En direct
Best of
Best of du 16 au 23 mars 2019
En direct
© Reuters
Jean-Marc Ayrault a annoncé vouloir garantir l'inviolabilité des correspondances électroniques.
Vœu pieux
Jean-Marc Ayrault veut garantir l'inviolabilité des correspondances électroniques mais crypter nos messageries sera loin de suffire…
Publié le 24 février 2014
Pour prémunir la France contre de nouvelles surveillances de la NSA ou de toute autre entité, le Premier ministre compte s'appuyer sur le volontariat des entreprises.
Jérémie Zimmermann est le co-fondateur de l'organisation de défense des droits et libertés des citoyens sur Internet La Quadrature du Net. 
Suivre
Vous devez être abonné pour suivre un auteur.
Abonnez-vous
«Vos abonnements garantissent notre indépendance»
Jérémie Zimmermann
Suivre
Vous devez être abonné pour suivre un auteur.
Abonnez-vous
«Vos abonnements garantissent notre indépendance»
Jérémie Zimmermann est le co-fondateur de l'organisation de défense des droits et libertés des citoyens sur Internet La Quadrature du Net. 
Voir la bio
Ajouter au classeur
Vous devez être abonné pour ajouter un article à votre classeur.
Abonnez-vous
«Vos abonnements garantissent notre indépendance»
Lecture Zen
Vous devez être abonné pour voir un article en lecture zen.
Abonnez-vous
«Vos abonnements garantissent notre indépendance»
Pour prémunir la France contre de nouvelles surveillances de la NSA ou de toute autre entité, le Premier ministre compte s'appuyer sur le volontariat des entreprises.

Atlantico : A l'issue de l'inauguration des nouvelles installations de l'Agence nationale de la sécurité des systèmes d'information (Anssi), agence de cyberdéfense, Jean-Marc Ayrault a annoncé vouloir "garantir l'inviolabilité des correspondances électroniques". Mais "garantir l'inviolabilité des correspondances électroniques" est-ce seulement possible ?

Jérémie Zimmermann : Ce terme "d'inviolabilité" est absurde, et démontre une profonde incompréhension des réalités de la cybersécurité. Tout est "violable", cela dépend des ressources investies, tout dépend de votre "threat model": en gros si votre adversaire est un état puissant, ou le crime organisé, il n'y a pas grand-chose à faire d'autre que ne pas utiliser de messagerie électronique...

Bien sûr il est cependant moyen de protéger ses communications contre la surveillance de masse, mais les révélations récentes sur les programmes de la NSA prouvent bien que l'on ne peut pas faire confiance dans des acteurs commerciaux ni étatiques pour le faire à notre place. La seule façon efficace de protéger ses communications est en utilisant du chiffrement dit "bout en bout", d'utilisateur à utilisateur (comme GPG, ou OTR par exemple)... et on voit mal ce que l'Etat pourrait venir faire là-dedans. D'autant plus que le gouvernement, en faisant adopter au pas de charge la LPM (loi de programmation militaire) a démontré qu'il s'intéressait de très près à cette capacité à espionner massivement, et pour n'importe quel motif flou, nos communications privées.

Alors... cette supposée "inviolabilité" contre qui ou quoi au juste?

Par ailleurs, tant que les utilisateurs continueront d'aller stocker toutes leurs vies et leurs données chez Google ou Facebook, cette "inviolabilité" sera un doux rêve.

Il est de nombreuses choses à faire changer dans nos comportements, de nombreuses technologies a développer en ce sens, mais il ne me semble pas que c'est ce que propose Jean-Marc Ayrault.

Quel est l'intérêt de crypter nos boîtes de messagerie ? Serait-ce suffisant ?

Chiffrer les messages (les rendre indéchiffrables sans une clé) lorsqu'ils sont stockés chez le fournisseur de service, pourquoi pas… Mais si la communication entre vous et le fournisseur de service se fait en clair (non-chiffrée), alors cela ne fait que reporter le problème. Or, on a vu que la NSA s'est dotée de capacités d'écoute en de très nombreux points de nos infrastructures de communication : chez les fournisseurs de services (Google, Facebook), au niveau des câbles
transatlantiques, des réseaux des opérateurs (Orange, Belgacom via son partenaire UK, GCHQ, etc.), directement au niveau des ordinateurs (Apple, Microsoft, ou même des implants matériels dignes de James Bond !)... donc toute autre méthode qu'un chiffrement de bout en bout, par les utilisateurs eux-mêmes, laissera les données accessibles en clair en un point ou un autre, et sera vaine.

Chiffrer les boites mail chez les opérateurs complexifierait en théorie peut-être un peu, pendant quelques instants  le travail de la NSA, le temps de trouver un nouvel accès (et encore), mais laissera les messages accessibles aux services français, a leurs partenaires, aux entreprises qui opèreront les parties non-chiffres, etc.

Attendons de voir les détails de ce plan, mais pour le moment cela ressemble plus a un effet d'annonce, peut-être pour prétendre faire quelque chose face au scandale de l'espionnage de masse de la NSA, alors que la position de la France est en réalité "carpette" devant les États-Unis, effrayée par d'éventuelles mesures de rétorsion...

Ceci ne serait faisable que pour les e-mails français. Or, on peut être citoyen français et posséder une boîte de messagerie étrangère. L'inviolabilité des correspondances électroniques sera-t-elle alors efficace ?

Le lieu où se situe votre boîte de messagerie est évidemment important : on a vu avec les révélations de Snowden qu'en gros *toute* entreprise américaine était forcée par la loi de donner accès total aux données et communications de ses clients dans le cadre des programmes de surveillance de masse. Google, Facebook, Apple, Microsoft, Yahoo, etc… ne pourront plus jamais être dignes de note confiance.

Mais au moins aussi important que la localisation géographique sont des paramètres ayant trait à l'architecture de l'infrastructure de nos communications : s'il s'agit d'un système centralisé (de type Google ou Facebook par exemple) et que les communications ne sont pas chiffrées de bout en bout (parce que l'opérateur vous fait croire que le service est gratuit alors qu'il va en réalité faire de l'argent sur votre dos en analysant le contenu de vos communications pour revendre cela à des fins de marketing… ou pire...) alors nous ne pouvons pas lui faire confiance.

Nous avons un réel problème avec la messagerie électronique (e-mail). Il s'agit de vieux protocoles qui n'ont pas été pensés pour la sécurité des données, et les outils que l'on peut leur adjoindre pour tenter de les protéger (comme le chiffrement via GPG) ne sont pas simples à utiliser, et loin d'être parfaits...

Le gouvernement nous propose-t-il de réinventer l'e-mail ou de créer de nouveaux protocoles? Il y a beau y avoir des cerveaux brillants a l'Anssi, cela n'est pas vraiment une hypothèse crédible.

Jean-Marc Ayrault compte sur le volontariat des entreprises pour crypter nos e-mails. Le cryptage des mails peut-il représenter un surcoût pour les entreprises ?

Beaucoup de nos communications circulent en clair sur le réseau, ou sont chiffrées avec des protocoles peu fiables ou faciles à intercepter (comme SSL, le « S » du « https » et son petit cadenas si rassurant !) alors que tout devrait par défaut être chiffré de bout en bout.

S'il était avéré que des technologies existent pour garantir, par les opérateurs, que nos communications puissent être sécurisées, alors toute entreprise qui ne les mettrait pas en œuvre devrait être sanctionnée pour avoir laissé nos données à la merci de la surveillance de masse, quel que soit le coût. D'ailleurs peut-être que si les négligences en matière de cybersécurité étaient réprimées, les comportements changeraient ?

Mais ne rêvons pas : ce que nous a révélé Edward Snowden est que certains gouvernements peuvent faire plier n'importe quelle entreprise pour leur faire "cracher" les clés protégeant les données de leurs clients, ou sont carrément en mesure de saboter activement les mesures de sécurisation (cf. le programme Bullrun de la NSA). Alors pourquoi Orange protègerait mieux nos données que Google ou Facebook ?

Préfère-t-on la surveillance de masse française à celle des États-Unis ? Cela n'est pas vraiment de nature à rassurer, d'autant que les agences de renseignement participent à une sorte de grand bazar d'échange des données qu'elles collectent, dans la plus grande opacité.

En réalité il n'y a que par de profonds changements des comportements, visant pour les citoyens à se réapproprier l'outil informatique, par le logiciel libre, les architectures décentralisées et le chiffrement de bout en bout, que nous pourrons retrouver la confiance dans le secret de nos correspondances.

C'est une bien triste réalité, et il y a énormément de chemin à parcourir. Nous n'avons par exemple pas évoqué la question des puces au cœur de nos ordinateurs (les modems de nos ordinateurs mobiles dits "téléphones" par exemple), dont nous avons totalement perdu la maitrise au profit des Chinois, et qui pourraient être un point d'entrée de choix pour nous surveiller...  Certes, les pouvoirs publics pourraient aider, en promouvant et en accompagnant le développement de ces technologies qui rendent les individus plus libres et plus autonomes, en accompagnant ces évolutions de mentalités... mais cela prendrait du temps, bien au-delà d'un tel effet d'annonce.

Reparlons-en lorsque nous aurons les détails concrets de ce plan.

Les commentaires de cet article sont à lire ci-après
Articles populaires
Période :
24 heures
7 jours
01.
Jean Arcelin : “Une large majorité des 700 000 personnes en Ehpad mangera, pour le reste de sa vie, des repas à 1€”
02.
Mont Everest : la fonte des glaces fait apparaître de nombreux corps d'alpinistes
03.
Soirée arrosée en boîte : Christophe Castaner filmé en train d'embrasser une inconnue
04.
Profondément convaincus ou en réaction épidermique à Emmanuel Macron ? L’enquête exclusive qui révèle que les Français se disent nettement plus nationalistes et favorables au protectionnisme que les autres Européens ?
05.
Fumer du cannabis à forte concentration de THC augmenterait les risques de développer une grave maladie mentale
06.
Entrée en service des bus électriques chinois : ce (contre)choc pétrolier que personne ne voyait venir
07.
A l’insu de son plein gré : le « nouveau monde » finira-t-il par faire basculer la France dans une nouvelle culture démocratique « grâce » à ses vieux travers ?
01.
Jean Arcelin : “Une large majorité des 700 000 personnes en Ehpad mangera, pour le reste de sa vie, des repas à 1€”
02.
Dégoût, colère, envie de révolution… : l’étude exclusive qui révèle la très sombre humeur des Français relativement aux autres Européens
03.
Philippe de Villiers : « Mon livre n’est pas complotiste, c’est la construction européenne qui est ontologiquement conspirationniste »
04.
Et Marine Le Pen éclata de rire…
05.
Grand Débat, la suite : petite géographie des intellectuels français que reçoit Emmanuel Macron ce lundi (ainsi que de ceux qu’il ne reçoit pas)
06.
Grand débat en péril ? Les trois erreurs politiques que semble s'apprêter à commettre Emmanuel Macron
01.
Philippe de Villiers : « Mon livre n’est pas complotiste, c’est la construction européenne qui est ontologiquement conspirationniste »
02.
Révolution, le retour : le scénario d’un vrai dérapage insurrectionnel est-il en train de devenir possible en France ?
03.
Grand Débat, la suite : petite géographie des intellectuels français que reçoit Emmanuel Macron ce lundi (ainsi que de ceux qu’il ne reçoit pas)
04.
Recours à l’armée face aux Gilets jaunes : la dangereuse fuite en avant du gouvernement
05.
Christchurch : de la théorie du Grand Remplacement à ses travaux pratiques
06.
Rokhaya Diallo va (peut-être) nous quitter pour les Etats-Unis
Commentaires (3)
Ecrire un commentaire
Vous devez être abonné pour rédiger un commentaire.
Abonnez-vous
«Vos abonnements garantissent notre indépendance»
Nos articles sont ouverts aux commentaires sur une période de 7 jours.
Face à certains abus et dérives, nous vous rappelons que cet espace a vocation à partager vos avis sur nos contenus et à débattre mais en aucun cas à proférer des propos calomnieux, violents ou injurieux. Nous vous rappelons également que nous modérons ces commentaires et que nous pouvons être amenés à bloquer les comptes qui contreviendraient de façon récurrente à nos conditions d'utilisation.
Fricasse
- 25/02/2014 - 10:29
Comment crypter les méta-données ?
J'ai cru comprendre que savoir avec qui on communique était plus important pour ces organismes d'espionnage que le contenu du message lui-même.

Comment sera-t-il possible de crypter ou masquer l'émetteur et les destinataires du message ?
rmgl
- 24/02/2014 - 19:45
Nul ne possède la science
Nul ne possède la science infuse, mais tout de même, M.Ayrault devrait s’informer avant de supposer une correspondance électronique inviolable.
Rappelons l’épisode des machines à codifier durant la dernière guerre. Elles étaient inviolables, selon la technicité d’époque, et pourtant, les codes furent cassés et déchiffrés pour le plus grand bonheur des forces de l’axe.
GBCKT
- 24/02/2014 - 13:49
La sécurité des correspondances et des communications.
Le spécialiste vous demandera "vous voulez protéger quoi" ? Contre Qui ? Pendant combien de temps? Vous acceptez quelles contraintes? Vous acceptez de payer combien? Si vous ne voulez pas être géolocalisable "Coupez votre portable ou laissez le au bureau ou à la maison" . Si vous souhaitez que l'on ne sache pas qui sont vos correspondant téléphoniques correspondre par écrit.
Un service étatique ou le crime organisé s'il y mettent les moyens arrivent à leurs fins concernant un individu ciblé. Plus le nombre de cibles augmente plus c'est cher. Il convient de rendre plus coûteux le recueil de l'information ce qui est contradictoire avec la gratuité apparente par exemple de Google.