Pour gêner la NSA, le nouvel Internet sera «opaque»
Pour une puissante agence de renseignement, la surveillance de masse, c'est (assez) facile, pas (trop) cher, et ça peut rapporter gros (en données). Mais l'Internet «opaque» auquel travaillent les ingénieurs pourrait changer la donne.
Longtemps, ils n'ont pas fait de politique, considérant qu'ils étaient d'abord des techniciens. Et puis il a fallu se rendre à l'évidence: la technique a un impact direct sur la survie (ou non) de nos vies privées sur le réseau. Et ça commence par les tuyaux. Réunis jusqu'à vendredi à Vancouver au Canada, les ingénieurs du Net ont d'ores et déjà annoncé la couleur de la feuille de route des années à venir: répondre à la surveillance de masse en sécurisant le réseau. La question est aussi au menu de la réunion annuelle de l'organisme de standardisation du web, la semaine prochaine en Chine.
Alors qui fait quoi? A quoi pourrait ressembler un Internet plus sûr, dans deux ou cinq ans? Qu'est-ce que ça va changer pour nous, internautes? Tâchons d'y voir plus clair.
Qui est à la manœuvre?
Même si la gouvernance du réseau fait plus que jamais l'objet d'âpres débats, si plusieurs Etats –pas les plus «Net-friendly», comme la Chine, l'Iran ou la Russie– militent pour une reprise en main par les Nations Unies, et si les pays du Sud contestent de plus en plus fortement la prééminence américaine, la gestion d'Internet dans ses aspects techniques relève toujours de plusieurs entités, toutes basées aux États-Unis, selon le modèle dit multistakeholder (multipartite).
Ainsi, l'Icann (Internet Corporation for Assigned Names and Numbers) coordonne la gestion des adresses IP et des noms de domaine, tandis que l'IETF (Internet Engineering Task Force) définit les protocoles de l'Internet –basiquement, la manière dont les machines et les programmes communiquent entre eux– et que le W3C (World Wide Web Consortium) s'occupe des standards du web (notamment les langages). Ce sont surtout ces deux dernières entités qui ont les mains dans le cambouis de la sécurisation.
Ouverte à tous, informelle et transparente, l'IETF est souvent considérée comme plus indépendante que le W3C, largement constitué d'entreprises du secteur (notamment les éditeurs de navigateurs). Ceci étant, le fondateur du W3C et «papa du web», Tim Berners-Lee, a clairement pris position, à titre personnel, contre la surveillance.
2. Qu'est-ce qu'ils fabriquent?
La principale leçon à tirer des documents Snowden, selon l'expert en sécurité Bruce Schneier, qui les épluche pour le Guardian et qui s'est exprimé mercredi lors de la séance plénière de l'IETF, est que «la NSA a transformé l'Internet en une gigantesque plateforme de surveillance». Concrètement, elle a surtout eu besoin de positionner les «caméras»: les tuyaux du Net sont, par définition, transparents pour les machines, car le réseau a été conçu pour qu'y transite le maximum d'informations.
Tout l'enjeu aujourd'hui est de les rendre opaques, ou plus précisément de rendre illisibles les données qui y circulent. Et, pour ça, de chiffrer au maximum –et, à terme, par défaut– les protocoles existants. Ainsi, sur le web, le «https» et le cadenas qui s'affichent parfois dans votre barre de navigation ne seraient plus l'exception (pour des achats en ligne, la consultation de votre compte bancaire ou celle de votre profil Facebook) mais la norme. Idem pour la messagerie instantanée ou l'échange d'e-mails.
Du côté du W3C, un groupe travaille depuis un an et demi à l'intégration d'outils de chiffrement directement à l'intérieur des navigateurs: une «couche cryptographique» grâce à laquelle «toutes les applications web pourront construire leur propre modèle de sécurité», explique la responsable du groupe, Virginie Galindo – par exemple, des plates-formes de discussion en ligne à la Cryptocat (qui fonctionne aujourd'hui via une extension), mais aussi des plates-formes de streaming (chez Netflix, on serait ainsi très demandeur de ce genre de fonctionnalité, pour protéger les films).
L'objectif est que, sur les «autoroutes de l'information», tout le monde circule à terme en voiture blindée. Ce qui a, pour les opposants à la surveillance, deux avantages: toutes les données seront mieux protégées, et celles qui l'étaient déjà attireront moins l'attention.
3. Qu'est-ce que ça changerait pour les internautes?
Si les données illisibles devenaient la norme plutôt que l'exception, leur interception indiscriminée et leur stockage perdraient de leur intérêt puisqu'elles seraient inexploitables, sauf à les décrypter –en «cassant» le chiffrement, ce qui nécessite, pour le coup, beaucoup de temps et d'argent. (Sauf, bien sûr, à ce que des faiblesses aient été délibérément introduites dans les logiciels.) Ce pourrait être un sérieux coup de frein à la surveillance de masse et, pour les défenseurs de la vie privée, un bénéfice net.
Comme le déclarait récemment Axel Pawlik, le directeur du registre européen d'adresses IP, RIPE NCC: «Ceux qui nous surveillent ont des ressources limitées, certes supérieures aux nôtres, mais si des millions d'utilisateurs mettent la barre un peu plus haut, surveiller chaque petit morceau de trafic Internet exigera beaucoup plus de moyens.»
Mais puisque tout a un prix en ce bas monde, il faut s'attendre à quelques difficultés collatérales. Ceux et celles qui ont pris l'habitude, par exemple, d'utiliser un nom de domaine qui leur appartient pour mettre un blog en ligne auront probablement, demain, à se préoccuper d'acquérir –et de gérer– un certificat électronique, ce qui n'amuse pas forcément tout le monde. Et qui dit chiffrement dans tous les sens dit «clés» en pagaille, qu'il faut stocker quelque part et dont il faut gérer l'utilisation.
En résumé (et décodé): tout ce qui va dans le sens de la sécurité et du contrôle accru de l'utilisateur décourage l'espionnage mais rend l'usage plus complexe. Un Internet plus sûr, c'est aussi un Internet plus compliqué à débugger, donc plus fragile, comme l'explique l'ingénieur réseaux Stéphane Bortzmeyer, présent à Vancouver:
«Les mesures qui vont être déployées contre l'espionnage vont rendre plus difficile la lutte contre le spam ou d'autres nuisances. Il y aura plus de pannes mystérieuses: actuellement, l'Internet réussit à bien s'en tirer dans tous les cas, mais là, ce sera le contraire. Si on n'aime pas cela, il faut se plaindre à la NSA, qui oblige tout le monde à durcir sa sécurité.»
Tout à son enthousiasme de voir les techniciens en ordre de bataille, Bruce Schneier, de son côté, relativise: «Si les choses sont bien faites, le coût n'en sera pas trop élevé. En la matière, le diable se niche dans les détails: on ne peut pas savoir tant qu'on n'aura pas essayé.» Certes. Mieux vaut tout de même s'attendre à ne pas avoir forcément le beurre et l'argent du beurre
.
4. Ça va prendre du temps?
Difficile à dire. Traditionnellement, l'IETF fonctionne selon un principe ainsi formulé: rough consensus and running code, «consensus approximatif et logiciel qui marche». Et souvent, le consensus, ça prend du temps. Sauf qu'il y a urgence. «D'habitude, l'IETF est très lente, habituée aux projets à long terme, et n'aime pas être bousculée par le monde extérieur. Cette fois, la réaction a été rapide», confirme Stéphane Bortzmeyer.
Les ingénieurs se sont même fixé quelques objectifs précis: atteindre 100% de chiffrement dès l'année prochaine pour le protocole de messagerie instantanée XMPP (utilisé, notamment, par le chat de Facebook et celui de Google), et 90% pour le trafic web en 2016. Ambitieux, quand on sait que le laboratoire de recherche en sécurité informatique NSS Labs évalue la part sécurisée du trafic sur les sites d'entreprises entre 25 et 35%. «L'Internet opaque» dans trois ans? La volonté est manifestement là, reste à savoir si la mise en application suivra le rythme.
5. Est-ce que ça va suffire?
Evidemment non. D'abord parce que, même si les standards utilisés sont transparents, les outils qui les mettent en œuvre ne le sont pas toujours, et ce sont justement ces outils que la NSA cherche à affaiblir. Ensuite, parce que si les informations sont illisibles quand elles transitent, elles ne le sont plus quand elles sont arrivées à destination – typiquement, sur les serveurs d'un réseau social ou d'un gros service de stockage apparaissant dans les diagrammes du programme Prism. On peut espérer une amélioration, pas une solution miracle. Comme le dit abruptement Bruce Schneier :
«Si vous ne voulez pas que Google utilise vos données, ne les donnez pas à Google. Si vous ne voulez pas que Facebook utilise vos données, ne les donnez pas à Facebook. Il faut accepter que le fait que certains problèmes ne peuvent pas être résolus par la technologie, que les solutions sont politiques, donc imparfaites.»
Et d'enfoncer le clou:
«Si vous voulez être absolument certains que vous n'êtes pas surveillés en ligne, jetez votre ordinateur à la poubelle.»
Après tout, quel plombier s'engagerait à ce qu'on n'ait jamais à subir le moindre dégât des eaux? Si au moins les tuyaux sont bien entretenus, c'est toujours ça de pris.
Leur mission: réparer votre Internet cassé par la surveillance
Tandis que les gouvernements européens sont à leur tour éclaboussés par les révélations d'Edward Snowden, les «petites mains» du réseau, elles, s'attellent à compliquer la tâche des agences de renseignement.
«Nous, les ingénieurs, avons construit l'Internet – et maintenant, nous devons le réparer.» Celui qui a lancé dans les colonnes du Guardian, le 5 septembre dernier, cet appel à se retrousser les manches n'est autre que l'expert en sécurité américain Bruce Schneier, chargé par le quotidien britannique d'analyser les documents transmis par l'ex-consultant Edward Snowden. Celui que l'on surnomme parfois le «Chuck Norris de la cryptographie» est loin d'être le seul à estimer qu'il est grand temps de passer la surmultipliée pour, comme il l'écrit, «rendre de nouveau la surveillance coûteuse».
L'accumulation des révélations sur les divers programmes – Prism, Bullrun, Tempora et consorts – mis en place par l'Agence nationale de sécurité américaine et le GCHQ, son équivalent britannique, a donné un coup de fouet à ceux qui dénonçaient (parfois depuis fort longtemps) l'existence d'une surveillance massive et systémique. Pour ceux-là –ingénieurs, experts en sécurité informatique, activistes du logiciel libre, groupes de défense des libertés civiles sur Internet...–, l'heure n'est plus au constat, mais à la contre-offensive.
Sous les chapiteaux d'OHM2013, un rassemblement mondial de hackers qui s'est tenu cet été aux Pays-Bas, et lors duquel il fut largement question de whistleblowing et d'écoutes numériques, on a ainsi pu entendre parler de «longue guerre» – une expression employée à dessein par Eleanor Saitta, membre de l'Open Internet Tools Project, un «incubateur» d'outils de contournement de la censure et de la surveillance.
Dans cette « longue guerre », l'axe stratégique, selon elle, est limpide:
«Notre principal problème, c'est la centralisation. A l'heure actuelle, un très petit nombre d'entreprises contrôle l'essentiel de nos interactions en ligne: Amazon, Apple, Facebook, Google et Microsoft – ce que le philosophe Benjamin Bratton appelle les “piles”. C'est ce qui permet la surveillance et le contrôle. Notre réponse, c'est de fabriquer de nouveaux systèmes, de saper la structure centralisée, et de la remplacer par un nouvel Internet qui ne permette pas ce genre de contrôle.»
«Nouvel Internet» ou Internet «réparé», l'affaire, en tout cas, se joue à tous les niveaux – y compris les plus obscurs pour le profane. Ainsi d'un des projets sur lesquels travaille Eleanor Saitta, un protocole de communication nommé Briar, conçu pour être déployé sur des terrains difficiles, et reposant sur une architecture totalement décentralisée et sur les relations de confiance entre ses utilisateurs: «de la plomberie pour Internet, explique-t-elle, comme le sont aujourd'hui les protocoles TCP/IP ou HTTP».
La «plomberie», c'est d'ailleurs tout l'objet, jusqu'à ce vendredi à Vancouver, d'une réunion de l'Internet Engineering Task Force, ce groupe international d'ingénieurs qui, pour informel qu'il soit, n'en est pas moins à l'origine de la majorité des standards du réseau. La séance plénière programmée mercredi matin, et introduite par Bruce Schneier, porte un titre sans équivoque: «Le renforcement d'Internet». «Nous savions tous que des interceptions avaient lieu, mais l'échelle révélée est surprenante, précise la note d'intention. Nous devons en tirer les conséquences.»
Comme le dit joliment la journaliste et universitaire australienne Suelette Dreyfus, auteure, avec Julian Assange, du passionnant Underground, publié en 1997: «Les hackers trouvent des solutions innovantes à des problèmes complexes, ils repoussent les limites – ils pensent “hors de la boîte”.»
D'où la naissance de projets encore très expérimentaux, tel Bitmessage, lancé fin 2012 par le New-Yorkais Jonathan Warren pour répondre à l'épineuse difficulté des métadonnées (lors de l'envoi d'un e-mail, l'adresse de l'expéditeur, celle du destinataire et l'objet du message apparaissent toujours «en clair», même si le contenu est chiffré). Depuis les premières révélations de Snowden, le nombre d'utilisateurs de ce système de messagerie a plus que quintuplé.
Le principe de BitMessage repose sur la génération d'identifiants complexes, qui peuvent être régulièrement changés, et sur l'utilisation de clés publiques pour chiffrer les messages, qui sont envoyés à l'ensemble du réseau d'utilisateurs – seul le destinataire du message peut alors le déchiffrer. «Le principe est astucieux, note l'ingénieur réseaux Stéphane Bortzmeyer. Mais c'est très loin d'être terminé, notamment parce qu'il y a des failles de sécurité, des problèmes de mise à l'échelle, de lutte contre le spam... Il ne faut surtout pas le “vendre” aux dissidents, c'est de l'ordre de la recherche fondamentale.»
Proposer des outils simples pour un usage massif
Encore un effort, donc, avant d'être mis à la portée de tout un chacun. D'autant, rappelle Benjamin Sonntag, l'un des cofondateurs de La Quadrature du Net [www.laquadrature.net], qu'il existe déjà de nombreux outils [prism-break.org] permettant de garder un peu (voire beaucoup) de vie privée en ligne–ces logiciels dits libres qui autorisent notamment l'accès au code source, seule garantie de pouvoir vérifier qu'ils n'ont pas été délibérément affaiblis. Reste à en assurer la diffusion, une question qui n'a longtemps pas été le fort des communautés de développeurs. Mais là aussi, les choses évoluent.
«Il y a un changement de mentalité, constate Stéphane Bortzmeyer. L'adoption par le grand public est maintenant considérée comme un problème important.» Et la bascule s'est amorcée avant les fuites de Snowden. Eleanor Saitta y voit le résultat d'un double mouvement, externe et interne, culturel et politique:
«Le changement vient en partie de gens qui ont grandi avec l'esthétique du jeu vidéo et celle des smartphones, et qui investissent le logiciel libre, pour que ce qu'ils produisent reflète leur engagement politique. Il y a aussi ceux qui ont toujours utilisé des outils libres, et qui ont dû les mettre en place sur le terrain, dans des contextes comme les printemps arabes ou le mouvement Occupy. Ils se sont rendus compte que ces outils, dont ils avaient l'habitude, sont une plaie pour l'utilisateur moyen.»
«Plaie» relative: l'évolution de ces dernières années est déjà sensible, et les outils les plus répandus ont enregistré, en termes de confort d'utilisation, des progrès considérables –loin des austères lignes de commande propres à décourager le néophyte. C'est le cas, notamment, du Tor Browser – un navigateur web basé sur Firefox et configuré pour utiliser le réseau d'anonymisation Tor–, qui s'installe en quelques clics. Ou encore d'Enigmail, une extension pour le logiciel Thunderbird, lancée en 2009, qui permet de gérer le chiffrement des e-mails.
Insuffisant, pour beaucoup, dans le contexte post-Prism. L'enjeu n'est plus seulement d'améliorer la prise en main par un utilisateur lambda, mais bel et bien de pousser à un usage massif. C'est clairement dans cette optique que le jeune programmeur d'origine libanaise Nadim Kobeissi a lancé en 2011 Cryptocat, une application web de chat sécurisé. Installation simplissime (une extension pour Firefox, Chrome et Safari), design épuré, interface ludique et intuitive, la formule trouve preneur: Cryptocat revendiquait mi-octobre plus de 80.000 utilisateurs réguliers, contre 65.000 en juin dernier.
D'autres projets récents mettent eux aussi l'accent sur l'ergonomie, et n'hésitent pas à s'afficher comme de potentielles épines dans le pied des géants du Net. C'est le cas de Mailpile, lancé par une petite équipe islandaise, dont Smári McCarthy, l'actuel directeur de l'International Modern Media Institute. L'application, en cours de développement, se présentera à terme comme un client webmail (façon Gmail), facile à héberger, et surtout à utiliser. Un point crucial, pour Smári McCarthy:
«L'intégration des outils de cryptographie doit être pensée pour des gens normaux, pas pour des experts. À l'heure actuelle, si on veut utiliser Enigmail, il faut se préoccuper de tas de trucs dont personne n'a envie de se soucier... Mailpile est conçu avec du chiffrement par défaut, pour rendre tout ça agréable. On veut que ce soit aussi simple à prendre en main que Gmail. C'est difficile, mais pas impossible.»
L'initiative, en tout cas, soulève quelques espoirs: «C'est prometteur, assure Benjamin Sonntag, notamment parce que le code avance très vite. Ça commence à sérieusement ressembler à quelque chose.» Des progrès rendus possibles par une campagne de crowdfunding qui a permis, début septembre, de lever 163.000 dollars – bien au-delà des 100.000 espérés. Succès que ses initiateurs attribuent, au moins pour partie, au contrecoup des fermetures de Lavabit puis Silent Mail, deux services qui ont préféré se saborder plutôt que de compromettre la sécurité des communications de leurs clients.
Trouver de nouveaux modèles économiques
Depuis, Lavabit et Silent Circle ont d'ailleurs décidé de travailler ensemble à un nouveau projet, Dark Mail, qui se concentre lui aussi sur le problème des métadonnées, et prévoit l'utilisation d'un protocole de messagerie instantanée. L'initiative, annoncée le 30 octobre, a déjà été abondamment relayée, mais soulève quelques questions. De son côté, le Français Laurent Chemla a relancé depuis deux mois et demi son propre projet d'e-mail sécurisé, Caliop. Avec le soutien logistique et financier de Gandi, l'entreprise qu'il a cofondée en 1999, et avec les mêmes préoccupations que l'équipe de Mailpile:
«La garantie de vie privée ne suffit pas à définir le service d'e-mail idéal. Si on ne rajoute pas un maximum de fonctionnalités, comme le classement, la recherche, l'antispam, si on ne fait pas mieux que ce qui existe, et plus simple, ça n'aura aucun effet. À ce stade, on avance principalement sur le design: on sait de quelles fonctionnalités on a besoin, l'idée est de les mettre en place à l'intérieur d'un outil dont l'ergonomie sera prédéfinie, plutôt que l'inverse.»
Concurrencer les solutions propriétaires sur leur propre terrain, donc? «Je n'ai jamais changé là-dessus, revendique Laurent Chemla. Gandi, c'était déjà de la concurrence.» L'affaire n'est pas simple pour autant, reconnaît-il: «Il y a une histoire de projets inaboutis lourde à porter pour tous.» Constat que partage Stéphane Bortzmeyer lorsqu'il évoque les solutions «clés en main» d'auto-hébergement, comme Cozy Cloud ou YunoHost , censées permettre à l'internaute lambda de reprendre en main ses données:
«Le problème, c'est que la plupart de ces projets sont aboutis à 90%, mais après, ça s'arrête... Or ce qui fait qu'un projet est “Michu-compatible”, c'est quand il est finalisé à 100%. S'il me faut, à moi, entre 5 minutes et une heure pour régler un problème, alors ça n'est pas le cas. La principale valeur de Gmail, c'est que ça fonctionne.»
Et comme souvent, le nerf de la «longue guerre», c'est aussi l'argent. «La structure économique est une question critique», avance Eleanor Saitta:
«Développer des logiciels bien conçus et faciles à utiliser, c'est énormément de travail. La communauté du libre a souvent fonctionné avec des budgets limités. C'est aussi ça qu'il faut changer: il faut trouver des financements. On a besoin de nouveaux outils, avec de nouveaux modèles économiques.»
Des modèles pour lesquels il va falloir, là encore, (ré)inventer. Les plus installés, aujourd'hui, reposent sur du financement public –comme Tor, subventionné à 60% par le gouvernement américain, tout en étant la cible d'attaques répétées de la NSA – et du mécénat d'ONG et/ou d'entreprises: ainsi le Guardian Project, qui développe des applications de communication sécurisée pour les smartphones sous Android, est-il soutenu par le Tibet Action Institute et, ponctuellement, par Google.
Eleanor Saitta évoque également, au-delà des campagnes de crowdfunding, la possibilité de microdonations via Flattr. Quant à Laurent Chemla, il rappelle le précédent d'Altern, le premier service d'hébergement web français lancé par Valentin Lacambre, qui articulait service payant (via le Minitel, le fameux «3615 Internet») et hébergement gratuit, et envisage, par exemple, une version facturée pour les entreprises.
Une bataille pour le pouvoir dans le cyberespace
Reste que, pour beaucoup, les réponses techniques, si abouties soient-elles, ne suffiront pas à répondre au problème de la surveillance de masse. Benjamin Bayart, le président de la Fédération FDN, qui rassemble les fournisseurs d'accès à Internet associatifs en France, en viendrait presque à s'énerver quand on lui parle anonymat et chiffrement:
«Ce qu'on est en train de dire, c'est qu'il faut se promener sur Internet en armure –et pas contre des gens qui voudraient vous voler votre code de carte bleue, mais pour se protéger des gouvernements. C'est tout de même un problème!»
La «longue guerre» est aussi, et peut-être surtout, une affaire politique. Une question qui agite plus que jamais les communautés hackers. En témoigne, par exemple, le troisième chapitre de Cypherpunks (en français Menace sur nos libertés), ouvrage tiré d'un long entretien entre Julian Assange, l'Américain Jacob Appelbaum, l'un des architectes de Tor, l'Allemand Andy Müller-Maguhn, du Chaos Computer Club, et Jérémie Zimmermann, le porte-parole de La Quadrature du Net: l'Australien y fait clairement le deuil de toute possibilité de régulation démocratique (les «lois de l'homme») et considère que le salut de nos vies privées repose désormais sur les algorithmes.
Un point de vue auquel peuvent difficilement se ranger les militants des groupes de défense des libertés sur le réseau, qui se sont précisément fait une spécialité de la sensibilisation des représentants politiques. Mais si les approches varient – des plus libertariens aux plus républicains –, la grande majorité semble avoir acté la nécessité d'un travail social de fond. «L'aspect politique de tout ceci est une tâche plus lourde que l'ingénierie», écrit encore Bruce Schneier dans sa tribune pour le Guardian.
«L'approche purement geek n'a aucun sens, assène Benjamin Bayart. On ne passe pas d'une société fermée et autoritaire à une société ouverte et démocratique juste par les outils. Ils sont un bon moyen de pression, mais ce qui compte, c'est la pression.» Et les fabricants desdits outils l'ont bien compris. Ainsi Nadim Kobeissi définit-il le rôle des hackers comme relevant désormais d'«un mouvement civil pour la défense des droits et de la vie privée dans le monde numérique».
Le rassemblement «Stop Watching Us», organisé à Washington, ce 26 octobre, par une centaine d'organisations – de l'Electronic Frontier Foundation à l'Union américaine pour les libertés civiles, en passant par la Fondation Mozilla – témoigne de cette émergence, et de convergences de plus en plus nettes entre «indigènes de l'Internet» et mouvements de défense des droits de l'homme. Convergences déjà visibles autour des printemps arabes et des mouvements Occupy et Indignés, mais qui, à la faveur des scandales récents, commencent à redessiner la géographie de l'activisme occidental.
Dans une tribune plus récente, cette fois pour The Atlantic, Schneier écrit encore que «nous sommes au beau milieu d'une bataille épique pour le pouvoir dans le cyberespace». Quant à l'issue envisagée, l'optimisme de l'action vient souvent réchauffer le pessimisme de l'analyse. Comme le dit en souriant Benjamin Bayart:
«Internet, c'est une idée. Une fois que tu as lâché une idée comme ça, tu ne peux pas la défaire. Et à la fin, on gagne. Toute la question est de savoir si c'est dans vingt ans, ou si c'est dans un siècle.»
Cyber-espionnage : Yahoo veut déjouer les écoutes de la NSA
Pour couper court aux écoutes massives de la NSA, Yahoo compte mettre en place un système de chiffrement SSL 2048 bits. L’implémentation sera effective sur tous les servies du groupe Internet d’ici la fin du 1er trimestre 2014.
Les dernières semaines ont été marquées par de nombreuses révélations dans le dossier PRISM, du nom de ce programme d’espionnage électronique mené à l’initiative de la NSA.
Fin octobre, un document interne exfiltré par Edward Snowden révélait que l’Agence nationale de sécurité américaine avait profité d’une faille dans le mode d’interconnexion des data centers de plusieurs groupes Internet pour intercepter des centaines de millions de données d’utilisateurs.
Concerné au premier chef, Google s’est depuis lors engagé à chiffrer toutes les informations transitant entre ses centres informatiques.
C’est aujourd’hui au tour de Yahoo de se lancer dans cette course à l’armement visant à protéger les informations de ses utilisateurs.
La firme assure disposer d’un plan d’action qui s’articule autour de deux mesures majeures : non seulement chiffrer toutes les communications entre ses data centers, mais aussi généraliser la connexion sécurisée à l’ensemble de ses services.
Le tout sera mis en place avant la fin du premier trimestre 2014. La messagerie électronique ouvrira le bal le 8 janvier prochain, basculant en 100% HTTPS.
La transition s’appliquera aussi chez les partenaires qui proposent ce service avec, dans tous les cas, un système basé sur une clé SSL 2048 bits.
« Nous avons travaillé dur au cours des années pour gagner la confiance de nos utilisateurs, et nous nous battrons pour la conserver« , explique Marissa Mayer, P-DG de Yahoo.
Comme le note néanmoins Silicon.fr, l’usage du HTTPS restera une option. A charge des utilisateurs de l’activer.
Comment protéger ses données en ligne ? Europe1.fr propose trois moyens de limiter l'accès à vos données personnelles.
- Régler son navigateur. Tous les navigateurs Internet possèdent une option permettant de surfer sans trace : Google Chrome, Internet Explorer, Mozilla Firefox ou encore Apple Safari. Certes, il faut rentrer tous ses mots de passe à chaque nouvelle fenêtre ouverte, mais cela assure un minimum de confidentialité. Autre limite : en 2010, une étude de l'université de Stanford, en Californie, a démontré que la navigation privée n'était pas fiable à 100%.
- Modifier la "localisation" d'un ordinateur. Chaque PC connecté à Internet possède une adresse IP, c'est-à-dire un numéro d'identification en ligne. Ce numéro peut être modifié grâce à un outil nommé VPN (Virtual Private Network) : il s'agit de créer un leurre faisant croire à Internet que votre ordinateur se situe à l'étranger.
- Éviter de lier les différents comptes sur Internet. Twitter, Facebook, Google+, LinkedIn, Viadéo. Autant de réseaux sociaux possédant de nombreuses informations sur vous. Mieux vaut utiliser une adresse email, une photo, un pseudonyme différent pour chacun d'entre eux afin d'éviter que les informations ne se croisent trop facilement.
Ces données que vous semez sur le Net
En une seule journée, l’internaute lambda fournit quantité d’informations, souvent à son insu.
Décidée à sensibiliser les citoyens sur les conséquences d’Internet sur la vie privée, l’Union européenne a fait du 28 janvier la journée européenne de la protection des données. Un concept en apparence abscons mais aux conséquences très concrètes. Pour mieux s’en rendre compte, Europe1.fr a imaginé la journée type d’un Internaute.
Avant d’entamer ce panorama, un rappel s’impose : rien n’est gratuit, y compris sur Internet. Facebook, Google, Youtube, Yahoo, etc. vous offrent bien une riche palette de services sans rien vous demander en échange... mais seulement en apparence. Car ces entreprises ne font pas de bénévolat et doivent bien se financer : elles collectent donc des données pour constituer des listes qu'elles revendent ensuite à d'autres entreprises. Autant dire que vos informations personnelles et vos goûts sont épiés à de très nombreuses reprises en l’espace d’une seule journée.
• Au réveil, premier mail et premières confidences. Vous relevez votre boîte mail pour commencer la journée ? C’est déjà le début de la collecte pour les géants du Web. Gmail dispose par exemple de logiciels qui décomposent vos messages et en retiennent les mots clefs récurrents pour ensuite personnaliser sa publicité. Cela fait quelques jours que vous échangez par mail vos envies d’un voyage à Metz ? Étrangement, les publicités pour des hôtels de la ville grenat se multiplient sur votre navigateur Internet. CQFD.
• Dans les transports, un petit jeu et plus encore. Citadin, vous prenez les transports en commun et en profitez pour jouer sur votre smartphone à un jeu en ligne du type solitaire ou Angry Birds. Des jeux gratuits mais pas sans contre-partie : à moins de l’avoir refusé en modifiant vos paramètres de confidentialité, ces applications collectent les informations suivantes : localisation, sexe, modèle du smartphone, contacts et réseaux sociaux.
• Revue du Web et deuxième collecte. Arrivé au travail, vous allumez votre ordinateur et effectuez plusieurs recherches sur Google, Bing ou Yahoo. Toutes les recherches que vous effectuez et les liens sur lesquels vous cliquez sont une nouvelle fois conservés et archivés. Soit dans un fichier nominatif si vous disposez d’une boite mail chez le même opérateur, soit dans un fichier qui identifie votre ordinateur par votre adresse IP. Cette collecte permet aux moteurs de recherche d’améliorer leurs outils mais aussi de vous proposer une publicité plus ciblée.
• Au boulot, tout se garde. Les heures passent et les courriels professionnels s’enchainent. Sachez que tous les courriels envoyés depuis votre boîte mail professionnelle et l'historique des sites consultés depuis votre lieu de travail sont archivés et peuvent être consultés par votre entreprise. Cette dernière doit néanmoins avoir des raisons valables de le faire et ne peut fouiller dans vos courriels par simple curiosité.
• Les réseaux sociaux, une oasis d’informations. Vous revenez de votre pause déjeuner et décidez de vous connecter quelques minutes à votre réseau social préféré ? Là aussi, toutes les informations indiquées seront scrupuleusement conservées. Si vous témoignez de votre amour pour une pâte à tartiner, un artiste ou une équipe de sport, Facebook l’inscrit dans votre profil. Si Nutella souhaite ensuite envoyer une publicité ciblée pour présenter ses nouveautés, Facebook lui donnera alors accès (contre rémunération) à une liste d’utilisateurs dans laquelle vous figurez.
• Une petit moment de détente, et ca continue. Sur les conseils de vos amis Facebook, vous partez en quête du dernier clip de votre artiste préféré ou d’une énième vidéo de chat. Que ce soit sur Youtube ou Dailymotion, vos recherches et les vidéos regardées seront aussi stockées. D’où la colonne à droite qui vous propose spontanément de nouvelles vidéos qui correspondent (souvent) à vos goûts.
• Une adresse à trouver, vous êtes géolocalisé. Sorti(e) du travail, vous avez rendez-vous avec un ami mais ne connaissez pas l’adresse du café. En passant par les Pages jaunes ou Google map, vous la trouverez mais lors de votre première connexion à ces services, vous avez peut-être aussi accepté d’être géolocalisé. Et pour cause, c’est bien pratique pour obtenir ensuite le trajet pour s’y rendre, ce que propose également l’application smartphone de la RATP à Paris ou de TCL à Lyon.
• Faire ses courses, c’est aussi donner des informations. De retour à votre domicile, vous passez à votre nouveau dossier : trouver un nouveau grille-pain. Vous comparez donc les prix sur différents sites marchands et chacun d’eux enregistre votre adresse IP, installe chez vous un cookie rémanant (c'est-à-dire non temporaire) et saura donc, lors de votre prochaine visite, que vous êtes intéressé par l’univers du petit déjeuner. L’exemple le plus frappant de ce "marketing comportemental" se trouve du côté d’Amazon, qui vous propose en bas de page ce que les autres utilisateurs au profil similaire ont acheté. Et Amazon se trompe rarement.
Conclusion. La moindre démarche effectuée en ligne laisse une trace et cette dernière est très souvent exploitée pour améliorer le service mais aussi (et surtout) vous proposer une publicité personnalisée. Difficile donc d’y échapper, à moins de ne jamais s’inscrire nulle part et de recourir à des outils tels qu’Anonymiser, qui cache votre adresse IP et donc votre adresse physique. Vous pouvez également utiliser la session "privée" de votre navigateur Internet pour éviter de conserver des cookies ou un historique de vos recherches. Quant aux utilisateurs d'un smartphone, il leur est conseillé de se rendre de temps en temps dans les réglages pour vérifier les paramètres de confidentialité
From : Amaelle Guiton (Slate),ITExpresso,Europe 1.....