Ecoutes à tous les étages : quelques pistes pour éviter d'être espionnés par la NSA et la DCRI

Alors que la polémique fait rage suite à la révélation du Guardian et du Washington Post sur la surveillance des données mises en place par l'administration Obama (voir ici notre explications de l'affaire),  voici quelques conseils pour éviter de vous faire espionner par la NSA, la CIA ou notre bonne vieille DCRI française.

Internet : apprendre à encrypter ses données

La première des démarches nécessaire est d'apprendre à encrypter ses données, comme le révèlele Daily Beast. Citant le spécialiste des nouvelles technologies Dan Auerbach, le site explique qu'il faut connaître l'encodage E2E (pour End to End) – en français bout-à-bout – qui part du principe qu'il est préférable de crypter les messages avant de les envoyer à votre destinataire, pour ainsi n'utiliser le réseau que comme un vecteur de transport de l'information. En effet ce serveur pourrait être compromis.

Une des façons les plus faciles d'utiliser l'encodage E2E est d'installer le logiciel OTR, pour Off The Record messaging (messagerie confidentielle, ndlt).

Une autre manière de brouiller votre utilisation d'Internet, et de mettre des bâtons dans les roues aux hypothétiques espions qui pourraient vous observer, est d'utiliser le logiciel de chiffrement et de déchiffrement cryptographique PGP (pour Pretty Good Privacy) créé en 1991, efficace pour les chats, les emails, mais aussi les partitions de disques etc.

Téléphone : utiliser des applications

Pour votre smartphone il existe des applications qui vous permettent de naviguer "sous le radar" et d'effacer certaines des traces qui pourraient intéresser les services de renseignement à vos trousses. En décembre, nous évoquions ainsi l'application Black SMS qui existe sur iPhone et transforme vos SMS en image noire (d'où le nom de l'application). Le récepteur du message peut ouvrir, à condition de posséder le bon mot de passe, ces textos brouillés dans l'application qui les convertit en texte normal. Business Insider recommande Silent Circle, une suite d'outils de télécommunications furtives qui vous permettent d'envoyer des SMS et même de passer des appels téléphoniques protégés par de nombreuses couches de brouilleurs. Ces applications sont gratuites, mais pour les utiliser il faut vous abonner à un service qui coûte 20$ (environ 15 euros) par mois. Ce service, utilisé par les militaires, devrait vous permettre d'échapper un temps à la vigilance des espions…

Pour ceux qui ont besoin de plus d'intimité :

… mais être invisible sur Internet est quasiment mission impossible. Pour ceux qui veulent vraiment laisser le moins de traces possible, éviter de rester connecter à Facebook car à chaque fois que vous allez sur une page où l'on trouve un bouton "like", le site envoie ces infos à Facebook, donc vous êtes potentiellement détectable… Profitez-en pour faire en sorte que votre navigateur ne conservent pas de cookies, ce sera un bon début.

Vous pouvez dans un second temps utiliser le logiciel gratuit Tor, qui achemine votre communication à travers une série d'intermédiaires, permettant de masquer votre activité sur Internet, que ce soit par-exemple en allant acheter de la drogue ou des papiers d'identité sur Silk Road grâce à vos BitCoins !

Atlantico a interrogé sur la question Jacques Cheminat, chef des informations chez IT News Info, société spécialisée dans les technologies de l'information et le renseignement d'entreprise.

Pouvez-vous citer d'autres moyens qui permettent de protéger les données informatiques ?

Le chiffrement reste la meilleure solution. Après, on a aussi la possibilité de placer les informations dans le cloud. On en entend beaucoup parler en disant que c'est plutôt insécurisé mais ce n'est pas tout à fait vrai, ça peut aussi être sécurisé.

Des données qui sont éventuellement découplées peuvent alors être placées dans différents endroits, à l'intérieur de ce qu'on appelle les clouds. Pour récupérer une donnée qui a été saucissonnée et ensuite redistribuer sur différents éléments de stockage qui sont chez des hébergeurs différents, pour arriver à trouver la clef, a remettre les différents éléments ensemble et découvrir ce qu'ils contiennent, il y a tout de même une grosse masse de travail à abattre. Le cloud peut donc également être une bonne solution pour protéger ses données et éviter qu'elles soient espionnées.

Ces techniques sont-elles à la portée de tous ?

Non, il faut avoir de bonnes connaissances techniques. Le degré de connaissances dépend également de la tâche à accomplir : s'il s'agit de déplacer les données dans le cloud ou de casser les chiffrements, les connaissances techniques à avoir ne sont pas les mêmes.

A priori, pour les placer, les hébergeurs, fournisseurs réseaux commencent déjà à travailler sur cette partie là donc ce sera transparent pour les utilisateurs. Ces derniers devront peut-être payer un supplément pour avoir un meilleur chiffrement qui permettra d'être sécurisé.

Après, pour casser ce type de chiffrement, il faudra une bonne connaissance mais également une importante puissance informatique.

Vous évoquez la possibilité de "casser ces chiffrements". Cela signifie donc qu'on ne peut jamais être protégé de tout.

Non, on ne le peut en effet pas véritablement. Lorsqu'ils s'attaquent à quelqu'un ou à une entreprise, les pirates informatiques sont très spécialisés, mais surtout, ils sont extrêmement ciblés. Quand ils ont une cible, ils peuvent mettre énormément de moyens et de temps. On l'a noté sur des cas d'espionnage industriel, ce sont des choses qui peuvent durer trois-quatre ans : ils placent des petits malwares, des petits virus à l'intérieur des entreprises, attendent deux-trois ans puis récupèrent des informations, les décodent, les saucissonnent et les envoient de manière ultra-sécurisée sans que les responsables informatique et sécurité des entreprises ne remarquent quoi que ce soit.

Comment peut-on justement se rendre compte que nos données ont été espionnées ?

C'est très difficile pour le particulier de s'en rendre compte. Ca arrivera le plus souvent sur des comportements hasardeux ou un dialogue anormal avec quelqu'un. Si vous envoyez un mail avec une donnée et que vous n'obtenez pas de réponse de la personne destinataire, cela peut mettre la puce à l'oreille.

Pour les entreprises, c'est pareil. Ce seront certains comportements anormaux qui mettront la puce à l'oreille. Mais encore une fois, c'est très compliqué de remarquer que les données ont été espionnées.