Facebook durcit, une nouvelle fois, la sécurité de sa plateforme.
©Reuters
Sécurité à grands renforts
Facebook donne la possibilité de chiffrer ses emails : comment ça marche concrètement et à quelles techniques se fier ?
Après les inquiétantes révélations d'Edward Snowden quant à l'espionnage pratiqué couramment par la NSA, Facebook durcit, une nouvelle fois, la sécurité de sa plateforme.
Atlantico : Après avoir sécurisé son site et donné la possibilité de l'anonymat à ses utilisateurs via la plateforme Tor, Facebook a annoncé hier qu'il enverrait désormais des messages exclusivement chiffrés à ses utilisateurs pour éviter tout espionnage, envoie de publicités ciblées…. Quelle technologie est utilisée pour y parvenir ? Est-elle fiable ?
Damien Bancal : Facebook utilise une technique de chiffrement des données bien connue, le GPG. Cette technologie chiffre nos données dès lors que l'on dispose d'une clé privée et d'une clé publique. A l'aide de ces clés, je pourrai lire et envoyer des emails chiffrés à quelqu'un du moment que je détient sa clé publique et qu'il détient la mienne.
C'est une technique intéressante qui permet d'assurer la privacité des informations que l'on échange. Son utilisation par Facebook n'est pas négligeable en ce qu'elle permettra de démocratiser ce système pour le plus grand nombre. Seul bémol, seul les mails envoyés par Facebook seront chiffrés. Je ne pourrai pas écrire à mes contacts de cette manière sauf si j'utilise moi-même la technologie GPG . Si Facebook est le premier site communautaire à employer cette technologie, ça ne reste qu'un premier pas !
Ce système est d'une fiabilité extrême, sans clé publique ou privé et sans détenir préalablement celle de la personne à qui j'envoie le message : impossible de lire, d'ouvrir ni d'envoyer un email. C'est un rapport de correspondance-confiance. Après il est vrai, qu'un pirate pourrait s'emparer du contenu du mail mais il ne pourrait rien en faire puisque tout est encodé. En vue de déchiffrer l'email il faut s'attaquer à la source (c'est-à-dire nous) afin d'obtenir clé privée et mot de passe.
Ces emails chiffrés seront suivis d'une clé de sécurité assurant que c'est bien Facebook qui a envoyé le message. En quoi ces mesures permettront-elles de s'assurer que nos emails ne sont pas surveillés ?
Le système GPG est accessible à tous : nombreux sont les sites internet qui expliquent son fonctionnement. C'est simple d'utilisation et sans danger à condition d'éviter de se faire voler son mot de passe ou sa clé privée !
Outre GPG, il existe aussi des sites internet qui permettent de taper son email, de l'envoyer et de le détruire par la suite. Une fois que le message est lu par son destinataire : il s'autodétruit. Ainsi, par de risque de piratage, d'espionnage... puisque toutes les traces ont disparu ! On peut citer par exemple le site Data Security Breach qui propose plusieurs solutions de courriels qui s'autodétruisent.En revanche, il est vrai que rien ne nous assure que le site utilisé ne dispose des codes nécessaires à lire ces emails, à les stocker même...
Par contre, ce système ne fait que cacher le contenu l'email, notre adresse reste publique. Cacher son identité est possible mais il faut avoir recours à d'autres systèmes tels que Tor ou des d'autres programmes d’anonymisation électronique (le message sera chiffré, afin de l'envoyer on le placera au sein d'un site internet qui se chargera de chiffrer notre adresse).
Ce renforcement sécuritaire pourrait-il s'étendre à l'ensemble des emails échangés sur le réseau social ?
Facebook enverra sa clé publique à ses utilisateurs pour qu'ils puisent lire les emails envoyer. Pareillement, le site devra détenir notre clé publique pour pouvoir nous transmettre des emails. Ce système implique donc que Facebook stocke toutes nos clés publiques, ce qui paraît énorme !
Bien que l'initiative du site soit bonne, la mise en vigueur reste floue. Comment mettre en route ce système de façon optimale ? Comment s'assurer que tout le monde ait des clés publiques ? Quid des clés privées ? Facebook générera-t-il lui-même nos clés privées ? Ceci remettrait en question tout le système : si il nous les fournit, ainsi ses administrateurs pourront lire nos mails et donc tout le système sécuritaire s'écroule...
Une question subsiste donc : et si tout ça n'était qu'un effet d'annonce ?
Quelles autres techniques de protection des e-mails sont actuellement disponibles ? Sont-elles accessibles aux profanes ? Comment les utiliser ?
Étendre le système à l'ensemble des e-mails envoyés serait très simple à faire. En revanche, Facebook étant en possession de nos clé, il pourrait intercepter nos conversations et lire sans problème, ce qui ferait s'écrouler le système ! D'autant plus, que le changement serait très modéré : Facebook lit déjà nos conversation pour nous envoyer, par exemple, des publicités ciblées...
Au final, le projet est très intéressant mais c'est avant tout une stratégie de communication. Facebook rassure le législateur et ses utilisateurs qui jusque là critiquait son manque absolu de privacité...
En raison de débordements, nous avons fait le choix de suspendre les commentaires des articles d'Atlantico.fr.
Mais n'hésitez pas à partager cet article avec vos proches par mail, messagerie, SMS ou sur les réseaux sociaux afin de continuer le débat !