Un service de messagerie peut-il être vraiment sécurisé ?

Par
Le 23 août 2013
 0
Les révélations d'Edward Snowden relancent forcément la question de la sécurité des données en matière de messagerie. Une tendance qui a joué dans la décision de Laurent Chemla de relancer le projet Caliop, un service de messagerie sécurisée.

0104000006101994-photo-nsa-logo-prism-gb-sq.jpg
Depuis les révélations de l'affaire Prism, plusieurs services de messagerie sécurisée ont fermé leurs portes. Le scandale pose immanquablement la question de l'utilisation qui est faite de nos données lors de l'utilisation des services les plus fréquemment adoptés. Si certains évoquent déjà la mort de l'e-mail, d'autres veulent y voir un besoin grandissant des internautes pour les solutions sécurisées. C'est notamment le cas de Laurent Chemla, le fondateur du registrar Gandi.

Prism est passé par là

Depuis le 7 juin dernier et les premières révélations d'Edward Snowden, les scandales se sont multipliés quant aux pratiques de la NSA. Dans un premier temps, la collecte massive de métadonnées, à savoir l'identité des expéditeurs, destinataires et autres objets des communications électroniques, a été mise en avant.

Mais par la suite, le scandale a largement dépassé ce cap, actant la possibilité pour les autorités américaines d'avoir accès aux contenus des courriels. Notamment via le programme XKeyscore, l'un des points angulaires de l'action de la NSA. Un outil stratégique capable, aux dires de la NSA, de surveiller à peu près tout ce qu'un internaute lambda fait sur le web.

Il y a eu ensuite les révélations quant à la collecte dite « accidentelle » de mails de citoyens américains. Une pratique défendue en principe par la section 702 du Foreign Intelligence Surveillence Act, qui axe la surveillance américaine vers des menaces basées à l'étranger. Problème, Washington a lui-même fait savoir jeudi qu'environ 56 000 e-mails de citoyens américains avaient été collectés chaque année entre 2008 et 2011. De son côté, le Washington Post évoquait des capacités de surveillance démentielles de la NSA, à même d'espionner théoriquement 75% de l'ensemble du trafic Internet des États-Unis.

Quand Lavabit et Silent Circle mettent la clé sous la porte

Lavabit était un service de messagerie sécurisé, basé sur la cryptographie. Au cours de l'affaire Snowden, c'est notamment par ce biais que le lanceur d'alerte aurait contacté les médias pour la conférence de presse organisée dans la zone de transit de l'aéroport où il était bloqué en attendant d'obtenir un droit d'asile.

Victime collatérale du scandale, Ladar Levison, son fondateur, s'est depuis résigné à fermer son service. Pour justifier sa décision, l'homme avait avancé un dilemme particulièrement délicat. « J'ai été forcé de faire un choix difficile : devenir complice de crimes contre le peuple américain ou tirer un trait sur 10 ans de travail et fermer Lavabit. Après de multiples interrogations, j'ai décidé de suspendre les opérations. » Un choix effectué par militantisme, jugé courageux par l'Electronic Frontier Foundation, qui déclarait à travers la voix de l'un de ses avocats : « Il est rare de voir un fournisseur de messagerie choisir de se retirer des affaires plutôt que de compromettre ses valeurs ».

Toujours dans une optique d'anticipation, Silent Circle, un autre service de messagerie sécurisé, a également fermé boutique. Sur la page d'accueil du site internet, la plateforme s'était ainsi justifiée : « Nous avons décidé qu'il est mieux pour nous de fermer Silent Mail maintenant. Nous n'avons pas reçu d'assignation, de mandat ou quoi que ce soit de la part d'aucun gouvernement, et c'est pourquoi nous agissons maintenant ».

Dernier événement en date, la fermeture mardi dernier de l'un des blogs juridiques les plus reconnus aux États-Unis, Groklaw. Sa fondatrice, dépitée, expliquait dans son dernier billet les raisons de cette décision. « Le propriétaire de Lavabit nous a annoncé qu'il arrêtait son service de messagerie et que si nous savions ce qu'il savait, nous arrêterions aussi (...) Il n'existe aucun moyen de maintenir Groklaw sans les e-mails ». Et d'évoquer la nécessité de protéger ses sources.

00fa000001473574-photo-dossier-s-cu-s-curit-informatique.jpg
Caliop, dernier projet en date de messagerie sécurisée

Évidemment, le problème repose notamment sur les serveurs basés aux États-Unis. Et pendant que des services ferment au pays de l'Oncle Sam, d'autres se créent à l'étranger. Kim Dotcom a promis un service chiffré pour 2014. En France, c'est donc Laurent Chemla qui a décidé de se lancer. Face aux gens « qui annoncent la mort de l'e-mail en ce qu'il ne serait jamais sûr », il dit préférer « trouver des solutions pour que madame Michu puisse utiliser un service de messagerie à même de lui assurer de la sécurité ».

Pour y parvenir, il a décidé de relancer le projet Caliop, basé sur la cryptographie. Celui-ci a en réalité vu le jour il y a neuf ans. Forcément, le moment était propice à sa remise en route. « Tout d'abord, j'avais plus ou moins acté le fait que j'allais relancer à court terme le projet. C'est vrai que l'affaire Prism vient apporter du poids à cette décision. Mais je me suis aussi rendu compte qu'il y avait une certaine demande de la part des internautes pour ce type de services ». Incité également par Jérémie Zimmermann, Laurent Chemla a fini par relancer la machine.

Caliop est un projet collaboratif. Laurent Chemla est preneur de toutes les bonnes idées, même s'il semble déjà disposer de certaines pistes en tête. Aujourd'hui, plus de 200 volontaires sont prêts à participer à l'aventure, alors qu'un premier mail visant à lancer les discussions et les échanges de points de vue devrait être expédié ce vendredi soir.

Caliop mise avant tout sur la cryptographie. Un préalable indispensable, qui selon lui, ne suffit par pour autant à garantir la sécurité des correspondances. « Il faut penser également au stockage des e-mails. je pense que toutes les difficultés ont une solution. Après, il ne s'agit que d'une question de moyens et d'arbitrage entre la sécurité et l'accessibilité du service ». Mais il le promet déjà : « je préfère un outil un peu plus difficile à utiliser que Gmail s'il est efficace en termes de protection des données ».

Disperser les données et miser sur la pédagogie

L'homme a déjà quelques idées en tête. La clé de chiffrement devrait ainsi être configurée et gérée directement par l'internaute via un plugin installé sur son ordinateur. En envoyant son mail, les données chiffrées seraient ensuite dispersées sur plusieurs serveurs, de façon aléatoire, empêchant jusqu'aux administrateurs du service de savoir où se trouvent concrètement ces données. S'il ne s'agit que d'une piste, l'idée est là et pourrait bien être reprise.

Au-delà de ces considérations techniques, Laurent Chemla souhaite donner une portée pédagogique à son service. « On peut envisager d'indiquer le degré de sécurité des mails que l'on reçoit, selon que le message a été potentiellement lu par la terre entière avant d'arriver dans sa boîte de réception. Il faut pousser les gens à se servir de ce type de services. On ne peut plus faire confiance aujourd'hui à des plateformes basées sur la publicité ».

Pour Caliop, le modèle dépendra forcément de son adoption auprès des internautes. Il envisage cependant de lancer deux services. L'un totalement gratuit, dépourvu de toute publicité, financé par les revenus générés par le volet « entreprise », facturant aux professionnels son installation « clé en main ». Bien entendu, reste à évaluer la faisabilité du projet et sa viabilité.

Et que fera Caliop s'il faisait l'objet d'une requête gouvernementale, basée sur une décision de justice ? « Déjà, je ne peux pas fournir des informations que je ne possède pas. Je n'aurais pas accès aux contenus des e-mails envoyés. Ces requêtes sont basées sur des décisions de justice, a priori indépendantes du pouvoir politique. Tant que ce sera le cas, il n'y aura pas de problème. Sinon, il sera toujours possible de penser à déménager les serveurs ».

Si le succès n'est bien entendu pas garanti, l'espoir est là. « Il y a un vrai travail de sensibilisation a effectuer. Dans un premier temps, je pense que les premiers arrivants seront les plus touchés par ces questions. Mais si nous convainquons au final un utilisateur de Gmail sur 1 000, ce sera déjà très bien ».
Modifié le 01/06/2018 à 15h36
scroll top