Le monde de la sécurité informatique a tendance à nous embrouiller. Très vite il donne l’impression qu’à moins d’être technicien ou formé dans une école, on ne peut plus rien y comprendre. Dans cet article nous analysons l’application de messagerie Signal et en tirons quelques leçons plus générales pour s’orienter.
Depuis une dizaine de jours, des millions d’utilisateurs désertent WhatsApp et installent l’application de messagerie sécurisée Signal. Nous savons tous, au moins depuis les révélations de Snowden et celles de Manning, que les gouvernements démocratiques ont mis en place une infrastructure colossale de surveillance de leurs propres citoyens et qu’ils en font usage. Et nous savons aussi que les grandes entreprises de communication comme Google, Facebook ou Apple collaborent avec eux, quelles que soient les mises en scène de résistance qu’ils organisent épisodiquement. Cela n’est d’ailleurs pas très surprenant puisque leur modèle économique repose sur l’enregistrement monétisable des envies, des préférences et des mouvements de leurs utilisateurs.
Or dans le monde de la sécurité informatique, on se heurte vite à un vocabulaire technique, voire à un langage incompréhensible. Nous sommes tous usagers des technologies de l’information, mais très rares sont ceux qui sont capables de se repérer dans cet espace. Cette situation de confusion et de dépossession engendre deux postures, le déni et la paranoïa. D’un côté, la complexité de l’affaire nous pousse parfois à nous résigner dans l’indifférence à l’exploitation de nos données. D’un autre côté, la gravité de la situation nous pousse parfois, dans des accès de paranoïa, à désirer le débranchement total ou à nous intéresser aux pratiques de sécurité les plus extrêmes – et souvent les moins commodes. La difficulté est que nous ne savons pas à qui faire confiance.
Dans ce contexte la migration de dizaines de millions de personnes vers Signal est un signe réjouissant de jugeotte. Signal est un service auquel on peut, en gros, faire confiance. Voyons pourquoi, et au passage nous pourrons en tirer plusieurs critères utiles pour s’orienter plus largement dans le monde de la sécurité digitale et choisir par exemple un fournisseur d’emails, ou bien un système de partage de fichier, ou encore un logiciel pour faire des visio-conférences, etc. Voici donc quatre questions à se poser, qui sont autant de critères utiles pour y voir plus clair.
1. Qu’est-ce que le service possède comme information sur moi ?
- Pour Signal : pas grand-chose.
Presque toutes les données sur Signal sont chiffrées. Qu’est-ce que cela signifie ? Lorsque vous écrivez un message sur Signal, vous l’écrivez en clair, ce qui veut dire qu’il est lisible. Au moment où vous tapez sur envoyer, l’application chiffre le message à l’aide d’une clé secrète qui n’est enregistrée que sur votre téléphone et que personne d’autre ne possède, pas même Signal. Ensuite le message transite par Internet, notamment sur les serveurs de Signal aux États-Unis. Si un intrus, ou les administrateurs de Signal, tentent de lire le message au passage, ils n’obtiendront qu’une suite chaotique de caractères. Si je chiffre manuellement la phrase qui précède par exemple, ça ressemble à ça :
jA0ECQMCv0UOtsgsGTb/0sAhAdn64EljSFO4TU80OrYFU5LTZyiTuKKGcLWb7vjskOfLg5XCtESEjOGVCeVaNsxLHucyIFrMIT5+CArIDWnZFp2XmyjL8KDfmjy0N1y4VWp4A32yGOrwV7pgQhdhToeNwLGuDfKCTC0+qiQMf8rgHXjRiiZFl2lvyZiWJOS7IaxkVtdx9Z4Cc+QFC1sx9tgwklkheIy9AoibuIH1b1HahP1KBxR+i53weG1fQSYC8O8IYm1Qm+hCpaozoUZaDQ8RKeFb46jde1CAMaqJOIS/Sz/SQo8q8S4eT99jgUR=OUA3
Ensuite le message est envoyé à mon correspondant, qui est le seul à posséder la clé qui lui permet de déchiffrer le message, ce qui est fait automatiquement. Et c’est la même chose pour les appels, les images, etc.
Cela étant le chiffrement n’est rien d’autre qu’un outil, il n’est pas une garantie absolue. Si par exemple je m’empare de votre téléphone et que son mot de passe est 1234, j’ai accès à tous les messages en clair immédiatement. Ce qui veut dire qu’il n’y a pas, il n’y a en fait jamais, de sécurité absolue : tous les protocoles de sécurité sont pensés contre une sorte spécifique de menace – en l’occurrence, consulter au vol le contenu d’une communication. A chaque risque sa protection particulière.
En tout cas il faut se poser la question, lorsque l’on utilise un service : qu’est-ce que l’entreprise, ou les fournisseurs du service, savent de moi ? En ce qui concerne Signal, presque rien. Ils savent que tel numéro de téléphone possède un compte chez eux, et quand s’il s’est connecté récemment chez eux. Il est également possible, quoique cela soit un peu compliqué, de retrouver quel compte écrit à qui, ce qui est une information sensible qu’ils s’efforcent de rendre intraçable. En d’autres termes, Signal essaie de s’approcher le plus possible d’un chiffrement « zero-knowledge », c’est-à-dire de faire en sorte que eux-mêmes ne puissent rien savoir de leurs usagers.
2. Où sont les serveurs ?
- Pour Signal : aux États-Unis
Nous avons une expérience de plus en plus virtuelle et dématérialisée d’Internet. Pourtant les données circulent physiquement dans des machines, et le cloud n’est pas aérien mais bien terrestre. Les données sont stockées dans des serveurs. La question est donc de savoir sur quel territoire national ils se situent, parce qu’ainsi on peut savoir à quel régime de protection ou de réquisition des données ils sont soumis. Les lois suisses, par exemple, sont plus protectrices que les lois étasuniennes – c’est pourquoi le fournisseur d’email Proton Mail, dont les serveurs sont en Suisse, est mieux placé que ceux de Signal qui sont aux États-Unis.
Mais c’est là où l’on retrouve l’importance cruciale d’une architecture dans laquelle le service en sait le moins possible sur ses usagers (« zero-knowledge encryption »). Si Signal est contraint par un tribunal ou par la police à divulguer les données qu’ils possèdent, ils pourront le faire sans danger… puisqu’il n’y aura rien ou presque à divulguer. Avoir un compte Signal n’est, faut-il le dire, absolument pas délictueux.
3. Le service est-il open-source ou propriétaire ?
- Pour Signal : open-source.
Les logiciels sont écrits dans un langage informatique, un code. Pour n’importe quel logiciel, le code est ou bien propriétaire, c’est-à-dire secret, ou alors open-source, c’est-à-dire accessible au public. Le code de Word, ou de Skype, est propriétaire – donc pas public. En revanche, on peut trouver l’intégralité du code de Signal ici. Certes pour quelqu’un qui ne sait pas coder, cela n’a pas l’air important puisque de toute façon nous n’y comprenons rien. Mais c’est crucial parce que d’autres personnes plus au courant peuvent regarder le code. Cela signifie qu’il ne peut pas y avoir de « backdoor ». Une backdoor, c’est une partie du code qui permet à l’entreprise de secrètement déchiffrer les données, ou d’installer elle-même une faille, et éventuellement de donner à un tiers l’accès à ces données – par exemple un service de renseignement.
Aujourd’hui toutes les entreprises ont compris que le respect de la vie privée importe à leur clients, c’est pourquoi elles affirment en général respecter la confidentialité des données. Mais, si leur logiciel est propriétaire, nous n’avons que leur parole – et vu qu’elles sont basées sur l’exploitation des données, cette parole n’a guère de valeur. Il est certes déraisonnable d’imaginer que tout ce que nous disons sur WhatsApp, Skype ou Gmail est entendu ou lu instantanément par un policier. Mais il est tout aussi déraisonnable d’imaginer que ce sont des moyens d’échange où la confidentialité est garantie.
Alors que lorsque le code du logiciel est accessible, il y a une communauté qui passe du temps à l’examiner et qui vérifie que le fonctionnement réel est conforme aux valeurs qu’il proclame. C’est ce qu’on appelle un audit du code-source. Au fond la distinction entre open-source et code propriétaire est la plus importante dans le monde de la sécurité informatique, et c’est la première question que l’on devrait se poser face à n’importe quel logiciel. Telegram, par exemple, n’est pas un logiciel libre.
4. Comment le service est-il financé ? Quelle sorte d’entité est-ce ?
- Pour Signal : une fondation à but non-lucratif financée par des dons, des subventions…
La gratuité est une expérience libératrice dans un monde où même offrir une place de covoiturage dans sa voiture est une interaction marchande. Mais Google n’est pas véritablement gratuit puisqu’il analyse et exploite les patterns de préférences engendrés par la somme des recherches. C’est pourquoi un adage veut que sur Internet, « si c’est gratuit, c’est vous le produit ». Cela n’est pas entièrement vrai : le service d’email Riseup, par exemple, est gratuit par conviction politique, de même que Signal. Néanmoins cette phrase a le mérite de nous rappeler que derrière la fluidité des interfaces, il y a bien des serveurs à faire tourner et des salariés pour les entretenir, et bien sûr un travail de développement.
Il faut donc se méfier de la fausse gratuité de Google et consorts, et généralement du financement publicitaire. Les entités qui sont des fondations, comme Signal, ne peuvent être rachetées ultérieurement, ce qui est bon signe. Un certain nombre d’entreprises fonctionnent aussi sur un modèle de « freemium » qui est un compromis acceptable : la version basique du service est gratuite, la version améliorée est payante. C’est le cas par exemple du bon gestionnaire de mots de passe Bitwarden, ou d’un équivalent de Dropbox, le logiciel suisse Tresorit.
Bref pour résumer, pour savoir si un service est fiable, il faut se demander s’il est chiffré et à quel point, à quelle juridiction il est soumis, si le code source est public ou non, et enfin la manière dont il finance ses activités.