Cet article a été initialement publié dans SC Magazine.
La distanciation sociale étant la norme, nous passons plus de temps sur Internet à réaliser des choses plus importantes que jamais – par exemple, travailler, apprendre, effectuer des opérations bancaires, faire des achats, consulter le médecin et passer du temps en famille – ainsi qu’à regarder des vidéos en streaming, à jouer et à interagir avec nos haut-parleurs connectés.
Ne devrions-nous pas nous assurer, plus que jamais, que personne n’écoute, ne dérobe ni ne modifie nos données ?
Le cryptage est le principal outil permettant d’atteindre cet objectif. Grâce au cryptage, les données sont chiffrées de manière à ce que seules les personnes visées puissent les voir. La plupart du temps, lorsque vous naviguez par le biais du Wi-Fi, du Bluetooth, de la 4G et sur la plupart des sites web, vos données sont cryptées.
Malheureusement, la plupart des services en ligne d’aujourd’hui continuent de crypter les données de manière fragmentaire. Certes, certaines sections sont chiffrées. Malheureusement, en règle générale, il arrive qu’à un moment donné du parcours, les données restent en clair et soient traitées d’une manière ou d’une autre avant d’être rechiffrées et envoyées.
La bonne nouvelle est que de nombreux services de messagerie – par exemple WhatsApp, Telegram et Signal – offrent un cryptage de bout en bout, où seuls l’expéditeur et le destinataire peuvent « voir » le message. Tous les autres intervenants, même l’entreprise qui fournit le service, ne peuvent pas en consulter le contenu. Plus il en est ainsi, mieux nos données sont protégées.
Néanmoins, la protection des données des consommateurs est menacée, principalement par les gouvernements qui veulent accéder aux données à des fins répressives ou de renseignement, mais aussi par les entreprises qui veulent monétiser leurs données. Voici la teneur générale de la demande : « Nous croyons fermement au cryptage pour protéger les données de chacun. Nous y croyons même au sein du gouvernement. Et nous ne voulons pas de portes dérobées qui permettraient à des criminels de s’introduire. Nous avons juste besoin de voir les données de certaines personnes qui utilisent votre service. Et nous ne les demanderons que lorsqu’il s’agit d’un crime grave et que nous avons un mandat ».
Créer un mot de passe maître est dangereux
À première vue, la demande semble raisonnable. Il ne s’agit que des données d’une seule personne, la demande semble légitime et s’accompagne d’une autorisation appropriée. Et qui ne veut pas mettre fin à des crimes horribles ou appréhender leurs auteurs ? Mais voici ce que l’on ne dit pas : le mécanisme qui permet de donner accès aux données d’un individu sur ce service met en danger tous les utilisateurs de ce service. C’est comme créer un mot de passe maître pour l’ensemble du système. Bien sûr, ce mot de passe sera long et complexe et presque impossible à deviner. Seules quelques personnes y auront accès et il ne sera utilisé que dans les circonstances les plus extrêmes.
Mais souhaitez-vous réellement qu’un tel mot de passe maître existe ? Les employés de l’entreprise pourraient en abuser, et les gouvernements aussi. Et même si les intentions semblent honorables, il suffit de faire le bilan des graves incidents survenus en matière de sécurité des données au cours des dernières années : des dizaines de milliers de violations de données impliquant des milliards d’enregistrements (et d’ailleurs, pourquoi ces bases de données n’étaient-elles pas mieux cryptées, ce qui aurait protégé les données personnelles des individus contre toute divulgation ?). Ou, plus important encore, pensez-vous réellement que les pirates informatiques du monde entier ne découvriront, ne trouveront ni ne voleront ce mot de passe maître ? Si tel est le cas, tous les utilisateurs du service sont à risque. Si les internautes ne sont pas certains que leurs communications sont suffisamment protégées, ils limiteront leur utilisation de l’internet.
Des débats sur ce sujet ont lieu partout dans le monde.
La plupart des arguments en faveur de cet « accès exceptionnel » tournent autour de la lutte contre l’exploitation des enfants et le terrorisme ou d’autres crimes graves. Par exemple, aux États-Unis, la loi EARN IT, qui a été présentée au Congrès américain en mars, ne mentionne même pas le cryptage – elle implique simplement que les entreprises fournissant les services sur lesquels nous comptons tous doivent donner accès aux données pertinentes sous une forme non cryptée, sous peine d’amendes et de poursuites. Pourtant, ce sont ces mêmes services qui protègent les communautés vulnérables comme les victimes de violences domestiques, les journalistes et les militants aux côtés de nos familles, des militaires et des forces de l’ordre.
Ce que vous pouvez faire
La lutte contre la criminalité est une tâche importante, mais nous ne pouvons pas y parvenir en affaiblissant la sécurité de la plupart des internautes. Assurez-vous que votre député protège votre droit à un cryptage fort. Soyez conscient de la diversité des stratégies dangereuses adoptées par les gouvernements pour accéder aux données qu’ils souhaitent. Elles vont de l’analyse de données non cryptées à l’envoi ou la réception, au décryptage forcé quelque part en chemin, en passant par l’exploitation du trafic en tant que tiers silencieux. Toutes ces approches représentent des mécanismes qui compromettent la sécurité en enfreignant le concept de protection de bout en bout.
Unissons-nous tous pour protéger le cryptage. Défendons notre droit à la sécurité de nos communications. Si les gouvernements prétendent qu’ils sacrifient la sécurité d’une personne pour le bien de tous, en réalité ils imposent le sacrifice de la sécurité pour nous tous.
Prenez ces six mesures pour protéger le cryptage et assurer votre propre protection.