Lorsqu’on traite un sujet comme la sécurité de l’information, je trouve qu’il est important de donner des exemples et des contre-exemples. Un article lu au gré du Web récemment m’a fait penser à quelques idées que j’aimerais partager ici avec vous. La devise de ce billet est « l’habit ne fait pas le moine », car en sécurité, ce n’est pas le paraître qui est important, c’est bien ce que l’on est, ce que l’on possède et ce que l’on sait qui est déterminant. Ainsi, on distingue deux types de sécurisation:

• La sécurisation du côté du client (vous): le client possède une clé de chiffrement permettant d’accéder aux informations et de les chiffrer (vous avez le contrôle sur vos informations)
• La sécurisation du côté du serveur: le serveur possède des clés de chiffrement vous permettant d’accéder aux informations que vous y avez placé de manière transparente lorsque vous vous authentifiez (le serveur a le contrôle sur vos informations)

La petite histoire de Skype

Le contre-exemple illustrant parfaitement cette image que j’ai envie de partager est celle d’un article traitant de la surveillance des conversations Skype. Depuis longtemps, j’apprécie le logiciel Skype. J’ai commencé à l’utiliser non loin de ses débuts et longtemps avant son acquisition par Microsoft. C’est un logiciel pratique, convivial et qui permet de discuter sur de longues distances avec des personnes, que ce soit de manière textuelle, vocale ou visuelle. Cela me permet entre autre de rester connecté avec des personnes que j’apprécie dans plusieurs pays différents, facilement.

Au début, Skype fonctionnait selon le modèle « pair-à-pair », c’est-à-dire que chaque individu était connecté par ses propres moyens, ses propres « tuyaux sur Internet », à d’autres personnes. Il ne dépendait d’aucun organisme, pas même Skype. Le logiciel pouvait ne plus être distribué qu’il aurait encore fonctionné pendant de belles années, si l’on exclus les potentielles failles de sécurité non corrigées. Bref, une belle réalisation.

Puis Microsoft a racheté Skype: le logiciel, les employés, la marque, tout. Là, on glissait déjà un peu vers le scandale provoqué par un certain consultant de la NSA qui est aujourd’hui recherché très activement par les USA pour avoir révélé à tout le monde ce que personne n’osait réaliser. J’ai commencé à voir ce rachat comme un mauvais signe, mais bon, rien de bien horrible jusque là.

C’est au moment où je me suis dit que je pourrais réutiliser ce logiciel que j’ai lu, quelque part sur Internet, que Microsoft était en train de centraliser Skype. Cela signifierait donc que les discussions des personnes, jusque là en pair-à-pair, allaient transiter vers plusieurs serveurs centraux (pouvant être arrêtés à tout moment par Microsoft). Le motif ? Améliorer la qualité du service, bien sûr ! Voilà une belle ânerie que tout le monde a gobé. Bien joué !

Dérive sécuritaire: la vraie et la fausse sécurité

Et vous savez quoi ? La suite logique est en train de continuer: désormais, vos conversations – qu’elles soient écrites, vocales ou visuelles – peuvent être épiées par Microsoft et donc par la NSA. Nous avons passé d’un mode presque sécurisé et entièrement autonome à un service centralisé, surveillé à notre insu et pouvant être arrêté comme MSN le fut il y a quelques temps maintenant. Pour pourrir un logiciel, je pense que je ne m’y serais pas pris mieux.

Mais voilà, l’histoire n’est pas totalement terminée pour autant, et c’est là que je vais rejoindre le début de mon article: Skype vous propose un service qualifié de « sécurisé », tout comme OneDrive et Dropbox sont censés chiffrer leurs données pour empêcher des personnes mal-intentionnées d’accéder à vos données. Seulement, le chiffrement se fait du côté du serveur, c’est-à-dire que les sociétés vous proposant leurs services possèdent eux-même les clés permettant de déchiffrer votre contenu. Cela leur permet de vous simplifier la vie, mais induit elle-même un problème lié à la confiance que vous avez en votre prestataire.

Pour faire un parallèle avec la vie réelle: feriez-vous confiance à votre architecte s’il vous donnait la clé de votre maison récemment construite et équipée d’une alarme dernier cri, tout en sachant qu’il possède un double ainsi qu’un code pour désamorcer l’alarme ? Moi non, même si c’est un ami qui vient arroser mes plantes le weekend lorsque je suis en ski !

Comment rejoindre un monde plus sûr

Pour les personnes qui, comme moi, auraient un problème de confiance envers ce genre de service vous offrant de la sécurité au rabais, je peux conseiller quelques équivalents à Skype qui, eux, offrent des prestations plus intéressantes sur le point de vue sécuritaire:

• Cryptocat, un petit plugin s’installant dans votre navigateur et permettant d’échanger avec n’importe quelle autre personne équipée du même programme
• Jitsi ou Pidgin couplés à un compte XMPP, pour ceux qu’un brin d’expérimentation ne rebute pas. L’installation d’un serveur XMPP n’est pas horriblement difficile, mais ça demande un petit temps d’adaptation et de configuration. Sinon, des serveurs sécurisés sont déjà nombreux sur Internet (comme dukgo.com)
• Prochainement, Mozilla sortira Firefox Hello, qui semble déjà prometteur et n’implique de disposer de Firefox que si vous envoyez des appels (sinon, un transfert de lien suffit)
• … et bien d’autres sont proposés sur l’excellent site Prism-Break.org qui tente de recenser/contrôler des applications libres et sécurisées

Source de l’image: Pixabay.