Prenez mon service super-sécurisé©, c'est pas cher ! Et hébergé en Suisse© !

Par SwissTengu @SwissTengu @SwissTengu — 28.05.2014
ProtonMail. Lavaboom. Email made in Germany. Hébergé en Suisse. Unbreakable by the NSA. Messages éphémères. Paiement de notre service en Bitcoin.

Vous avez déjà vu passer l'une ou l'autre de ces choses. Mais qu'est-ce que ça vaut ? Qu'est-ce que ça signifie, réellement ? Après tout, les "affiches" sont jolies, on nous annonce plein de choses, les sites sont propres et font pro. Pourquoi ne pas directement souscrire, et ainsi se protéger contre les Grandes Oreilles ?

La réponse tient avec un mot : confiance. Ces services reposent sur le fait que vous allez faire confiance à un tiers "qui présente bien".

On va faire une revue des différents arguments mis en avant par ces nouveaux services, et voir ce qui est plausible, ce qui est risible, impossible, etc.
Désolé pour les titres en anglais — la plupart des services sont principalement dans cette langue. Notez aussi que la liste ci-après ne sera pas exhaustive — on peut compter sur les commerciaux pour trouver de nouvelles tournures pour dire exactement la même chose qu'avant, mais avec plus de buzz-words.

Zero-knowledge (aka Fully Anonymous)
"On ne sait rien de vous". En gros, vous vous inscrivez sur le service en donnant le minimum d'informations. Enfin, d'autres disent que c'est juste le fait qu'aucun contenu non-chiffré n'atterri sur leurs serveurs.
La seconde explication sera traitée dans la suite de ce billet.

La première, par contre, est assez intéressante : dans ces services, vous devez fournir un pseudo (voire nom et prénom) pour créer un compte. Oh et, ils ont votre adresse IP (ou celle de votre proxy, ok). Oh et, aussi, ils auront, bien entendu, les fameuses "méta-données" dont la NSA et autres services sont si friands : destinataires, titres, si ça contient des pièces jointes… Déjà bien assez d'information permettant de vous placer dans un réseau.

Zero Access to User Data
"Promis, on n'a aucun accès à vos données". Hm, comme dit précédemment, les méta-données sont toujours présentes. Un mail est assez catastrophique à sécuriser : la plupart des en-têtes restent en clair, même si vous chiffrez le contenu.
Un exemple très simple :
Return-Path:
Delivered-To: TO@bar.tld
Received: by smtp.bar.tld Postfix, from userid 103)
        id 5D6721005DD; Fri, 23 May 2014 15:50:02 +0200 (CEST)
Received: from mail-ee0-f50.google.com (mail-ee0-f50.google.com [74.125.83.50])
        (using TLSv1 with cipher ECDHE-RSA-RC4-SHA (128/128 bits))
        (No client certificate requested)
        by smtp.bar.tld (Postfix) with ESMTPS id 37E5C100075
        for ; Fri, 23 May 2014 15:50:01 +0200 (CEST)
Received: by mail-ee0-f50.google.com with SMTP id e51so3775736eek.9
        for ; Fri, 23 May 2014 06:49:54 -0700 (PDT)
DKIM-Signature: v=1; a=rsa-sha256; c=relaxed/relaxed;
        d=gmail.com; s=20120113;
        h=message-id:date:from:user-agent:mime-version:to:subject
         :content-type:content-transfer-encoding;
        bh=tHrFvH6uyBo4RTYnTcsooefPF/gtLdXRFa54ZZiyQX4=;
        b=jmbW/YbuKKmUExx6nR+ewgE8MxDK6+69cd5tn+Ee1l3CWsbYwsEXljbLNuhONfSSFG
         y9AO9rXxidL9yYNkMdeWcjerXXfIXAhzBRheoF4dalQDbX1w/L7jus9DHHFZYymU/M10
         pBdBMmE2xqVf3HBiReQ88jmcK3djOK3eRhKiU88wVHWoja7hMiq4rNmSVcl+HfGrYVTa
         X2TcnFOwP0VRafbNKxB8trOBKcqpEiTyUH+U//lqdCMhnsGHEmDVDhEDB/4os4iui6AV
         nMbg6mwY5lAYkiSUUb/I0Tk+9WyuKLo1/ML2D3Mt7Mj7sokCFRrMRv49jjICMwrTeGth
         Xd5A==
X-Received: by xx.yy.zz.aa with SMTP id v42mr3971464eel.84.1400852994494;
        Fri, 23 May 2014 06:49:54 -0700 (PDT)
Received: from ?IPv6:::1? ([::f009])
        by mx.google.com with ESMTPSA id n1sm8527925eey.12.2014.05.23.06.49.53
        for
        (version=TLSv1 cipher=ECDHE-RSA-RC4-SHA bits=128/128);
        Fri, 23 May 2014 06:49:53 -0700 (PDT)
Message-ID: <537F5202.3020308@gmail.com>
Date: Fri, 23 May 2014 15:49:54 +0200
From: FROM
User-Agent: Mozilla/5.0 (Windows NT 6.1; WOW64; rv:24.0) Gecko/20100101 Thunderbird/24.5.0
MIME-Version: 1.0
To: TO
Subject: foo bar blah
X-Enigmail-Version: 1.6
Content-Type: text/plain; charset=ISO-8859-1
Content-Transfer-Encoding: 8bit
X-Antivirus: avast! (VPS 140522-0, 22.05.2014), Outbound message
X-Antivirus-Status: Clean

Miam-miam toutes les informations :). Ce d'autant qu'on peut, avec le contenu, savoir d'autres informations via la clef de chiffrement…

Aucun accès aux données ? Non. C'est faux, et même un mensonge…

Self Destructing Messages
Sans doute mon préféré :). Imaginez : vous envoyez un message, votre correspondant le lit et pafff, il disparaît. De quoi se la jouer Jim Phelps1 non ?
Sauf qu'en fait… comment dire… Nan, ça marche pas comme ça :
votre message est passé par quelques machines, il se trouve en cache sur différents serveurs, dans le cache du navigateur de votre correspondant, sans doute dans le cache d'un ou deux proxys… Bref, dire qu'il sera détruit de manière définitive est une jolie histoire pour Bisounours.

End-to-End Encryption
Mon second préféré. Surtout quand les clefs servant à déchiffrer les contenus se trouvent sur des serveurs2.…
Le problème : ces services de mail passent, "pour offrir le plus de simplicité", par une interface web uniquement. Interface chargeant du javascript servant, entre autres, à gérer la partie cryptographie (et UI, etc).
Le problème du Javascript, enfin LES problèmes, sont divers et variés :
  • La transmission des scripts est un problème de sécurité en soi — rien ne peut empêcher une injection de contenu…
  • Avoir confiance dans les interpréteurs JS des navigateurs est une erreur (souvenez-vous de Firefox et TOR)3
d'autres sites en parlent4 mieux que moi — je ne vais pas m'étendre plus dessus.
On ne va pas non plus parler de toutes les possibilités offertes par le simple fait d'empiler 42 couches d'abstractions pour détourner, casser, ou contourner la cryptographie5

Quelle alternative?
Toute  technologie liée à la sécurité dont l'efficacité n'a pas été démontrée  de manière empirique n'est pas différente d'une confiance aveugle.
  (traduction libre d'une citation de Dan Geer, page 28 du document PDF  en lien ci-dessus)

Méfiez-vous  des buzz-words et des solutions qui ont l'air trop belles pour être  vrai. Tournez-vous plutôt vers ce qui a fait ses preuves et est toujours  valable (quoique sans budget marketing).
Par  exemple: une implémentation correcte d'OpenPGP fonctionne avec votre  adresse e-mail actuelle (pas besoin d'en créer de nouvelle), vous en  avez la maîtrise complète et, en plus, c'est gratuit.
Certes, vous devrez l'utiliser dans un client mail comme Thunderbird - cela ne fonctionnera pas en webmail.
Certes,  vous allez devoir passer un peu de temps pour comprendre les rouages et  configurer correctement. Cela impliquera demander de l'aide et  peut-être visiter des CryptoParties6. Ce n'est pas offert sur un plateau.
Certes, une fois que vous serez acquis à la chose, il va falloir convaincre le monde autour de vous d'y passer.
Mais  c'est le prix à payer pour un niveau de sécurité qui va au-delà de  simples promesses (pour ne pas dire mensonges) et dont vous avez le  contrôle.

La naissance de tous ces services n'est pas innocente. Les révélations de Snowden, les divers articles dans les médias et autres poussent les gens conscients de la valeur de leurs données, ou simplement ne voulant pas être sous surveillance constante, à se précipiter vers des services disant fournir un minimum de protection..

Le problème que cela pose : tout et n'importe qui peut prétendre fournir un tel service. Sans compter le fait qu'on ne peut décemment pas ne pas voir des pots de miel7… Mais voir le mal partout n'est pas non plus la solution (encore que…).
Je ne dis pas qu'aucun de ces services n'est valable (… comment ça, "pas crédible" ?) mais il faut avouer qu'il convient de se poser quelques questions devant la pléthore de services.
Surtout les gratuits, d'ailleurs — bien que le fait qu'un service soit payant ne le blanchisse pas non plus.

Protéger sa vie privée et ses communications, OUI. Mais pas n'importe comment, pas via n'importe quel service. L'esprit critique doit prévaloir sur le côté "cool" et "bonne présentation" des solutions proposées.

T.

Note: merci aux relecteurs :)


Commentaires (0)

Ajouter un commentaire