Non, chiffrer ses données et avoir un peu de jugeote sur Internet ne fait pas de vous un conspirationniste…
Il y a une phrase à la con (et ses variations), typique, que j’entends ou lis régulièrement, en référence à la protection de sa vie privée sur Internet :
Ça va, c’est bon, la NSA s’en fout de ma gueule
Malheureusement, il n’y a pas que la NSA qui s’intéresse à vous. Je ne vais pas revenir encore une fois sur le cas de Google, parce que j’écris abondamment et régulièrement sur le sujet.
Ce que je déplore avec une attitude pareille, c’est que ça fait passer les utilisateurs consciencieux pour des conspirationnistes, et les décrédibilise. Cela prouve l’inconscience des auteurs de cette phrase et un manque total de respect pour les autres, ni plus ni moins. C’est aussi une preuve irréfutable d’incompétence quand prononcée dans le milieu professionnel.
Quand une donnée est transmise en réseau, il y a trois informations confidentielles qui sont émises :
- la source (adresse IP, adresse MAC, éventuellement d’autres (meta)données pouvant inclure l’heure, les coordonnées GPS, le type d’information qui transite, sa taille)
- la destination (là aussi, adresse IP, adresse MAC, etc.)
- l’information en elle-même
Il est extrêmement facile d’intercepter ces informations. En particulier quand on utilise un réseau sans-fil, pour tout un tas de raisons que je ne vais pas détailler ici. L’interception, généralement via une attaque de type man-in-the-middle, permet à une personne tierce d’intercaler sa machine entre l’expéditeur et le destinataire de l’information, en se faisant passer respectivement pour l’un puis par l’autre en fonction de la direction dans laquelle l’information est émise. C’est totalement transparent et indétectable pour le commun des mortels qui utilise son smartphone à la terrasse d’un café par exemple. Ou au boulot.
Quand on prend la — bonne — décision de chiffrer ses transmissions (par exemple en allant sur un site en HTTPS, ou en utilisant une messagerie instantanée sécurisée), seule l’information est chiffrée. La source et la destination restent visibles en clair sur le flux du réseau. C’est normal, et c’est même capital, faute de quoi la source ne peut évidemment pas contacter la destination.
Ce type de chiffrement rend l’attaque de type man-in-the-middle presque inutile pour récupérer l’information émise, puisqu’elle est chiffrée. En revanche, la source, la destination et certaines méta-données restent accessibles en clair, ce qui peut être suffisant pour pousser l’attaque un peu plus loin.
En analysant davantage le flux réseau, l’attaquant peut générer des statistiques, et ainsi avoir une meilleure idée du contenu des messages échangés. C’est ce que font les gouvernements (entre autres) pour détecter du téléchargement illégal par exemple. Ou des activités terroristes. Et c’est ce que l’on appelle l’heuristique.
La solution du VPN, dont on entend beaucoup parler ces dernières années, permet d’augmenter encore la sécurité du message. Une fois qu’un client VPN est connecté à un serveur VPN, on réduit encore plus les risques d’interception. Le VPN offre bien d’autres avantages encore que nous ne verrons pas ici, à l’exception du contournement de la censure.
La métaphore habituelle pour casser la croyance que le chiffrement a pour seul objectif d’empêcher la NSA de mettre son nez dans les photos de vacances de mamie est celle de la Poste et de l’enveloppe. Sur l’enveloppe figurent les méta-données (expéditeur et destinataire), et dans l’enveloppe se trouve l’information. Admettez-le : que vous ayez quelque chose à cacher ou non, vous n’aimeriez pas que la Poste (au centre de tri, ou même le facteur) ouvre l’enveloppe, lise son contenu, et referme l’enveloppe avant de l’expédier à son vrai destinataire.
C’est là que le chiffrement intervient. La Poste peut toujours lire le courrier, récupérer les métadonnées sur l’enveloppe, mais ne comprendra pas grande chose à son contenu.
Le VPN empêche aussi la Poste de lire ce qui est écrit sur l’enveloppe, qui pourrait tout aussi bien être envoyée depuis le Luxembourg que l’Italie, ou depuis chez vous. Elle est obligée de transférer l’enveloppe à une poste compétente (un serveur VPN) pour que le message arrive à son véritable destinataire.
Mettre en place un client et un serveur VPN est relativement simple (les box des fournisseurs d’accès à Internet le permettent, par exemple chez free) et offre aujourd’hui une protection suffisante pour échanger des mails, des mots de passe, des codes de carte bancaire. Et donc tout type d’information confidentielle. Y compris des informations permettant de coordonner une attaque terroriste.
Dès lors, les auteurs de la phrase d’introduction ne voient plus la différence entre un terroriste, et une personne soucieuse de sa vie privée et de la confidentialité de ses échanges avec d’autres personnes sur Internet.
Or, au-delà de conversations privées qui ne regardent personne, il y a au moins un autre cas où il est prudent de chiffrer et/ou d’utiliser un VPN : lorsqu’on transfère des informations professionnelles. Tout simplement pour éviter “l’espionnage industriel”, ou le vol de données personnelles si des CVs sont transférés d’un serveur à un autre, ou le vol de mots de passe, permettant d’accéder au système de gestion de l’entreprise, ou à ses coordonnées bancaires. Le pire qui me vienne à l’esprit ? Les backups non chiffrées dans le cloud. En effet, la NSA ne s’inquiète pas vraiment de ces informations-là, mais cela ne veut pas dire que personne ne s’y intéresse.
Par ailleurs, sécuriser ses échanges est aussi une façon de sécuriser les échanges des autres. Par exemple, dans le cas où vous n’êtes qu’un intermédiaire dans la transmission d’une information. Vous avez donc une responsabilité morale d’utiliser tous les moyens de sécurisation à votre disposition pour garantir l’intégrité du message dont vous avez été l’intermédiaire. Ne pas mettre en place ces moyens vous expose à la perte de confiance des expéditeurs et destinataires originaux de l’information qui a transité par vous.
Quand les réfugiés sont arrivés en Europe, et que les premiers problèmes ont commencé, la communauté musulmane a appelé les peuples à ne pas commettre d’amalgame entre musulman et islamiste. Alors, nous, les geeks, appelons le monde à ne pas commettre l’amalgame entre personne soucieuse de sa vie privée et illuminé conspirationniste.
Un amalgame qui a été fait il y a quelques jours, par… l’Arabie Saoudite, qui a déclaré les VPNs comme étant illégaux, VPNs qui servaient surtout à contourner toutes les autres censures commises par l’État.
Alors, n’utilisez plus cette excuse bidon pour justifier votre désintérêt pour le chiffrement. Arrêtez d’être aussi oisifs, prenez cinq minutes pour configurer votre VPN. Parce que si vous ne le faites pas, vous aurez bien l’air con quand vous verrez vos comptes fondre comme neige au soleil.