres peuvent être conçus pour que l’identité du client ne soit connue que de la station de location. Au moment de la location, celle-ci informera toutes les stations du réseau qu’un vélo donné est « sorti » ; de cette façon, quand l’utilisateur le rendra, généralement à une station différente, cette station-là saura où et quand il a été loué. Elle informera à son tour toutes les stations du fait que ce vélo a été rendu, et va calculer en même temps la facture de l’utilisateur et l’envoyer au siège social après une attente arbitraire de plusieurs minutes, en faisant un détour par plusieurs stations. Ainsi le siège social ne pourra pas savoir précisément de quelle station la facture provient. Ceci fait, la station de retour effacera toutes les données de la transaction. Si le vélo restait « sorti » trop longtemps, la station d’origine pourrait en informer le siège social et, dans ce cas, lui envoyer immédiatement l’identité du client.

Remède aux dossiers sur les communications

Les fournisseurs de services Internet et les compagnies de téléphone enregistrent une masse de données sur les contacts de leurs utilisateurs (navigation, appels téléphoniques, etc.) Dans le cas du téléphone mobile, ils enregistrent en outre la position géographique de l’utilisateur. Ces données sont conservées sur de longues périodes : plus de trente ans dans le cas d’AT&T. Bientôt, ils enregistreront même les mouvements corporels de l’utilisateur. Et il s’avère que la NSA collecte les coordonnées géographiques des téléphones mobiles, en masse.

Les communications non surveillées sont impossibles là où le système crée de tels dossiers. Leur création doit donc être illégale, ainsi que leur archivage. Il ne faut pas que les fournisseurs de services Internet et les compagnies de téléphone soient autorisés à garder cette information très longtemps, sauf décision judiciaire leur enjoignant de surveiller une personne ou un groupe en particulier.

Cette solution n’est pas entièrement satisfaisante, car cela n’empêchera pas concrètement le gouvernement de collecter toute l’information à la source – ce que fait le gouvernement américain avec certaines compagnies de téléphone, voire avec toutes. Il nous faudrait faire confiance à l’interdiction par la loi. Cependant, ce serait déjà mieux que la situation actuelle où la loi applicable (le PATRIOT Act) n’interdit pas clairement cette pratique. De plus, si un jour le gouvernement recommençait effectivement à faire cette sorte de surveillance, il n’obtiendrait pas les données sur les appels téléphoniques passés avant cette date.

Pour garder confidentielle l’identité des personnes avec qui vous échangez par courriel, une solution simple mais partielle est d’utiliser un service situé dans un pays qui ne risquera jamais de coopérer avec votre gouvernement, et qui chiffre ses communications avec les autres services de courriels. Toutefois, Ladar Levison (propriétaire du service de courriel Lavabit que la surveillance américaine a cherché à corrompre complètement) a une idée plus sophistiquée : établir un système de chiffrement par lequel votre service de courriel saurait seulement que vous avez envoyé un message à un utilisateur de mon service de courriel, et mon service de courriel saurait seulement que j’ai reçu un message d’un utilisateur de votre service de courriel, mais il serait difficile de déterminer que c’était moi le destinataire.

Mais un minimum de surveillance est nécessaire.

Pour que l’État puisse identifier les auteurs de crimes ou délits, il doit avoir la capacité d’enquêter sur un délit déterminé, commis ou en préparation, sur ordonnance du tribunal. À l’ère d’Internet, il est naturel d’étendre la possibilité d’écoute des conversations téléphoniques aux connexions Internet. On peut, certes, facilement abuser de cette possibilité pour des raisons politiques, mais elle n’en est pas moins nécessaire. Fort heureusement, elle ne permettrait pas d’identifier les lanceurs d’alerte après les faits, si (comme je le recommande) nous empêchons les systèmes numériques d’accumuler d’énormes dossiers avant les faits.

Les personnes ayant des pouvoirs particuliers accordés par l’État, comme les policiers, abandonnent leur droit à la vie privée et doivent être surveillés (en fait, les policiers américains utilisent dans leur propre jargon le terme testilying4 au lieu de perjury5 puisqu’ils le font si souvent, en particulier dans le cadre de la comparution de manifestants et de photographes). Une ville de Californie qui a imposé à la police le port permanent d’une caméra a vu l’usage de la force diminuer de près de 60 %. L’ACLU y est favorable.

Les entreprises ne sont pas des personnes et ne peuvent se prévaloir des droits de l’homme. Il est légitime d’exiger d’elles qu’elles rendent public le détail des opérations susceptibles de présenter un risque chimique, biologique, nucléaire, financier, informatique (par exemple les DRM) ou politique (par exemple le lobbyisme) pour la société, à un niveau suffisant pour assurer le bien-être public. Le danger de ces opérations (pensez à BP et à la marée noire dans le Golfe du Mexique, à la fusion du cœur des réacteurs nucléaires de Fukushima ou à la crise financière de 2008) dépasse de loin celui du terrorisme.

Cependant, le journalisme doit être protégé contre la surveillance, même s’il est réalisé dans un cadre commercial.


La technologie numérique a entraîné un accroissement énorme du niveau de surveillance de nos déplacements, de nos actions et de nos communications. Ce niveau est bien supérieur à ce que nous avons connu dans les années 90, bien supérieur à ce qu’ont connu les gens habitant derrière le rideau de fer dans les années 80, et il resterait encore bien supérieur si l’utilisation de ces masses de données par l’État était mieux encadrée par la loi.

A moins de croire que nos pays libres ont jusqu’à présent souffert d’un grave déficit de surveillance, et qu’il leur faut être sous surveillance plus que ne le furent jadis l’Union soviétique et l’Allemagne de l’Est, ils nous faut inverser cette progression. Cela requiert de mettre fin à l’accumulation en masse de données sur la population.

Notes :


Notes de traduction

  1. Allusion probable à la Constitution de 1787, symbole de la démocratie américaine, qui débute par ces mots : We, the people of the United States (Nous, le peuple des États-Unis). ?
  2. Union américaine pour les libertés civiles. ?
  3. Loi sur la surveillance du renseignement étranger ; elle a mis en place une juridiction spéciale, la FISC, chargée de juger les présumés agents de renseignement étrangers sur le sol américain. ?
  4. Testilying : contraction de testify, faire une déposition devant un tribunal, et lying, acte de mentir. ?
  5. Perjury : faux témoignage. ?



Le chiffrement, maintenant (7)

Tails : un système live anonyme et amnésique

L’utilisation de « systèmes crypto implémentés proprement » a une courbe d’apprentissage énorme et nécessite des utilisateurs dévoués qui soient prêts à travailler un peu plus pour reprendre le contrôle de leur vie privée. C’est principalement pour cette raison que OTR et PGP ne sont pas largement répandus. Mais même en utilisant ces outils, comment être sûr d’avoir une sécurité « de bout en bout » quand vous ne pouvez pas forcément faire confiance à votre système d’exploitation ou aux autres logiciels que vous utilisez tous les jours ?

La solution consiste à utiliser un système d’exploitation totalement différent composé uniquement de « logiciels de confiance » quand vous avez besoin d’une confidentialité absolue. Tails vous aide à résoudre ce problème.

Tails est un système live dont le but est de préserver votre vie privée et votre anonymat. Il vous permet d’utiliser Internet de manière anonyme et de contourner la censure quasiment partout où vous allez et sur n’importe quel ordinateur. Tails ne laisse aucune trace de ce que vous avez fait, sauf si vous le demandez explicitement.

Tails est un système d’exploitation complet destiné à être utilisé depuis un DVD ou une clef USB indépendamment du système installé sur l’ordinateur. C’est un logiciel libre basé sur Debian GNU/Linux.

Tails est livré avec de nombreuses applications, configurées avec une attention particulière accordée à la sécurité : navigateur web, client de messagerie instantanée, client email, suite bureautique, éditeur d’image et de son, etc.

Tails n’est pas destiné à tout le monde. Il est toujours difficile de le comparer à un système d’exploitation classique. Il est lent, il ne comporte pas tous les logiciels que vous pourriez vouloir. Mais Tails a ces particularités parce qu’il a été conçu spécifiquement pour être plus difficile de compromettre la protection des points d’accès. Si vous êtes dans une situation qui vous fait penser que la NSA ou n’importe quel attaquant potentiel peut vous cibler vous et vos collègues (les journalistes ou les relations des lanceurs d’alarme me viennent à l’esprit), c’est l’un des meilleurs outils disponibles.

Comme Tails n’est pas pratique pour une utilisation quotidienne de l’ordinateur, c’est une bonne idée de s’habituer à utiliser OTR et PGP sur votre système d’exploitation principal autant que possible. Tails n’aide pas à adoucir les effets de la surveillance en elle-même, mais chiffrer autant que possible les actions quotidiennes le permettra.

À chaque fois que vous lancez Tails, vous démarrez sur un système propre. Tout ce que vous avez fait lors de vos précédentes sessions sur Tails est effacé et vous repartez de l’état initial. Ce qui signifie que si vous avez été infecté par un malware en utilisant Tails, celui-ci aura disparu à votre prochaine connexion.

Vous pouvez commencer à utiliser Tails en téléchargeant l’image ISO et en la gravant sur un DVD. Vous devez alors démarrer sur le DVD. Cette étape dépend de votre modèle d’ordinateur, mais nécessite généralement d’entrer dans le BIOS et de changer l’ordre de démarrage de votre ordinateur de façon à ce qu’il tente de démarrer sur le DVD avant d’essayer sur votre disque dur. Sur les nouveaux PC, vous devrez peut-être désactiver le « secure boot » de l’UEFI : il s’agit du crypto utilisé pour être sûr que votre ordinateur ne va démarrer que sur une version de Windows signée numériquement (ce qui, en fait, rend le démarrage sur un système d’exploitation non-Windowsien plus difficile). Le site web de Tails propose davantage d’informations sur les outils de démarrage sur un DVD ou une clé USB.

Après avoir démarré sur le DVD, vous avez la possibilité d’installer Tails sur une clé USB. C’est particulièrement utile car cela permet de configurer un volume persistant, c’est à dire une partie de votre clé USB chiffrée pour stocker vos données. Malgré le retour à un espace propre à chaque démarrage, il est important de pouvoir accéder à vos clés OTR et PGP, vos configurations Claws mail (voir plus bas) et Pidgin ainsi que les documents sur lesquels vous travaillez. Votre volume persistant vous permet tout ceci.

PGP et courriels sur Tails

Je parlais de l’utilisation de Thunderbird avec l’add-on Enigmail pour accéder à vos courriels et utiliser PGP. Cependant, ce logiciel n’est pas fourni avec Tails. Tails est livré avec Claws Mail qui comprend un plug-in PGP.

Au lieu d’utiliser l’interface graphique utilisateur du gestionnaire de clé d’Enigmail pour importer, exporter, générer et voir le détail des clés signées, vous pouvez cliquer sur l’icône du presse-papiers en haut à droite de l’écran et choisir le gestionnaire de clés pour ouvrir SeaHorse, qui propose ces mêmes fonctions.

Procédure

Pour commencer à avoir un espace de communication privé avec vos amis et collègues, et disposant d’un haut niveau de sécurité des points d’accès, voici les étapes à suivre.

  • Rencontrez vos amis en face à face. Chacun devra apporter son propre PC portable ou clé USB.
  • Téléchargez et gravez un DVD de Tails, puis démarrez dessus et créez une clé USB pour chaque personne.
  • Quand tout le monde a sa clé USB Tails, chacun doit démarrer dessus sur son propre PC et configurer un volume persistant. Une fois que ce volume est chiffré, chacun peut générer sa propre phrase de passe sécurisée qu’il devra entrer à chaque démarrage sur Tails, avant de redémarrer sur son PC avec Tails et cette fois monter le volume persistant.
  • Chacun crée alors un nouveau pseudo pour compte Jabber. L’une des solutions est d’aller sur https://register.jabber.org depuis iceweasel. Comme Tails fait transiter les échanges internet via Tor, cela permet bien de créer un compte jabber anonyme.
  • Chacun ouvre alors Pidgin et le configure en utilisant ce nouveau compte Jabber et crée une nouvelle clé OTR. Chacun ajoute les autres dans sa liste d’amis et démarre une session OTR avec les autres. Une fois que tout le monde est dans la même discussion, c’est le moment idéal pour comparer les empreintes et vérifier l’identité de chaque personne afin de pouvoir communiquer de façon sécurisée via internet à l’avenir.
  • Chacun devrait se créer une nouvelle adresse de courriel de la même façon. Certains fournisseurs de courriels, comme Gmail, rendent difficile la création de nouveaux comptes en utilisant Tor et en restant anonyme. Dans ce cas, utilisez un autre fournisseur de courriels. Assurez-vous que celui-ci supporte IMAP (de façon à pouvoir utiliser un client de messagerie courriel) à travers un SSL (pour que votre client de messagerie utilise une communication chiffré avec le serveur courriel). Si vous choisissez tous le même fournisseur de courriels, envoyer des courriels entre les comptes ne devrait jamais quitter le serveur, ce qui réduit les métadonnées disponibles relatives à votre utilisation du courrier électronique pour ceux qui surveillent internet.
  • Chacun devra générer une nouvelle clé PGP pour son adresse de courriel. comme pour le chiffrage du disque, il est important de choisir une phrase de passe complexe au moment de cette génération de clé PGP.
  • Le client de messagerie compatible PGP livré avec Tails s’apelle Claws Mail. Chacun doit configurer Claws Mail pour utiliser sa nouvelle adresse courriel, et envoyer une copie de sa clé publique aux autres personnes présentes dans votre réunion. Puis chacun devra importer la clé publique des autres dans son propre trousseau de clé, puis vérifier manuellement l’empreinte PGP. Ne sautez pas cette étape. Finalement, chacun devra avoir un trousseau de clé contenant les clés signées de tous les autres.

Si quelqu’un de malveillant vole physiquement votre clé USB Tails, la modifie et vous la rend, il peut compromettre toute la sécurité de Tails. C’est pour cela qu’il est très important de toujours garder votre clé USB avec vous.

Si le directeur de la CIA David Petraeus (général 4 étoiles à la retraite) et sa biographe Paula Broadwell avaient décidé d’utiliser Tails, OTR et PGP, leur liaison extra-conjugale serait sans doute restée secrète.

Copyright: Encryption Works: How to Protect Your Privacy in the Age of NSA Surveillance est publié sous licence Creative Commons Attribution 3.0 Unported License.




Comment la NSA déploie des logiciels malveillants

Nouvelles révélations, nouvelles précautions

Nous reprenons ici l’article récemment publié par KoS, il s’agit de la traduction française de l’article de l’Electronic Frontier Foundation : How The NSA Deploys Malware: An In-Depth Look at the New Revelations par : Sphinx, KoS, Scailyna, Paul, Framatophe et 2 auteurs anonymes

– – – – – –

Nous avons longtemps suspecté que la NSA, la plus grande agence d’espionnage du monde, était plutôt douée pour pénétrer les ordinateurs. Désormais, grâce à un article de Bruce Schneier, expert en sécurité qui travaille avec The Guardian sur les documents de Snowden, nous avons une vision bien plus détaillée de la manière dont la NSA utilise des failles pour infecter les ordinateurs d’utilisateurs ciblés.

La méthode utilisée par la NSA pour attaquer les gens avec des logiciels malveillants est largement utilisée par les criminels et les fraudeurs ainsi que par les agences de renseignement, il est donc important de comprendre et de se défendre contre cette menace pour éviter d’être victime de cette pléthore d’attaquants.

Comment fonctionnent les logiciels malveillants exactement ?

Déployer un logiciel malveillant via le Web nécessite généralement deux étapes. Premièrement, en tant qu’attaquant, vous devez attirer votre victime sur un site web que vous contrôlez. Deuxièmement, vous devez installer un logiciel sur l’ordinateur de la victime pour prendre le contrôle de sa machine. Cette formule n’est pas universelle, mais c’est souvent ainsi que les attaques sont exécutées.

Pour mener à bien la première étape, qui consiste à amener un utilisateur à visiter un site sous le contrôle de l’attaquant, ce dernier peut envoyer à la victime un courriel avec un lien vers le site web concerné : c’est ce que l’on appelle une attaque par hameçonnage (phishing). La NSA aurait parfois eu recours à ce type d’attaque, mais nous savons à présent que cette étape était généralement accomplie via une méthode dite de « l’homme du milieu » (man-in-the-middle)¹. La NSA contrôle un ensemble de serveurs dont le nom de code est « Quantum », situés sur les dorsales Internet et ces serveurs sont utilisés pour rediriger les cibles vers d’autres serveurs contrôlés par la NSA et chargés d’injecter le code malveillant.

Dans ce cas, si un utilisateur ciblé visite, par exemple, le site yahoo.com, son navigateur affichera la page d’accueil ordinaire de Yahoo! mais sera en réalité en communication avec un serveur contrôlé par la NSA. La version malveillante du site web de Yahoo! demandera au navigateur de l’utilisateur d’adresser une requête à un autre serveur contrôlé par la NSA et chargé de diffuser le code néfaste.

Quand un utilisateur ciblé visite un site web mal intentionné, quels moyens l’attaquant utilise-t-il pour infecter l’ordinateur de la victime ? Le moyen le plus direct est probablement d’amener l’utilisateur à télécharger et à exécuter un logiciel. Une publicité intelligemment conçue s’affichant dans une fenêtre pop-up peut convaincre un utilisateur de télécharger et d’installer le logiciel malveillant de l’attaquant.

Toutefois, cette méthode ne fonctionne pas toujours et repose sur une initiative de l’utilisateur visé, qui doit télécharger et installer le logiciel. Les attaquants peuvent choisir plutôt d’exploiter des vulnérabilités du navigateur de la victime pour accéder à son ordinateur. Lorsqu’un navigateur charge une page d’un site, il exécute des tâches telles que l’analyse du texte envoyé par le serveur et il arrive souvent qu’il charge des greffons (plugins) tels que Flash pour l’exécution de code envoyé par le serveur, sans parler du code JavaScript que peut aussi lui envoyer le serveur. Or, les navigateurs, toujours plus complexes à mesure que le web s’enrichit en fonctionnalités, ne sont pas parfaits. Comme tous les logiciels, ils ont des bogues, et parfois ces bogues sont à la source de vulnérabilités exploitables par un attaquant pour prendre le contrôle d’un ordinateur sans que la victime ait autre chose à faire que visiter un site web particulier. En général, lorsque les éditeurs de navigateurs découvrent des vulnérabilités, ils les corrigent, mais un utilisateur utilise parfois une version périmée du navigateur, toujours exposée à une attaque connue publiquement. Il arrive aussi que des vulnérabilités soient uniquement connues de l’attaquant et non de l’éditeur du navigateur ; ce type de vulnérabilité est appelée vulnérabilité zero-day.

La NSA dispose d’un ensemble de serveurs sur l’internet public désignés sous le nom de code « FoxAcid », dont le but est de déployer du code malveillant. Une fois que des serveurs Quantum ont redirigé une cible vers une URL spécialement forgée et hébergée sur un serveur FoxAcid, un logiciel installé sur ce serveur se sert d’une boîte à outils d’exploitation de failles pour accéder à l’ordinateur de l’utilisateur. Cette boîte à outils couvre vraisemblablement des vulnérabilités connues, utilisables contre des logiciels périmés, et des vulnérabilités zero-day, en règle générale réservées à des cibles de haute valeur ². Nos sources indiquent que l’agence utilise ensuite ce code malveillant initial pour installer d’autres logiciels à le plus long terme.

Quand un attaquant réussit à infecter une victime avec du code malveillant, il dispose d’ordinaire d’un accès complet à l’ordinateur de cette dernière : il peut enregistrer les saisies du clavier (qui peuvent révéler mots de passe et autres informations sensibles), mettre en route la webcam ou lire n’importe quelle donnée conservée sur cet ordinateur.

Que peuvent faire les utilisateurs pour se protéger ?

Nous espérons que ces révélations pousseront les éditeurs de navigateurs à agir, que ce soit pour renforcer leurs logiciels contre les failles de sécurité ou pour tenter de détecter et de bloquer les URL utilisées par les serveurs FoxAcid.

Entre-temps, les utilisateurs soucieux de leur sécurité s’efforceront de suivre des pratiques de nature à assurer leur sécurité en ligne. Gardez toujours vos logiciels à jour, en particulier les greffons des navigateurs tels que Flash, qui nécessitent des mises à jour manuelles. Assurez-vous de bien faire la différence entre les mises à jour légitimes et les avertissements sous forme de pop-ups qui se font passer pour des mises à jour. Ne cliquez jamais sur un lien suspect dans un courriel.

Les utilisateurs qui souhaitent aller un pas plus loin — selon nous, tout le monde devrait se sentir concerné —, utiliseront l’activation en un clic de greffons Flash ou Java de manière à ce que ces derniers ne soient exécutés sur une page web qu’à la condition que l’utilisateur l’approuve. Pour Chromium et Chrome, cette option est disponible dans Paramètres => Afficher les paramètres avancés => Confidentialité => Paramètres du contenu => Plug-ins.

La même chose peut être faite pour Firefox à l’aide d’une extension comme Click to Play per-element. Les greffons peuvent également être désactivés ou complètement désinstallés. Les utilisateurs devraient également utiliser un bloqueur de publicité afin d’empêcher les requêtes superflues du navigateur destinées aux publicitaires et aux pisteurs du web. Ils devraient en outre utiliser l’extension HTTPS Everywhere afin d’utiliser le chiffrement des connexions associées à HTTPS sur le plus de sites possibles.

Si vous êtes un utilisateur prêt à supporter quelques désagréments au bénéfice d’une navigation plus sûre, regardez du côté de NotScripts (Chrome) ou de NoScript (Firefox), qui permettent de limiter l’exécution des scripts. Cela signifie qu’il vous sera nécessaire d’autoriser par un clic l’exécution des scripts un à un. JavaScript étant très répandu, attendez-vous à devoir cliquer très souvent. Les utilisateurs de Firefox peuvent s’orienter vers une autre extension utile, RequestPolicy, qui bloque le chargement par défaut des ressources tierces sur une page. Ici aussi, votre navigation ordinaire pourrait être perturbée car les ressources tierces sont très utilisées.

Enfin, pour les plus paranoïaques, HTTP Nowhere permettra de désactiver l’ensemble du trafic HTTP, avec pour conséquence que votre navigation sera entièrement chiffrée et, par la même occasion, limitée aux seuls sites offrant une connexion HTTPS.

Conclusion

Le système de la NSA pour déployer les logiciels malveillants n’a rien de particulièrement novateur, mais avoir un aperçu de la façon dont il opère devrait aider les utilisateurs et les éditeurs de logiciels et de navigateurs à mieux se défendre contre ces types d’attaques, et contribuer à une meilleure protection de tous contre les criminels, les agences de renseignement et une pléthore d’autres attaquants. C’est pourquoi nous jugeons vital que la NSA soit transparente quant à ses capacités et aux failles ordinaires de sécurité auxquelles nous sommes exposés — notre sécurité en ligne en dépend.


1. Le terme « homme du milieu » est parfois réservé aux attaques sur les connexions sécurisées par cryptographie, par exemple au moyen d’un certificat SSL frauduleux. Dans cet article, toutefois, on entend plus généralement toute attaque où l’attaquant s’interpose entre un site et la victime.
2. D’après l’article de The Guardian, « Les exploits les plus précieux sont réservés aux cibles les plus importantes ».




Le chiffrement, maintenant (5)

Un service de chat furtif : Off-the-Record (OTR)

Traduction : Feadurn, Paul, lamessen, goofy

Off-the-Record (OTR) est une couche de chiffrement qui peut être ajoutée à n’importe quel système de messagerie instantanée existant, pourvu que vous puissiez vous connecter à cette messagerie instantanée avec un client qui prend en charge l’OTR, comme Pidgin ou Adium. Avec OTR, il est possible d’avoir des conversations sécurisées, chiffrées de bout en bout, en passant par des services comme Google Talk ou Facebook sans que ni Facebook ni Google n’aient accès au contenu de ces conversations. Notez bien que c’est un système différent de l’option « off the record » de Google, qui n’est pas sécurisée. Et souvenez-vous : bien qu’une connexion HTTPS avec Google ou Facebook offre une très bonne protection à vos messages quand ils circulent, les deux services ont les clés de vos échanges et peuvent donc les communiquer aux autorités.

OTR remplit deux missions : le chiffrement des conversations de messagerie instantanée en temps réel et la vérification de l’identité des personnes avec lesquelles vous communiquez. Cette dernière est extrêmement importante mais beaucoup d’utilisateurs d’OTR la négligent. Même si OTR est bien plus facile à prendre en main que d’autres formes de chiffrement à clé publique, vous devez malgré tout en comprendre le fonctionnement et savoir à quelles attaques il peut être exposé si vous souhaitez l’utiliser en toute sécurité.

Fournisseurs de services et Jabber

OTR assure uniquement le chiffrement du contenu de vos conversations et non celui des métadonnées qui leur sont associées. Celles-ci comprennent vos interlocuteurs, quand et à quelle fréquence vous communiquez avec eux. C’est la raison pour laquelle je recommande d’utiliser un service qui n’est pas connu pour collaborer avec les services secrets. Cela ne protègera pas forcément vos métadonnées, mais vous aurez au moins une chance qu’elles restent privées.

Je vous conseille aussi d’utiliser un service XMPP (aussi appelé Jabber). Tout comme le courrier électronique, Jabber est un protocole ouvert et fédéré. Les utilisateurs d’un service Jabber comme riseup.net peuvent discuter tant avec des utilisateurs du service jabber.ccc.de qu’avec ceux du service jabber.org.

Clients OTR

Pour utiliser OTR, vous devrez télécharger un logiciel. Sous Windows, vous téléchargerez et installerez Pidgin et le plugin OTR séparément. Sous GNU/Linux, vous installerez les paquets pidgin et pidgin-otr. La documentation explique comment configurer vos comptes Pidgin avec OTR. Si vous êtes sous Mac OS X, vous pouvez télécharger et installer Adium, un client de chat libre qui intègre le support d’OTR. Là aussi, reportez vous à la documentation officielle pour configurer le chiffrement OTR avec Adium. Il existe aussi des clients Jabber et OTR disponibles pour Android (Giggerbot) et pour iOS (ChatSecure).

Votre clé

Quand vous commencez à utiliser OTR, votre client de chat génère une clé de chiffrement et la stocke dans un fichier de votre répertoire utilisateur personnel sur votre disque dur. Si votre ordinateur ou votre smartphone est perdu, volé ou rendu inutilisable par un logiciel malveillant, il est possible que l’inviolabilité de votre clé OTR soit compromise. Si c’est le cas, un attaquant aura la possibilité de prendre le contrôle de votre serveur Jabber et de lancer une attaque de l’homme du milieu (MIDTM) contre vous pendant que vous discutez avec des interlocuteurs qui avaient auparavant vérifié votre identité.

Sessions

Si vous souhaitez utiliser OTR pour discuter en privé avec vos amis, ces derniers doivent l’utiliser également. Une session chiffrée entre deux personnes nécessite deux clés de chiffrement. Par exemple, si vous-même et votre correspondant vous êtes tous deux identifiés sur le chat de Facebook en utilisant Adium ou Pidgin après avoir configuré OTR, vous pourrez discuter en privé. En revanche, si vous vous êtes logué en messagerie instantanée en utilisant Adium ou Pidgin mais que votre interlocuteur discute en utilisant directement facebook.com, vous ne pouvez pas avoir de conversation chiffrée.

Si vous souhaitez utiliser les services de Facebook ou Google pour discuter avec vos amis, je vous recommande de désactiver le chat de l’interface web pour ces services et de n’utiliser qu’Adium ou Pidgin pour vous connecter, et d’encourager vos amis à faire de même ; voici la marche à suivre pour Facebook et Google.

Quand vous lancez une session chiffrée avec OTR, votre logiciel client vous indique quelque chose comme :

Lancement d'une conversation privée avec utilisateur@jabberservice... Conversation non-vérifiée avec utilisateur@jabberservice/démarrage du client chat. 

Si vous avez déjà vérifié l’empreinte OTR de la personne à laquelle vous parlez (voir plus bas), votre session ressemblera à ceci :

Lancement d'une conversation privée avec utilisateur@jabberservice... Conversation privée avec utilisateur@jabberservice/démarrage du client chat. 

Quand vous commencez une nouvelle session OTR, votre logiciel OTR et celui de votre correspondant s’échangent une série de messages pour s’accorder sur une clé pour la nouvelle session. Cette clé temporaire n’est connue que par vos deux clients de messagerie instantanée, ne circule jamais sur Internet et sert à chiffrer et déchiffrer les messages. Une fois la session terminée, les deux logiciels clients « oublient » la clé. Si vous recommencez à chatter plus tard avec la même personne, votre client OTR génèrera une nouvelle clé de session.

De cette façon, même si une personne indiscrète enregistre toutes vos conversations chiffrées — ce que la NSA pense être légalement autorisée à faire même si vous êtes un citoyen étatsunien et qu’elle n’a pas un mandat ou une bonne raison de le faire — et que plus tard elle compromet votre clé OTR, elle ne pourra pas retrouver ni déchiffrer vos anciennes conversations.

Cette propriété est appelée sécurité itérative, et c’est une particularité d’OTR dont PGP ne dispose pas. Si votre clé PGP privée (article à venir sur les clés PGP) est compromise et que l’attaquant a eu accès à tous les messages chiffrés que vous avez reçus, il peut les retrouver et en déchiffrer l’intégralité.

Apprenez-en davantage sur la façon dont fonctionne la sécurité itérative, et la raison pour laquelle la majorité des grandes sociétés d’Internet devraient l’adopter pour leurs site web ici. La bonne nouvelle, c’est que Google utilise déjà la sécurité itérative et que Facebook va l’implémenter dès que possible.

Vérification d’empreinte OTR

Quand vous commencez une nouvelle session OTR avec quelqu’un, votre logiciel de chat reçoit une empreinte[1] de sa clé de chiffrement et votre logiciel OTR se souvient de cette empreinte. Aussi longtemps que la personne utilise la même clé de chiffrement lorsqu’elle communique avec vous, probablement parce qu’elle utilise le même logiciel/client(?), elle aura la même empreinte. Si cette empreinte change, c’est soit parce que la personne utilise une clé OTR différente, soit que vous êtes tous deux victimes d’une attaque MITM.

Sans cette vérification de clés, vous n’avez aucun moyen de savoir si vous êtes victime d’une attaque MITM réussie et non détectée.

Même en étant sûr que la personne avec qui vous discutez est réellement votre interlocuteur, parce qu’elle connaît des choses qu’elle seule peut connaitre, et en utilisant un chiffrement OTR, un attaquant peut être en train de lire votre conversation. Peut-être avez vous en réalité une conversation chiffrée avec l’attaquant, lui-même en pleine conversation chiffrée avec votre interlocuteur, relayant les messages entre vous et ce dernier. Au lieu de l’empreinte de votre interlocuteur, votre client verra celle de l’attaquant. Tout ce que vous pouvez constater en tant qu’utilisateur est que la conversation est « non vérifiée ».

Les captures d’écran suivantes montrent les indications visuelles de Pidgin concernant la vérification de l’empreinte. Si vous avez vérifié l’empreinte OTR, votre discussion est privée : dans le cas contraire, votre conversation est chiffrée mais rien ne garantit que vous n’êtes pas en train de subir une attaque. Vous ne pouvez en avoir la certitude absolue qu’à condition de vérifier.

Si vous cliquez sur un lien non vérifié (sur Adium c’est une icône de cadenas), vous pouvez choisir « authentifier l’ami ». Le protocole OTR propose trois méthodes de vérification : le protocole du millionnaire socialiste, le secret partagé et la vérification manuelle de l’empreinte. Tous les clients OTR permettent la vérification manuelle de l’empreinte, mais pas forcément les autres types de vérification. Dans le doute, choisissez la vérification manuelle de l’empreinte.

Dans la capture d’écran ci-dessus, on voit l’empreinte OTR des deux utilisateurs de la session. Votre interlocuteur doit voir exactement les mêmes empreintes que vous. Pour être certain que chacun des interlocuteurs voit les mêmes empreintes, vous devez soit vous rencontrer en personne, soit avoir un échange téléphonique (si vous pouvez reconnaitre vos voix) soit trouver une autre solution en-hors du chat mais sécurisée pour vérifier les empreintes, comme envoyer un courriel PGP chiffré et signé.

Les empreintes OTR sont constituées d’une suite de 40 caractères hexadécimaux. Il est statistiquement impossible de générer deux clés OTR ayant la même empreinte, ce qui est appelé une collision. Il est toutefois possible de générer une clé OTR qui, sans être véritablement une collision, semble en être une lors d’une vérification superficielle. Par exemple, les premiers et derniers caractères peuvent identiques et les caractères centraux différents. Il est donc important de comparer chacun des 40 caractères un à un pour être sûr d’avoir la bonne clé OTR.

Comme, en général, vous créez une nouvelle clé OTR chaque fois que vous utilisez un nouveau terminal (par ex., si vous voulez utiliser le même compte Jabber pour discuter à partir de votre téléphone Android avec Gibberbot et à partir de votre PC Windows avec Pidgin), vous vous retrouvez souvent avec plusieurs clés et, par conséquent, plusieurs empreintes. Il est important de répéter l’étape de vérification sur chaque terminal et pour chaque contact avec qui vous discutez.

Utiliser OTR sans vérifier les empreintes est toujours préférable à ne pas utiliser OTR du tout. Comme un attaquant qui tente une attaque MITM contre une session OTR court un risque important d’être pris, cette attaque n’est utilisée qu’avec prudence.

Journaux d’activité

Voici un extrait d’un des journaux de discussion entre Bradley Manning et Adrian Lamo, transmis aux autorités par ce dernier et publié par Wired.

(1:40:51 PM) bradass87 n'a pas encore été identifié. Vous devez authentifier cet utilisateur.
(1:40:51 PM)  une conversation non vérifiée avec bradass87 a commencé.
(1:41:12 PM) bradass87: Salut
(1:44:04 PM) bradass87: Comment vas-tu?
(1:47:01 PM) bradass87: je suis analyste du renseignement à l'armée, à l'est de Bagdad et dans l'attente d'une décharge pour  « trouble de l'adaptation » au lieu de « trouble de l'identité de genre ».
(1:56:24 PM) bradass87: Je suis sûr que tu es très occupé... Tu dois avoir plein de boulot...
(1:58:31 PM) bradass87: Si tu avais un accès privilégié à des réseaux classifiés 14 heures par jour, 7 jours sur 7 et plus de 8 mois dans l'année, que ferais-tu ?
(1:58:31 PM) info@adrianlamo.com: je suis fatigué d'être fatigué
(2:17:29 PM) bradass87: ?
(6:07:29 PM) info@adrianlamo.com: Quel est ton MOS[2]

Comme on peut le voir grâce à la ligne « une conversation non vérifiée avec bradass87 a commencé », les deux interlocuteurs utilisaient OTR pour chiffrer leur conversation, or cette dernière a été en définitive rendue publique sur le site web de Wired et utilisée comme pièce à conviction contre Bradley Manning. Il est possible que leur conversation ait fait l’objet d’une attaque MITM, mais c’est très improbable. Ce sont plutôt les clients OTR de Bradley Manning et Adian Lamo qui conservaient une copie de leur conversation sur leur disque dur, non chiffré.

Même s’il peut parfois être utile de garder des journaux de conversations, cela peut aussi gravement mettre en danger votre vie privée. Si Pidgin et Adium ne journalisaient pas les conversations par défaut, il est probable que ces journaux de conversations n’auraient pas fini sur la place publique.

Avec la sortie d’OTR 4.0 en septembre 2012, Pidgin a arrêté de journaliser les conversations OTR par défaut. Adium continue de le faire. Vous devez donc manuellement arrêter cette journalisation, ce qui est une faille d’Adium. Adium étant un logiciel libre avec un système ouvert de suivi de bogues, vous pouvez suivre et participer aux discussions concernant la résolution de cette faille ici et .

(à suivre…)

Notes

[1] rien à voir avec les empreintes digitales que certains confient à leur iPhone

[2] Military Occupation Speciality, la classification des activités au sein de l’armée des États-Unis.

Copyright: Encryption Works: How to Protect Your Privacy in the Age of NSA Surveillance est publié sous licence Creative Commons Attribution 3.0 Unported License.




Le chiffrement, maintenant (4)

Aujourd’hui, un rapide coup d’œil sur le projet Tor, un réseau décentralisé de routeurs qui permet de faire « rebondir » vos communications sur Internet parmi plusieurs trajectoires dont chaque étape fait appel au chiffrement. Ainsi l’adresse de votre ordinateur d’origine devient-elle très difficile à retrouver.

Ne dissimulons pas toutefois que la mise en œuvre de Tor n’est pas triviale et que le réseau est probablement déjà soumis à des tentatives d’attaques, en raison de l’anonymat qu’il vise à y garantir…

Anonymisez votre localisation avec Tor

Tor est un service logiciel qui vous permet d’utiliser Internet en dissimulant votre adresse IP, qui constitue, en général, une représentation assez précise de votre localisation. Le réseau Tor est composé de 3600 serveurs, maintenus par des bénévoles, appelés nœuds. Quand quelqu’un utilise le réseau Tor pour visiter un site, sa connexion est relayée à travers trois de ces nœuds (appelé circuit) avant de finalement accéder à l’Internet normal. Quiconque interceptera le trafic pensera que votre emplacement est le nœud final duquel sort votre trafic.
Il est important toutefois de se souvenir que le fait d’anonymiser votre connexion à Internet ne la rend pas magiquement sécurisée. EFF a créé un schéma interactif montrant comment Tor et le HTTPS peuvent travailler ensemble pour protéger votre vie privée.
Comme tout bon logiciel de cryptographie, Tor est un logiciel libre, avec un logiciel de suivi de bogues ouvert, des listes de diffusion et un code source disponible.
La documentation de Tails, la distribution live GNU/Linux qui force tout le trafic du réseau de l’utilisateur à passer par le réseau Tor, dit ceci à propos des adversaires globaux :

Un adversaire passif serait une personne ou une entité capable de surveiller le trafic entre tous les ordinateurs d’un même réseau simultanément. En étudiant, par exemple, la synchronisation et le volume de données des différentes communications sur le réseau, il pourrait être possible d’identifier les circuits Tor et ainsi identifier les utilisateurs de Tor et les serveurs de destination.

On peut considérer que la NSA et la GHCQ comptent parmi les adversaires globaux, car nous savons qu’ils surveillent une large portion d’Internet. On ne peut savoir de manière sûre à quelle fréquence ces agences de renseignement peuvent mettre en échec l’anonymat du réseau Tor. Récemment, le réseau Tor a fait l’objet d’une attaque par Botnet. Il est probable que la guerre contre le chiffrement a déjà commencé.

Même si cela leur est possible, utiliser Tor nous procure toujours plusieurs avantages. Cela rend leur travail plus difficile, et nous laissons moins de données nous identifiant sur les serveurs par lesquels nous nous connectons au réseau Tor. Cela rend une attaque MITM plus difficile dans notre réseau local ou au niveau de notre fournisseur d’accès à internet (FAI). Et même si certains circuits Tor peuvent être infiltrés par un adversaire global, si suffisamment de personnes font transiter leur trafic par le même nœud Tor au même moment, il sera difficile pour l’adversaire de dire quel trafic correspond à quel circuit.

Le moyen le plus simple pour utiliser Tor est de télécharger et d’installer le Tor Browser Bundle.
intallation de TorBrowser Des informations détaillées sur l’installation et la configuration de Tor selon votre système d’exploitation figurent sur le site du projet Tor. Elles sont malheureusement en anglais. Vous trouverez une documentation en français pour Ubuntu sur cette page.

Lorsque Snowden a répondu aux questions sur le site du Guardian depuis une « connexion sécurisée à Internet », il routait probablement son trafic par le réseau Tor. Il peut avoir également eu recours à un « pont » pour se connecter au réseau Tor afin de rendre le fait qu’il utilise Tor à partir de son adresse IP moins évident pour les oreilles indiscrètes.

(à suivre…)

Copyright: Encryption Works: How to Protect Your Privacy in the Age of NSA Surveillance est publié sous licence Creative Commons Attribution 3.0 Unported License.




Le chiffrement, maintenant (3)

Voici le troisième volet de l’initiation au chiffrement, initialement destiné aux journalistes sous l’égide de la Press Freedom Foundation, que nous avons traduit pour vous (vous pouvez retrouver le premier épisode et le deuxième).

Des logiciels de confiance

D’après Encryption Works

(Contributeurs : Slystone, Asta, goofy, lamessen, Bookynette)

Quand Snowden emploie les termes « endpoint security », il sous-entend que la sécurité sur les ordinateurs à chaque extrémité de la conversation est assurée par le chiffrement et le déchiffrement, contrairement à la sécurité assurée seulement pendant le transit du message. Si vous envoyez un courriel chiffré à un ami mais que vous avez un enregistreur de frappe sur votre ordinateur qui enregistre aussi bien l’intégralité de votre message que la phrase de passe qui protège votre clé de chiffrement, votre chiffrement n’est plus efficace.

Depuis que Glenn Greenwald et Laura Poitras, deux membres du conseil de la Freedom of the Press Foundation, ont révélé  la surveillance généralisée des réseaux par la NSA, de nombreuses informations concernant les agences de renseignement ont été rendues publiques. Particulièrement Bloomberg, qui a publié des révélations sur des programmes volontaires de partage des informations entre les compagnies et les agences d’espionnage étatsuniennes.

Jusqu’à présent, la révélation la plus choquante au sujet de ces programmes de partage des informations, c’est que Microsoft a une politique de communication des informations sur les vulnérabilités dans son logiciel au gouvernement étatsunien avant de publier les mises à jour de sécurité pour le public. L’article dit :

Microsoft Corporation, la plus grosse entreprise de logiciels du monde, fournit aux agences d’espionnage des informations sur les bogues dans ses logiciels grand public avant d’envoyer un correctif. Ces informations peuvent être utilisées pour protéger les ordinateurs du gouvernement et pour accéder aux ordinateurs de terroristes ou forces militaires ennemies.

Cela signifie que la NSA a en main les clés pour accéder à n’importe quel ordinateur utilisant Windows, Office, Skype ou tout autre logiciel Microsoft. Si vous utilisez ces logiciels sur votre ordinateur, il est très probable que la NSA, avec suffisamment d’efforts, peut compromettre votre ordinateur ainsi que vos communications chiffrées, si vous devenez une de leurs cibles.

Nous avons aussi appris du New York Times que Skype, logiciel qui en dehors de la communauté de la sécurité a longtemps eu la réputation d’être un moyen sécurisé de communiquer, a envoyé des conversations privées au gouvernement étatsunien durant les cinq dernières années.

Skype, le service d’appel sur Internet, a commencé son propre programme secret, intitulé Project Chess, pour explorer les problèmes légaux et techniques afin de mettre les appels via Skype à disposition des agences de renseignements et des forces de l’ordre. Cette information vient de gens informés sur le programme qui ont demandé à ne pas être nommés pour éviter les ennuis avec les agences de renseignement.

Le projet Chess, qui n’avait jamais été mentionné auparavant, était discret et limité à moins d’une douzaines de personnes chez Skype. L’une des personnes informées sur le projet a expliqué qu’il a été développé suite à des entretiens parfois houleux avec le gouvernement sur des questions juridiques. Il a commencé il y a 5 ans, avant que la majorité de la société ne soit vendue par son propriétaire, eBay, à des investisseurs externes en 2009. Microsoft a acquis Skype dans un accord de 8.5 milliards de dollars (environ 6.5 milliards d’euros) qui s’est conclu en octobre 2011.

Un responsable de Skype a nié l’année dernière dans un article de blog que les récents changements dans le fonctionnement de Skype aient été faits à la demande de Microsoft pour faciliter l’application de la loi sur l’espionnage. Cependant, il semble que Skype ait compris comment collaborer avec les agences de renseignements avant même que Microsoft n’en prenne le contrôle, comme le dévoilent les documents divulgués par Edward J. Snowden, un ancien sous-traitant de la C.I.A. L’un des documents sur le programme PRISM qu’il a rendu public indique que Skype a rejoint le programme le 6 février 2011.

Les logiciels propriétaires, comme la majorité de ceux proposés par Microsoft, Apple et Google, ont une autre faille. Il est beaucoup plus difficile pour les utilisateurs de vérifier de façon indépendante qu’il n’existe pas de portes dérobées secrètes à la demande clandestine de la surveillance d’état. Bien que des rapports récents aient montré que de nombreuses sociétés ont remis une quantité inconnue d’informations en réponse aux requêtes FISA, aucune de ces entreprises ne s’est avérée avoir directement de portes dérobées dans leurs systèmes.

Il existe un autre type de logiciel qui est plus fiable à cet égard. Les logiciels libres et open source ne sont pas forcément ergonomiques ? et ne sont pas nécessairement sans risques ? Cependant quand ils sont développés de façon ouverte, avec un logiciel de suivi de bogue ouvert, des listes de diffusion ouvertes, une architecture ouverte et un code open source, il est plus difficile pour ces projets d’avoir une politique de trahison de leurs utilisateurs comme celle de Microsoft.

GNU/Linux est un système d’exploitation qui est entièrement composé de logiciels libres et open source. On peut prendre l’exemple de distributions GNU/Linux comme Ubuntu, Debian ou Fedora, qui sont les alternatives à Windows et Mac OS X les plus courantes. Bien que les projets de logiciels libres puissent toujours intégrer du code malveillant (voir le concours C Underhanded), la personne qui écrit ce code doit le cacher proprement et espérer qu’aucun des autres développeurs ou en aval des packagers GNU/Linux qui préparent et compilent le code source du projet pour l’intégrer à leur distribution ne le détectent.

Dans les années 1990, quand le chiffrement public est devenu populaire et que le gouvernement étatsunien faisait tout ce qu’il pouvait pour l’empêcher, le mouvement « cypherpunk » est né. De nombreux logiciels permettant aux gens de chiffrer sont nés de ce mouvement.

Les cypherpunks écrivent du code. Nous savons que quelqu’un doit développer des logiciels pour défendre notre vie privée. Et comme nous ne pouvons pas avoir de vie privée tant que nous ne le feront pas tous, nous allons les développer. Nous publions notre code pour que nos compatriotes cypherpunks puissent s’entrainer et jouer avec. Notre code est utilisable librement par n’importe qui dans le monde. Nous n’en avons rien à faire que vous n’approuviez pas le logiciel que nous développons. Nous savons que le logiciel ne peut être détruit et qu’un système largement dispersé ne peut être stoppé.

— Eric Hughes, dans son Manifeste du Cypherpunk de 1993

Ce code, qui est ouvert et public de façon à ce que d’autres cypherpunks puissent s’entraîner et jouer avec, que n’importe qui dans le monde peut utiliser librement, est à l’origine des logiciels et protocoles dans lesquels nous pouvons avoir confiance : LUKS (le chiffrement de disque intégré à GNU/Linux), OpenPGP, Off-the-Record et Tor.

[mise à jour] Écartons TLS, le chiffrement à l’origine du HTTPS qui selon les dernières révélations semblerait perméable à l’espionnage par la NSA.

Le collectif de technologie tactique a conçu un très bon guide sur les logiciels de sécurité open source dans lesquels on peut avoir confiance pour préserver notre vie privée de toute surveillance. Il est important de rappeler que la simple utilisation de ces logiciels, même à la perfection, ne peut pas garantir la sécurité de votre chiffrement. Nous ne savons pas, par exemple, si Apple a transmis des failles 0-day de iOS à la NSA comme a pu le faire Microsoft. ChatSecure, qui permet d’avoir des discussions chiffrées sur les terminaux iOS, n’est pas plus sécurisé que le système d’exploitation sur lequel il fonctionne.

Il est important de rappeler que le simple fait d’utiliser du logiciel libre ne veut pas dire que l’on ne peut pas s’introduire dans vos systèmes. Des gens trouvent tout le temps des failles 0-day pour du logiciel libre, et parfois les vendent à des gouvernements ou d’autres attaquants malveillants. Des utilisateurs de logiciels libres téléchargent toujours des pièces jointes malveillantes avec leurs courriels, et ils ont souvent mal configuré des services simples sur leurs ordinateurs. Pire encore, les malwares sont souvent très bons pour se dissimuler. Si un utilisateur de logiciel libre attrape sur son ordinateur un malware, ce dernier peut y demeurer jusqu’à ce que l’utilisateur formate ses disques durs.

Tails, qui est une distribution GNU/Linux bootable sur live USB et live CD et dont je vais parler plus loin, résout beaucoup de ces problèmes.

(à suivre…)

Copyright: Encryption Works: How to Protect Your Privacy in the Age of NSA Surveillance est publié sous licence Creative Commons Attribution 3.0 Unported License.




Le chiffrement, maintenant (2)

Voici la deuxième partie du guide sur le chiffrement que nous vous avons présenté la semaine dernière.

Ces derniers jours, les révélations distillées par Snowden n’ont fait que confirmer l’ampleur considérable des transgressions commises par la NSA : le protocole https est compromis, et même un certain type de chiffrement a été « cassé » depuis 2010…

Il est donc d’autant plus justifié de rechercher les moyens de se protéger de ces intrusions de la surveillance généralisée dans nos données personnelles. À titre d’introduction à notre chapitre de la semaine, j’ai traduit rapidement 5 conseils donnés ce vendredi par Bruce Schneier, spécialiste de la sécurité informatique, dans un article du Guardian. Il reconnaît cependant que suivre ces conseils n’est pas à la portée de l’usager moyen d’Internet…

1) Cachez-vous dans le réseau. Mettez en œuvre des services cachés. Utilisez Tor pour vous rendre anonyme. Oui, la NSA cible les utilisateurs de Tor, mais c’est un gros boulot pour eux. Moins vous êtes en évidence, plus vous êtes en sécurité.

2) Chiffrez vos communications. Utilisez TLS. Utilisez IPsec. Là encore, même s’il est vrai que la NSA cible les connexions chiffrées – et il peut y avoir des exploits explicites contre ces protocoles – vous êtes beaucoup mieux protégés que si vous communiquez en clair.

3) Considérez que bien que votre ordinateur puisse être compromis, cela demandera à la NSA beaucoup de travail et de prendre des risques – il ne le sera donc probablement pas. Si vous avez quelque chose de vraiment important entre les mains, utilisez un « angle mort ». Depuis que j’ai commencé à travailler avec les documents Snowden, j’ai acheté un nouvel ordinateur qui n’a jamais été connecté à l’internet. Si je veux transférer un fichier, je le chiffre sur l’ordinateur sécurisé (hors-connexion) et le transfère à mon ordinateur connecté à Internet, en utilisant une clé USB. Pour déchiffrer quelque chose, j’utilise le processus inverse. Cela pourrait ne pas être à toute épreuve, mais c’est déjà très bien.

4) Méfiez-vous des logiciels de chiffrement commerciaux, en particulier venant de grandes entreprises. Mon hypothèse est que la plupart des produits de chiffrement de grandes sociétés nord-américaines ont des portes dérobées utiles à la NSA, et de nombreuses entreprises étrangères en installent sans doute autant. On peut raisonnablement supposer que leurs logiciels ont également ce genre de portes dérobées. Les logiciels dont le code source est fermé sont plus faciles à pénétrer par la NSA que les logiciels open source. Les systèmes qui reposent sur une clé « secrète » principale sont vulnérables à la NSA, soit par des moyens juridiques soit de façon plus clandestine.

5) Efforcez-vous d’utiliser un chiffrement du domaine public qui devra être compatible avec d’autres implémentations. Par exemple, il est plus difficile pour la NSA de pénétrer les TLS que BitLocker, parce que les TLS de n’importe quel fournisseur doivent être compatibles avec les TLS de tout autre fournisseur, alors que BitLocker ne doit être compatible qu’avec lui-même, donnant à la NSA beaucoup plus de liberté pour le modifier à son gré. Et comme BitLocker est propriétaire, il est beaucoup moins probable que ces changements seront découverts. Préférez le chiffrement symétrique au chiffrement à clé publique. Préférez les systèmes basés sur un logarithme discret aux systèmes conventionnels à courbe elliptique ; ces derniers ont des constantes que la NSA influence quand elle le peut.

Type de menace

D’après Encryption Works

(contributeurs : audionuma, goofy, lamessen, Calou, Achille Talon)

La NSA est un puissant adversaire. Si vous êtes sa cible directe, il vous faudra beaucoup d’efforts pour communiquer en toute confidentialité, et même si ce n’est pas le cas, des milliards d’innocents internautes se retrouvent dans les filets de la NSA.

Bien que les outils et conseils présentés dans ce document soient destinés à protéger votre vie privée des méthodes de collecte de la NSA, ces mêmes conseils peuvent être utilisés pour améliorer la sécurité de votre ordinateur contre n’importe quel adversaire. Il est important de garder à l’esprit que d’autres gouvernements, notamment la Chine et la Russie, dépensent d’énormes sommes pour leurs équipements de surveillance et sont réputés pour cibler spécifiquement les journalistes et leurs sources. Aux États-Unis, une mauvaise sécurité informatique peut coûter leur liberté aux lanceurs d’alerte, mais dans d’autres pays c’est leur vie même que risquent à la fois les journalistes et leurs sources. Un exemple récent en Syrie a montré à quel point une mauvaise sécurité informatique peut avoir des conséquences tragiques.

Mais la modification de certaines pratiques de base peut vous garantir une bonne vie privée, même si cela ne vous protège pas d’attaques ciblées par des gouvernements. Ce document passe en revue quelques méthodes qui peuvent vous servir dans les deux cas.

Systèmes de crypto

Nous avons découvert quelque chose. Notre seul espoir contre la domination totale. Un espoir que nous pourrions utiliser pour résister, avec courage, discernement et solidarité. Une étrange propriété de l’univers physique dans lequel nous vivons.

L’univers croit au chiffrement.

Il est plus facile de chiffrer l’information que de la déchiffrer.

— Julian Assange, in Menace sur nos libertés : comment Internet nous espionne, comment résister

Le chiffrement est le processus qui consiste à prendre un message textuel et une clé générée au hasard, puis à faire des opérations mathématiques avec ces deux objets jusqu’à ce qu’il ne reste plus qu’une version brouillée du message sous forme de texte chiffré. Déchiffrer consiste à prendre le texte chiffré et sa clé et à faire des opérations mathématiques jusqu’à ce que le texte initial soit rétabli. Ce domaine s’appelle la cryptographie, ou crypto en abrégé. Un algorithme de chiffrement, les opérations mathématiques à réaliser et la façon de les faire, est un ensemble appelé « code de chiffrement ».

Pour chiffrer quelque chose vous avez besoin de la bonne clé, et vous en avez aussi besoin pour la déchiffrer. Si le logiciel de chiffrement est implémenté correctement, si l’algorithme est bon et si les clés sont sécurisées, la puissance de tous les ordinateurs de la Terre ne suffirait pas à casser ce chiffrement.

Nous développons des systèmes de cryptographie qui relèvent de problèmes mathématiques que nous imaginons difficiles, comme la difficulté à factoriser de grands nombres. À moins que des avancées mathématiques puissent rendre ces problèmes moins complexes, et que la NSA les garde cachées du reste du monde, casser la crypto qui dépend d’eux au niveau de la sécurité est impossible.

La conception des systèmes de chiffrement devrait être complètement publique. Le seul moyen de s’assurer que le code de chiffrement ne contient pas lui-même de failles est de publier son fonctionnement, pour avoir de nombreux yeux qui le scrutent en détail et de laisser les  experts des véritables attaques à travers le monde trouver les bogues. Les mécanismes internes de la plupart des cryptos que nous utilisons quotidiennement, comme le HTTPS, cette technologie qui permet de taper son code de carte bancaire et les mots de passe sur des formulaires de sites internet en toute sécurité, sont totalement publics. Un attaquant qui connaît parfaitement chaque petit détail du fonctionnement du système de chiffrement ne réussira pas à le casser sans en avoir la clé. En revanche, on ne peut pas avoir confiance dans la sécurité d’une cryptographie propriétaire et dans son code sous-jacent.

Voici une question importante à se poser lors de l’évaluation de la sécurité d’un service ou d’une application qui utilise la crypto : est-il possible pour le service lui-même de contourner le chiffrement ? Si c’est le cas, ne faites pas confiance à la sécurité du service. Beaucoup de services comme Skype et Hushmail promettent un chiffrement « de bout en bout », mais dans la majorité des cas cela signifie aussi que les services eux-même ont les clés pour déchiffrer le produit. Le véritable chiffrement « de bout en bout » signifie que le fournisseur de service ne peut pas lui-même regarder vos communications, même s’il voulait le faire.

Un aspect important du chiffrement est qu’il permet bien plus que la protection de la confidentialité des communications. Il peut être utilisé pour « signer électroniquement » les messages d’une manière qui permette de prouver que l’auteur du message est bien celui qu’il prétend être. Il peut également être utilisé pour utiliser des monnaies numériques comme Bitcoin, et il peut être utilisé pour produire des réseaux qui permettent l’anonymat comme Tor.

Le chiffrement peut aussi servir à empêcher les gens d’installer des applications pour iPhone qui ne proviennent pas de l’App Store, à les empêcher d’enregistrer des films directement à partir de Netflix ou encore les empêcher d’installer Linux sur une tablette fonctionnant sous Windows 8. Il peut aussi empêcher des attaques de type « homme du milieu » (NdT : attaque consistant à intercepter les communications entre deux terminaux sans que ces derniers se doutent que la sécurité est compromise) d’ajouter des malwares pour compromettre les mises à jour légitimes de logiciels.

En bref, le chiffrement englobe de nombreux usages. Mais ici nous nous contenterons de regarder comment nous pouvons l’utiliser pour communiquer de façon sécurisée et privée.

(à suivre…)

Copyright: Encryption Works: How to Protect Your Privacy in the Age of NSA Surveillance est publié sous licence Creative Commons Attribution 3.0 Unported License.




Le site Groklaw baisse le rideau à cause de la surveillance de la NSA !

Coup de tonnerre dans la blogosphère ! Le célèbre site Groklaw vient de publier un poignant dernier billet, dont nous vous proposons la traduction ci-dessous.

En cause, la surveillance et l’impossibilité de sécuriser sa communication par courriel, suite aux récentes révélations de Snowden. La spécialité de Groklaw c’est d’expliquer, relater, voire parfois révéler, collectivement des affaires et questions juridiques liées aux nouvelles technologies en général et au logiciel libre en particulier. Comment poursuivre si on se sent ainsi potentiellement violé(e) sans plus pouvoir garantir la confidentialité de ceux qui participent et envoient des informations au site ?

Ce qui fait dire en fin d’article, non sans amertume, à la fondatrice du site Pamela Jones : “But for me, the Internet is over”.

Est-ce une décision exagérée ? A-t-elle réagi trop vite, sous la coup de la colère et de l’émotion ? Toujours est-il qu’une telle décision, aussi radicale soit-elle, aide à faire prendre conscience de la gravité de la situation…

Groklaw - Logo

Exposition forcée

Forced Exposure

Pamela Jones – 20 août 2013 – Groklaw
(Traduction : farwarx, GregR, aKa, phi, yoLotus, bituur, rboulle, eeva, Asta, Mari, goofy, GregR, Asta, Penguin, Slystone + anonymes)

Le propriétaire de Lavabit nous a récemment annoncé qu’il avait cessé d’utiliser les mails, et que si nous savions ce qu’il sait, nous en ferions autant.

Il n’y a aucun moyen de faire vivre Groklaw sans utiliser le courrier électronique. C’est là où est le casse-tête.

Que faire ?

Alors, que faire ? J’ai passé les deux dernières semaines à essayer de trouver une solution. Et la conclusion à laquelle je suis arrivée est qu’il n’y a aucun moyen de continuer Groklaw, pas sur le long terme, et c’est extrêmement malheureux. Mais il est bon de rester réaliste. Et la simple réalité est la suivante : peu importe les bons arguments en faveur de la collecte et de la surveillance de toutes les informations que nous échangeons avec les autres, et peu importe à quel point nous sommes tous « propres » pour ceux qui nous surveillent, je ne sais pas comment fonctionner dans un tel environnement. Je ne vois pas comment continuer Groklaw ainsi.

Il y a des années de cela, lorsque je vivais seule, je suis arrivée à New York et, comme j’étais encore naïve au sujet des gens malintentionnés dans les grandes villes, j’ai loué un appartement bon marché au sixième et dernier étage d’un bâtiment sans ascenseur, à l’arrière de celui-ci. Cela signifiait bien sûr, comme n’importe quel New-Yorkais aurait pu me le dire, qu’un cambrioleur pouvait monter le long de l’issue de secours incendie ou accéder au dernier étage via les escaliers intérieurs et ensuite sur le toit puis redescendre par une fenêtre ouverte de mon appartement.

C’est exactement ce qui s’est passé. Je n’étais pas là quand c’est arrivé, donc je n’ai été blessée physiquement d’aucune façon. De plus je n’avais rien de valeur et seulement quelques objets furent volés. Cependant tout a été fouillé et jeté au sol. Je ne peux pas décrire à quel point cela peut être dérangeant de savoir que quelqu’un, un inconnu, a farfouillé dans vos sous-vêtements, regardé vos photos de famille et pris quelques bijoux qui étaient dans votre famille depuis des générations.

Si cela vous est déjà arrivé, vous savez qu’il n’était plus possible pour moi de continuer à vivre là, pas une nuit de plus. Il se trouvait que, selon mes voisins, c’était certainement le fils du gardien. Ceci m’a frappée au premier abord mais ne semblait pas surprenant pour mes voisins les plus anciens. La police m’a simplement signifié qu’il ne fallait pas espérer récupérer quelque chose. Je me suis sentie violée. Mes sous-vêtements étaient tout ce qu’il y a de plus normal. Rien d’outrageusement sexy mais c’était l’idée que quelqu’un d’inconnu ait pu les toucher. J’ai tout jeté. ils ne seront plus jamais portés.

C’est comme ça que je me sens maintenant, sachant que des personnes que je ne connais pas peuvent se promener à travers mes pensées, espoirs, et projets, à travers les messages que j’échange avec vous.

Ils nous ont dit que si on envoyait un courriel hors des USA ou si on en recevait un venant de l’extérieur des USA, il serait lu. S’il est chiffré, il sera conservé pendant 5 ans, en espérant sans doute que la technologie aura assez évolué pour pouvoir le déchiffrer, contre notre volonté et sans que nous soyons au courant. Groklaw a des lecteurs partout sur la planète.

Je n’ai pas d’engagement en politique, par choix, et je dois dire qu’en me renseignant sur les derniers affaires, cela m’a convaincue d’une chose : j’ai raison de l’avoir évitée. Selon un texte sacré, il n’appartient pas à l’homme de savoir où mettre son prochain pas. Et c’est vrai. Les humains ne sont des humains et nous ne savons pas quoi faire de nos vies la moitié du temps, encore moins gouverner correctement d’autres humains. Et c’est démontré. Quel régime politique n’a pas été essayé ? Aucun ne satisfait tout le monde. Je pense que nous avons fait cette expérience. Je n’attends pas beaucoup de progrès sur ce point.

Je me souviens très nettement du 11 septembre. Un membre de ma famille était supposé être dans le World Trade Center ce matin-là, et quand j’ai regardé en direct à la télévision les gratte-ciel tomber avec des personnes à l’intérieur, je ne savais pas qu’elle était en retard ce jour et donc en sécurité. Mais est-ce qu’il importe que vous connaissiez quelqu’un en particulier, quand vous regardez des frères humains se tenir par la main et se jeter par des fenêtres de gratte-ciel vers une mort certaine, ou quand vous voyez les buildings tomber en poussière, sachant que de nombreuses personnes comme vous furent également transformées en poussière ?

J’ai pleuré pendant des semaines, comme ça ne m’est jamais arrivé, ni avant, ni depuis, et j’en garderai le souvenir jusqu’à ma mort. Une des choses qui m’angoissait le plus c’est de savoir qu’il y a des gens dans le monde qui ont envie d’infliger la même chose à d’autres, à des frères humains, des inconnus ou des civils nullement impliqués dans aucune guerre. Cela semble ridicule, je suppose. Mais je vous dis toujours la vérité et c’est ce que je ressentais sur le moment. Alors imaginez ce que je ressens, imaginez ce que je dois ressentir maintenant sur la planète où nous vivons, si les dirigeants du monde entier pensent que la surveillance totale est une bonne chose…

Je sais. Ce n’est peut-être même pas le cas. Mais si ça l’était ? Le savons-nous seulement ? Je l’ignore. Mais ce que je sais, c’est qu’il n’est pas possible d’être pleinement humain si vous êtes surveillé 24h sur 24, 7 jours sur 7.

Le Centre Berkman de l’Université de Harvard, il y a quelques années, avait un cours sur la cyber-sécurité et la vie privée sur internet. Les ressources liées à ce cours sont toujours en ligne. Ce cours expliquait comment protéger sa vie privée dans un monde virtuel, parlant de choses étonnantes, avec des intitulés tels que “Is Big Brother Listening?”

Et comment ?

Vous y trouverez toutes les lois des États-Unis relatives à la vie privée et à la surveillance. Il ne semble pas pour autant que chacun respecte les lois qui se mettent en travers de son chemin de nos jours. Ou bien si les gens trouvent qu’ils ont besoin d’une loi pour rendre un comportement légal, ils vont simplement écrire une nouvelle loi, ou réinterpréter une ancienne loi et passer outre. Ce n’est pas ça, le respect de la loi tel que j’ai appris.

Bref, le cours faisait mention de passages du livre de Janna Malamud Smith, “Private Matters: In Defense of the Personal Life” et je vous encourage à le lire. J’encourage le président et la NSA à le lire également. Je sais. Ils ne me lisent certainement pas. Pas de cette manière-là en tout cas. Mais c’est important, parce que l’idée de ce livre, c’est que la vie privée est vitale pour rester un être humain, c’est la raison pour laquelle l’une des pires punitions imaginables, c’est la surveillance totale :

Pour bien comprendre ce qu’est la vie privée il faut regarder ce qui se passe dans les situations extrêmes où elle est absente. Se remémorant Auschwitz, Primo Levi avait remarqué que « la solitude dans un camp était plus précieuse et rare que le pain ». La solitude est un des aspects de la vie privée et malgré la mort accablante, la famine et l’horreur des camps, Levi savait qu’elle lui manquait… Levi a passé une grande partie de sa vie à essayer de mettre des mots sur son expérience des camps. Comment, se demandait-il à voix haute, dans « Survivre à Auschwitz », décrire la « démolition d’un homme », un processus pour lequel les mots manquent dans notre langage.

Nous nous servons de notre vie privée comme d’un espace sûr loin de toute terreur ou d’agression. Lorsque vous enlevez à une personne la possibilité de s’isoler ou de conserver des informations intimes pour elle-même, vous la rendez extrêmement vulnérable…

L’état totalitaire surveille tout le monde, mais garde ses plans secrets. La vie privée est vue comme dangereuse car elle favorise la résistance. Espionner continuellement et ensuite poursuivre les gens pour ce qui est souvent de petites transgressions de la loi, voilà une façon de maintenir un contrôle sur la société, d’affaiblir et d’annihiler toute forme d’opposition…

Et même quand on se débarrasse de ceux qui nous harcèlent vraiment, il est souvent très difficile de ne pas se sentir soi-même surveillé, c’est pourquoi la surveillance est un moyen de contrôle extrêmement puissant. Cette tendance qu’a l’esprit de se sentir toujours surveillé, même étant seul… peut vous inhiber. Quand ils se sentent surveillés, sans en être vraiment sûrs, sans savoir ni si, ni quand, ni comment, la force de surveillance hostile les frappera, les gens se sentent effrayés, contraints, préoccupés.

J’ai déjà cité ce livre, quand les mails des reporters de CNET étaient lus par Hewlette-Packard. Nous avons pensé que c’était horrible. Et ça l’était. HP a fini par leur offrir de l’argent pour essayer de se faire pardonner. Nous en savions vraiment peu à l’époque.

Mme Smith continue :

Quelle que soit la société qui privilégie l’individualité, l’assurance d’une vie privée est une composante essentielle de l’autonomie, de la liberté et donc du bien-être psychologique des gens. Pour résumer rapidement, à la question « Comment ne pas déshumaniser les gens » nous pourrions répondre : ne terrorisez pas ou n’humiliez pas, n’affamez pas, ne laissez pas souffrir du froid, n’épuisez pas les populations, ne les avilissez pas, ou ne leur imposez pas une soumission dégradante. Ne provoquez pas l’éloignement des gens qui s’aiment, n’exigez rien en vous exprimant dans un langage incorrect, écoutez les gens attentivement, ne réduisez pas la vie privée à néant. Les terroristes de toutes sortes réduisent la vie privée en la condamnant à la clandestinité et en utilisant la surveillance hostile pour profaner cet indispensable sanctuaire.

Mais si nous décrivons une norme pour dire comment traiter quelqu’un humainement, pourquoi dépouiller quelqu’un de sa vie privée en est-il une violation ? Et qu’est-ce que la vie privée ? Dans son livre, Privacy and Freedom, Alan Westion cite quatre « états » de la vie privée : solitude, anonymat, réserve, et intimité. Les raisons pour lesquelles nous devons donner de la valeur à la vie privée deviennent plus claires lorsque l’on explore ces quatre états….

L’essence de l’intimité est un sentiment de choix et de contrôle. Vous contrôlez qui regarde ou apprend sur vous. C’est vous qui choisissez de partir ou de revenir…

L’intimité est un état interne qui nous permet de moduler notre personnage public, physiquement ou émotionnellement, et parfois les deux. Elle nous permet de nous construire une histoire personnelle, d’échanger un regard, ou de se reconnaître profondément. On peut s’ignorer sans se blesser. On peut faire l’amour. On peut se parler franchement avec des mots qu’on n’utiliserait pas face à d’autres, exprimer des idées et des sentiments, positifs ou négatifs, inacceptables en public. (Je ne pense pas avoir surmonté sa disparition. Elle parait incapable d’arrêter de mentir à sa mère. Il a l’air vraiment trop mou dans ce short de sport. Je me sens excité. En dépit de tout, il me tarde de le revoir. Je suis si en colère contre toi que je pourrais crier. Cette blague est dégoûtante, mais elle est très marrante, etc.). Protégée d’une exposition forcée, une personne se sent souvent plus capable de se livrer.

J’espère que cela éclaire les raisons de mon choix. Il n’existe dorénavant aucun bouclier contre l’exposition forcée. Rien de ce que nous faisons n’a de rapport avec le terrorisme, mais personne ne peut se sentir assez protégé face à cette exposition forcée, jusqu’au moindre petit échange avec quelqu’un par courriel, particulièrement vers les USA ou en provenance des USA, mais en réalité depuis n’importe où. Vous n’attendez pas d’un étranger qu’il lise votre conversation privée avec un ami. Et une fois que vous savez qu’on peut le faire, que dire de plus ? Contrainte et préoccupée, voilà exactement comment je me sens.

Voilà, nous y sommes. C’est la fin de la fondation Groklaw. Je ne peux pas faire vivre Groklaw sans votre participation. Je n’ai jamais oublié cela lorsque nous avons remporté des victoires. C’était vraiment un effort collectif, or de toute évidence il n’existe plus maintenant de moyen privé pour collaborer.

Je suis vraiment désolée qu’il en soit ainsi. J’aimais Groklaw, et je crois que nous y avons contribué significativement. Mais même cela s’avère être moins que ce que nous pensions, ou moins que je ne l’espérais en tous cas. Mon souhait a toujours été de vous montrer qu’il y a de la beauté et de la protection à l’intérieur des lois, que la civilisation actuelle en dépend en fait. Quelle naïveté !

Si vous voulez rester sur Internet, mes recherches indiquent qu’une mesure de sécurité à court terme face à la surveillance, dans la mesure où cela reste possible, est d’utiliser un service de courriels comme Kolab, qui est hébergé en Suisse, et par conséquent a une législation différente des USA, avec des lois qui visent à permettre davantage de confidentialité aux citoyens. J’ai maintenant une adresse chez eux, p.jones at mykolab.com, au cas où quelqu’un voudrait me contacter pour quelque chose de vraiment important et qui serait inquiet d’écrire un message vers une adresse sur un serveur américain. Mais mon autre adresse est encore valide. À vous de voir.

Ma décision personnelle est de me retirer d’Internet autant que possible. Je suis simplement une personne ordinaire. Je sais, après toutes mes recherches et des réflexions approfondies, que je ne peux pas rester en ligne sans perdre mon humanité, maintenant que je sais qu’assurer ma vie privée en ligne est impossible. Je me retrouve bloquée pour écrire. J’ai toujours été une personne réservée. C’est pourquoi je n’ai jamais souhaité être célèbre et c’est pourquoi je me suis toujours battue de toutes mes forces pour maintenir ma vie privée et la vôtre.

Si tout le monde faisait comme moi, rester en dehors d’Internet, l’économie mondiale s’effondrerait, je suppose. Je ne peux pas réellement souhaiter ça. Mais pour moi, Internet c’est fini.

Ceci est donc le dernier article de Groklaw. Je n’activerai pas les commentaires. Merci pour tout ce que vous avez fait. Je ne vous oublierai jamais et n’oublierai jamais le travail que nous avons fait ensemble. J’espère que vous vous souviendrez de moi aussi. Je suis désolée mais je ne peux pas aller contre mes sentiments. Je suis ce que je suis et j’ai essayé, mais je ne peux pas.