En direct
Best of
Best of du 6 au 12 juillet
En direct
© Reuters
Jean-Marc Ayrault a annoncé vouloir garantir l'inviolabilité des correspondances électroniques.
Vœu pieux

Jean-Marc Ayrault veut garantir l'inviolabilité des correspondances électroniques mais crypter nos messageries sera loin de suffire…

Publié le 24 février 2014
Pour prémunir la France contre de nouvelles surveillances de la NSA ou de toute autre entité, le Premier ministre compte s'appuyer sur le volontariat des entreprises.
Jérémie Zimmermann est le co-fondateur de l'organisation de défense des droits et libertés des citoyens sur Internet La Quadrature du Net. 
Suivre
Vous devez être abonné pour suivre un auteur.
Abonnez-vous
«Vos abonnements garantissent notre indépendance»
Jérémie Zimmermann
Suivre
Vous devez être abonné pour suivre un auteur.
Abonnez-vous
«Vos abonnements garantissent notre indépendance»
Jérémie Zimmermann est le co-fondateur de l'organisation de défense des droits et libertés des citoyens sur Internet La Quadrature du Net. 
Voir la bio
Ajouter au classeur
Vous devez être abonné pour ajouter un article à votre classeur.
Abonnez-vous
«Vos abonnements garantissent notre indépendance»
Lecture Zen
Vous devez être abonné pour voir un article en lecture zen.
Abonnez-vous
«Vos abonnements garantissent notre indépendance»
Pour prémunir la France contre de nouvelles surveillances de la NSA ou de toute autre entité, le Premier ministre compte s'appuyer sur le volontariat des entreprises.

Atlantico : A l'issue de l'inauguration des nouvelles installations de l'Agence nationale de la sécurité des systèmes d'information (Anssi), agence de cyberdéfense, Jean-Marc Ayrault a annoncé vouloir "garantir l'inviolabilité des correspondances électroniques". Mais "garantir l'inviolabilité des correspondances électroniques" est-ce seulement possible ?

Jérémie Zimmermann : Ce terme "d'inviolabilité" est absurde, et démontre une profonde incompréhension des réalités de la cybersécurité. Tout est "violable", cela dépend des ressources investies, tout dépend de votre "threat model": en gros si votre adversaire est un état puissant, ou le crime organisé, il n'y a pas grand-chose à faire d'autre que ne pas utiliser de messagerie électronique...

Bien sûr il est cependant moyen de protéger ses communications contre la surveillance de masse, mais les révélations récentes sur les programmes de la NSA prouvent bien que l'on ne peut pas faire confiance dans des acteurs commerciaux ni étatiques pour le faire à notre place. La seule façon efficace de protéger ses communications est en utilisant du chiffrement dit "bout en bout", d'utilisateur à utilisateur (comme GPG, ou OTR par exemple)... et on voit mal ce que l'Etat pourrait venir faire là-dedans. D'autant plus que le gouvernement, en faisant adopter au pas de charge la LPM (loi de programmation militaire) a démontré qu'il s'intéressait de très près à cette capacité à espionner massivement, et pour n'importe quel motif flou, nos communications privées.

Alors... cette supposée "inviolabilité" contre qui ou quoi au juste?

Par ailleurs, tant que les utilisateurs continueront d'aller stocker toutes leurs vies et leurs données chez Google ou Facebook, cette "inviolabilité" sera un doux rêve.

Il est de nombreuses choses à faire changer dans nos comportements, de nombreuses technologies a développer en ce sens, mais il ne me semble pas que c'est ce que propose Jean-Marc Ayrault.

Quel est l'intérêt de crypter nos boîtes de messagerie ? Serait-ce suffisant ?

Chiffrer les messages (les rendre indéchiffrables sans une clé) lorsqu'ils sont stockés chez le fournisseur de service, pourquoi pas… Mais si la communication entre vous et le fournisseur de service se fait en clair (non-chiffrée), alors cela ne fait que reporter le problème. Or, on a vu que la NSA s'est dotée de capacités d'écoute en de très nombreux points de nos infrastructures de communication : chez les fournisseurs de services (Google, Facebook), au niveau des câbles
transatlantiques, des réseaux des opérateurs (Orange, Belgacom via son partenaire UK, GCHQ, etc.), directement au niveau des ordinateurs (Apple, Microsoft, ou même des implants matériels dignes de James Bond !)... donc toute autre méthode qu'un chiffrement de bout en bout, par les utilisateurs eux-mêmes, laissera les données accessibles en clair en un point ou un autre, et sera vaine.

Chiffrer les boites mail chez les opérateurs complexifierait en théorie peut-être un peu, pendant quelques instants  le travail de la NSA, le temps de trouver un nouvel accès (et encore), mais laissera les messages accessibles aux services français, a leurs partenaires, aux entreprises qui opèreront les parties non-chiffres, etc.

Attendons de voir les détails de ce plan, mais pour le moment cela ressemble plus a un effet d'annonce, peut-être pour prétendre faire quelque chose face au scandale de l'espionnage de masse de la NSA, alors que la position de la France est en réalité "carpette" devant les États-Unis, effrayée par d'éventuelles mesures de rétorsion...

Ceci ne serait faisable que pour les e-mails français. Or, on peut être citoyen français et posséder une boîte de messagerie étrangère. L'inviolabilité des correspondances électroniques sera-t-elle alors efficace ?

Le lieu où se situe votre boîte de messagerie est évidemment important : on a vu avec les révélations de Snowden qu'en gros *toute* entreprise américaine était forcée par la loi de donner accès total aux données et communications de ses clients dans le cadre des programmes de surveillance de masse. Google, Facebook, Apple, Microsoft, Yahoo, etc… ne pourront plus jamais être dignes de note confiance.

Mais au moins aussi important que la localisation géographique sont des paramètres ayant trait à l'architecture de l'infrastructure de nos communications : s'il s'agit d'un système centralisé (de type Google ou Facebook par exemple) et que les communications ne sont pas chiffrées de bout en bout (parce que l'opérateur vous fait croire que le service est gratuit alors qu'il va en réalité faire de l'argent sur votre dos en analysant le contenu de vos communications pour revendre cela à des fins de marketing… ou pire...) alors nous ne pouvons pas lui faire confiance.

Nous avons un réel problème avec la messagerie électronique (e-mail). Il s'agit de vieux protocoles qui n'ont pas été pensés pour la sécurité des données, et les outils que l'on peut leur adjoindre pour tenter de les protéger (comme le chiffrement via GPG) ne sont pas simples à utiliser, et loin d'être parfaits...

Le gouvernement nous propose-t-il de réinventer l'e-mail ou de créer de nouveaux protocoles? Il y a beau y avoir des cerveaux brillants a l'Anssi, cela n'est pas vraiment une hypothèse crédible.

Jean-Marc Ayrault compte sur le volontariat des entreprises pour crypter nos e-mails. Le cryptage des mails peut-il représenter un surcoût pour les entreprises ?

Beaucoup de nos communications circulent en clair sur le réseau, ou sont chiffrées avec des protocoles peu fiables ou faciles à intercepter (comme SSL, le « S » du « https » et son petit cadenas si rassurant !) alors que tout devrait par défaut être chiffré de bout en bout.

S'il était avéré que des technologies existent pour garantir, par les opérateurs, que nos communications puissent être sécurisées, alors toute entreprise qui ne les mettrait pas en œuvre devrait être sanctionnée pour avoir laissé nos données à la merci de la surveillance de masse, quel que soit le coût. D'ailleurs peut-être que si les négligences en matière de cybersécurité étaient réprimées, les comportements changeraient ?

Mais ne rêvons pas : ce que nous a révélé Edward Snowden est que certains gouvernements peuvent faire plier n'importe quelle entreprise pour leur faire "cracher" les clés protégeant les données de leurs clients, ou sont carrément en mesure de saboter activement les mesures de sécurisation (cf. le programme Bullrun de la NSA). Alors pourquoi Orange protègerait mieux nos données que Google ou Facebook ?

Préfère-t-on la surveillance de masse française à celle des États-Unis ? Cela n'est pas vraiment de nature à rassurer, d'autant que les agences de renseignement participent à une sorte de grand bazar d'échange des données qu'elles collectent, dans la plus grande opacité.

En réalité il n'y a que par de profonds changements des comportements, visant pour les citoyens à se réapproprier l'outil informatique, par le logiciel libre, les architectures décentralisées et le chiffrement de bout en bout, que nous pourrons retrouver la confiance dans le secret de nos correspondances.

C'est une bien triste réalité, et il y a énormément de chemin à parcourir. Nous n'avons par exemple pas évoqué la question des puces au cœur de nos ordinateurs (les modems de nos ordinateurs mobiles dits "téléphones" par exemple), dont nous avons totalement perdu la maitrise au profit des Chinois, et qui pourraient être un point d'entrée de choix pour nous surveiller...  Certes, les pouvoirs publics pourraient aider, en promouvant et en accompagnant le développement de ces technologies qui rendent les individus plus libres et plus autonomes, en accompagnant ces évolutions de mentalités... mais cela prendrait du temps, bien au-delà d'un tel effet d'annonce.

Reparlons-en lorsque nous aurons les détails concrets de ce plan.

Les commentaires de cet article sont à lire ci-après
Articles populaires
Période :
24 heures
7 jours
01.

Auriez vous le brevet des collèges ou... signé une pétition car les épreuves étaient trop difficiles ?

02.

Intégration sensible : le cas particulier des immigrés d’origine algérienne ou turque

03.

La fête est finie : les constructeurs automobiles obligés de tirer les leçons de la baisse importante de leurs ventes

04.

La dangereuse complaisance du planning familial avec l’islam radical

05.

Les trois (fausses) excuses de Macron pour ne pas mettre en œuvre son programme de réduction de dépenses publiques

06.

Safari des gérants du Super U : pourquoi leur cas est bien plus défendable qu’il n’y paraît d’un point de vue environnemental

07.

Démence sénile : une nouvelle étude montre qu’il est possible d’agir même en cas d’antécédents familiaux lourds

01.

Céline Dion envoie DEUX stylistes à l’hosto; Nabilla veut de grandes études pour son bébé; Elizabeth II recueille une milliardaire en fuite; Laeticia Hallyday humiliée à Saint-Tropez; Cyril Hanouna achète à Miami, François H. & Julie Gayet à Montsouris

02.

Immigration : quand la vérité des chiffres émerge peu à peu

03.

Auriez vous le brevet des collèges ou... signé une pétition car les épreuves étaient trop difficiles ?

04.

Ces cinq erreurs de politiques publiques qui coûtent incomparablement plus cher à la France que quelques dîners au luxe malvenu

05.

Safari des gérants du Super U : pourquoi leur cas est bien plus défendable qu’il n’y paraît d’un point de vue environnemental

06.

Ces 6 questions que soulèvent les révélations sur François de Rugy et qui en disent long sur le niveau de dysfonctionnement politique et économique de notre pays

01.

Greta Thunberg à l’Assemblée nationale : le révélateur de la faiblesse des écologistes politiques ?

02.

Immigration : quand la vérité des chiffres émerge peu à peu

03.

Ces cinq erreurs de politiques publiques qui coûtent incomparablement plus cher à la France que quelques dîners au luxe malvenu

04.

Chasse aux comportements indécents : ce que la France a à gagner … et à perdre dans sa quête grandissante de vertu

05.

L’humanité a-t-elle atteint son pic d’intelligence ?

06.

Et toute honte bue, François de Rugy limogea sa chef de cabinet…

Commentaires (3)
Ecrire un commentaire
Vous devez être abonné pour rédiger un commentaire.
Abonnez-vous
«Vos abonnements garantissent notre indépendance»
Nos articles sont ouverts aux commentaires sur une période de 7 jours.
Face à certains abus et dérives, nous vous rappelons que cet espace a vocation à partager vos avis sur nos contenus et à débattre mais en aucun cas à proférer des propos calomnieux, violents ou injurieux. Nous vous rappelons également que nous modérons ces commentaires et que nous pouvons être amenés à bloquer les comptes qui contreviendraient de façon récurrente à nos conditions d'utilisation.
Fricasse
- 25/02/2014 - 10:29
Comment crypter les méta-données ?
J'ai cru comprendre que savoir avec qui on communique était plus important pour ces organismes d'espionnage que le contenu du message lui-même.

Comment sera-t-il possible de crypter ou masquer l'émetteur et les destinataires du message ?
rmgl
- 24/02/2014 - 19:45
Nul ne possède la science
Nul ne possède la science infuse, mais tout de même, M.Ayrault devrait s’informer avant de supposer une correspondance électronique inviolable.
Rappelons l’épisode des machines à codifier durant la dernière guerre. Elles étaient inviolables, selon la technicité d’époque, et pourtant, les codes furent cassés et déchiffrés pour le plus grand bonheur des forces de l’axe.
GBCKT
- 24/02/2014 - 13:49
La sécurité des correspondances et des communications.
Le spécialiste vous demandera "vous voulez protéger quoi" ? Contre Qui ? Pendant combien de temps? Vous acceptez quelles contraintes? Vous acceptez de payer combien? Si vous ne voulez pas être géolocalisable "Coupez votre portable ou laissez le au bureau ou à la maison" . Si vous souhaitez que l'on ne sache pas qui sont vos correspondant téléphoniques correspondre par écrit.
Un service étatique ou le crime organisé s'il y mettent les moyens arrivent à leurs fins concernant un individu ciblé. Plus le nombre de cibles augmente plus c'est cher. Il convient de rendre plus coûteux le recueil de l'information ce qui est contradictoire avec la gratuité apparente par exemple de Google.