Le mouvement social de 2023 autour de la réforme des retraites remet au centre des questionnements la protection de la vie privée sur internet. Etant donné que nous fournissons un système de tchat Matrix, et des passerelles vers WhatsApp et Signal, il nous a paru judicieux de nous intéresser un peu à la sécurité de ces moyens de communication.
Plutôt que de réinventer la roue, nous résumons ici la traduction de l'article paru sur It’s Going Down (par Christophe Masutti et Révision Framalang), le 06 oct. 2022 : The Guide to Peer-to-Peer, Encryption, and Tor : New Communication Infrastructure for Anarchists.
Modèle de menace et avertissements
On ne peut pas parler de protection sur internet sans évoquer le modèle de menace. Il s'agit de définir les acteurs qui nous sont potentiellement hostiles, par exemple des proches en conflit ou malveillant, des opposants politiques, ou des malfaiteurs. Un enfant, une adolescente, une femme ou un homme peuvent être victime de harcèlement ou vouloir protéger sa vie privée face à un membre de la famille. On peut également vouloir se protéger du capitalisme de surveillance travaillant main dans la main avec les organes de la surveillance étatique. En effet, sous prétexte de lutte contre le terrorisme, un nombre de lois important nous prive de nos libertés fondamentales.
Malgré le chiffrement de bout en bout qui dissimule le contenu des messages en transit, ces acteurs hostiles disposent de nombreuses ressources pour violer notre vie privée. Il s’agit des ressources suivantes :
- Ils ont un accès facile aux sites de médias sociaux et à toute autre information publique.
- Dans certains cas, ils peuvent surveiller l’ensemble du trafic internet du domicile d’une personne ciblée ou de son téléphone.
- Ils peuvent accéder à des données ou à des métadonnées « anonymisées » qui proviennent d’applications, d’opérateurs de téléphonique, de fournisseurs d’accès à Internet, etc.
- Ils peuvent accéder au trafic réseau collecté en masse à partir des nombreux goulots d’étranglement de l’infrastructure internet.
- Avec plus ou moins de succès, ils peuvent combiner, analyser et corréler ces données et ce trafic réseau afin de désanonymiser les utilisateurs, de cartographier les réseaux sociaux ou de révéler d’autres informations potentiellement sensibles sur des individus ou des groupes et sur leurs communications.
- Ils peuvent compromettre l’infrastructure de l’internet (FAI, fournisseurs de services, entreprises, développeurs d’applications) par la coercition ou le piratage1.
Le choix d'une messagerie appropriée vise à atténuer les menaces sus-mentionnées que représentent les hostiles, mais il en existe bien d’autres qui ne peuvent pas être abordées ici :
- Ils peuvent infecter à distance les appareils des personnes ciblées avec des logiciels malveillants d’enregistrement de frappe au clavier et de pistage, dans des cas extrêmes.
- Ils peuvent accéder à des communications chiffrées par l’intermédiaire d’informateurs confidentiels ou d’agents infiltrés.
- Ils peuvent exercer de fortes pressions ou recourir à la torture pour contraindre des personnes à déverrouiller leur téléphone ou leur ordinateur ou à donner leurs mots de passe.
- Bien qu’ils ne puissent pas casser un système de chiffrement robuste dans un délai raisonnable, ils peuvent, en cas de saisie, être en mesure d’obtenir des données à partir d’appareils apparemment chiffrés grâce à d’autres vulnérabilités (par exemple, dans le système d’exploitation de l’appareil) ou de défaillances de la sécurité opérationnelle.
Toute méthode de communication sécurisée dépend fortement des pratiques de sécurité de l’utilisateur. Peu importe que vous utilisiez l’Application de Tchat Sécurisée Préférée d’Edward Snowden TM, si l'hostile a installé un enregistreur de frappe sur votre téléphone, si votre conjoint.e ou vos parents vous espionnent, si quelqu’un partage des captures d’écran de vos messages chiffrés sur Signal, ou encore si votre téléphone a été saisi et n’est pas correctement sécurisé.
Une explication détaillée de la sécurité opérationnelle, de la culture de la sécurité, des concepts connexes et des meilleures pratiques peut être trouvée ici ou là
La « cybersécurité » évolue rapidement : il y a une guerre d’usure entre les menaces et les développeurs d’applications. Les informations fournies ici seront peut-être obsolètes au moment où vous lirez ces lignes. Les caractéristiques ou la mise en œuvre des applications peuvent changer, qui invalident partiellement certains des arguments avancés ici (ou qui les renforcent). Si la sécurité de vos communications électroniques est cruciale pour votre sécurité, vous ne devriez pas vous croire sur parole n’importe quelle recommandation, ici ou ailleurs.
Les problèmes de Signal
Outre les problèmes liés au serveur centralisé et non libre évoqués dans notre article précédent, Signal est l'une des Applications de Tchat Sécurisées Préférées d’Edward Snowden TM. Elle fut un temps réputée adaptée pour les lanceurs d'alerte. Pourtant, les comptes Signal nécessitent un numéro de téléphone. Et ce numéro est également divulgué à toute personne avec laquelle vous vous connectez sur Signal. En outre, il est très facile de déterminer si un numéro de téléphone donné est lié à un compte Signal actif. Il existe des solutions pour contourner ce problème, mais elles impliquent toutes d’obtenir un numéro de téléphone qui n’est pas lié à votre identité afin de pouvoir l’utiliser pour ouvrir un compte Signal. En fonction de l’endroit où vous vous trouvez, des ressources dont vous disposez et de votre niveau de compétence technique, cette démarche peut s’avérer peu pratique, voire bien trop contraignante.
Moxie, le fondateur de Signal, a également expliqué que les numéros de téléphones et le carnet de contacts sont utilisés afin que Signal n'ait pas à maintenir une sorte de réseau social en votre nom. Il vous appartient dès lors de conserver ou non votre carnet de contact si vous changez de téléphone. Vous restez maître de votre « graphe social ». Pour Moxie et une bonne portion de la population, il semble qu’avoir à « redécouvrir » ses contacts régulièrement soit un inconvénient. Pourtant, cela devrait être considéré comme un avantage d’avoir à maintenir intentionnellement notre « graphe social » basé sur nos rencontres, affinités, nos désirs et notre confiance de la semaine, du mois, ou de l'année. Plutôt que de laisser les algorithmes des GAFAM prétendre le gérer à notre place.
Dernière anecdote sur l’utilisation des numéros de téléphone par Signal : Signal dépense plus d’argent pour la vérification des numéros de téléphone que pour l’hébergement du reste du service : 1 017 990 dollars pour Twillio, le service de vérification des numéros de téléphone, contre 887 069 dollars pour le service d’hébergement web d’Amazon.
La communication Pair-à-Pair
La communication pair-à-pair offre une grande résistance à la collecte de métadonnées. Il n’y a pas de serveur central, géré par un tiers, qui traite chaque message auquel des métadonnées peuvent être associées. Chaque connexion directe s’appuie directement sur les protocoles standards de l’Internet. Il est plus difficile pour un acteur hostile de collecter en masse des métadonnées sur l'internet dans sa globalité, que de surveiller le trafic entrant et sortant de quelques serveurs centraux connus. Il n’y a pas non plus de point de défaillance unique. Tant qu’il existe une route sur Internet pour que vous et votre amie puissiez vous connecter, vous pouvez discuter.
La communication pair-à-pair est synchrone, comme le téléphone sans répondeur, ce qui peut être vu comme un défaut éliminant par rapport aux tchats grand public. Les applications des deux personnes doivent être actives et connectées en même temps pour pouvoir échanger des messages. Il faut dès lors prendre l’habitude de prévoir des horaires pour discuter. C'est envisageable pour une discussion à quelques personnes, mais devient compliqué pour une discussion de groupe plus large. Paradoxalement, la normalisation de la communication asynchrone a entraîné le besoin d’être toujours en ligne et réactif. La communication synchrone encourage l’intentionnalité de nos communications, en les limitant aux moments où nous sommes réellement en ligne, au lieu de s’attendre à être en permanence plus ou moins disponibles. Néanmoins le besoin pour un deuxième moyen de communication synchrone en plus du téléphone et de la visio est questionnable.
Les communications pair-à-pair laissent inévitablement filtrer un élément particulier de métadonnées. Toute personne que vous avez ajoutée en tant que contact ou à qui vous avez confié votre identifiant (ou toute personne hostile ayant réussi à l’obtenir) peut savoir si vous êtes en ligne ou hors ligne à un moment donné. Il n'y a pas de synchronisation entre plusieurs appareils. Chaque appareil a un compte disctinct, ce qui peut permettre de mieux compartimenter nos interactions.
Tor contre la surveillance et l'identification
Bien que la communication pair-à-pair soit très résistante aux métadonnées et évite d’autres écueils liés à l’utilisation d’un serveur central, elle ne protège pas à elle seule contre la collecte de métadonnées et l’analyse du trafic dans le cadre du « Big Data ». Les applications CPT (Chiffrées en Pair-à-pair via Tor), telles que Briar ou Cwtch, permettent d’établir des connexions directes pair-à-pair pour échanger des messages par l’intermédiaire de Tor. Il est donc beaucoup plus difficile de vous observer de manière ciblée ou de vous pister et de corréler vos activités sur Internet, de savoir qui parle à qui ou de faire d’autres analyses. Il est ainsi bien plus difficile de relier un utilisateur donné d’une application CPT à une identité réelle. Tout ce qu’un observateur peut voir, c’est que vous utilisez Tor. A priori c'est le meilleur moyen pour se rapprocher de l'anonymat sur internet.
Tor n’est pas un bouclier à toute épreuve et des failles potentielles ou des attaques sur le réseau Tor sont possibles. Aussi, il faut souligner que dans certaines situations, l’utilisation de Tor peut vous singulariser. Si vous êtes la seule à utiliser Tor dans une région donnée ou à un moment donné, vous pouvez vous faire remarquer. Mais il en va de même pour toute application peu courante. Le fait d’avoir Signal sur votre téléphone peut également vous démarquer. Plus il y a de gens qui utilisent Tor, plus ils sont protégés, qu'ils soient néo-nazis ou militants pour la protection des droits de l'homme.
Enregistrement pseudonyme ou anonyme
Certaines applications ne réclament pas de numéro de téléphone pour l’enregistrement d’un compte, mais simplement un identifiant. Pour les applis CPT, votre compte est créé localement sur votre appareil et l’identifiant du compte est une très longue chaîne de caractères aléatoires que vous partagez avec vos amis pour qu’ils deviennent des contacts. Pour IRC, Matrix ou XMPP, l'identifiant est un pseudo sur un serveur donné. Vous pouvez facilement utiliser ces applications sur un ordinateur, sur un téléphone sans carte SIM ou sur un téléphone mais sans lien direct avec votre numéro de téléphone.
Conclusion de l'article résumé
Toute cette discussion a porté sur les applications de communication sécurisées qui fonctionnent sur nos téléphones et nos ordinateurs. Le mot de la fin doit rappeler que même si l’utilisation d’outils de chiffrement et d’anonymisation des communications en ligne peut vous protéger contre vos acteurs hostiles, vous ne devez jamais saisir ou dire quoi que ce soit sur une application ou un appareil sans savoir que cela pourrait être interprété devant un tribunal. Rencontrer vos amis face à face, en plein air et loin des caméras et autres appareils électroniques est de loin le moyen le plus sûr d’avoir une conversation qui doit être sécurisée et privée. Éteignez votre téléphone, posez-le et sortez !
De nombreux lecteurs se disent peut-être : « Les applications CPT ne semblent pas très bien prendre en charge les discussions de groupe… et j’adore les discussions de groupe ! »… Signal, Cwtch et Briar vous permettent tous les trois d’organiser facilement un groupe en temps réel (synchrone !) pour une réunion ou une discussion collective rapide qui ne pourrait pas avoir lieu en présentiel. Mais lorsque les gens parlent de « discussion de groupe » (en particulier dans le contexte de Signal), ils copient l'usage qu'ils avaient sur WhatsApp et avant sur Facebook, et s'apparente donc à un réseau social. La diminution de l’utilité et de la sécurité selon l’augmentation de la taille, de la portée et de la persistance des groupes Signal a été bien décrite dans l’excellent article Signal Fails. Plus un groupe de discussion s’éloigne de la petite taille, du court terme, de l’intention et de l’objectif principal, plus il est difficile à mettre en œuvre avec Briar et Cwtch — et ce n’est pas une mauvaise chose. Briar et Cwtch favorisent des habitudes plus saines et plus sûres, sans les « fonctionnalités » de Signal qui encouragent la dynamique des discussions de groupe critiquée.
Notre conclusion
Signal, XMPP, Matrix ou encore les messageries CPT, les débats ne manquent pas sur la "meilleure" messagerie à adopter en alternative à l'hégémonique Whatsapp. En réalité, chaque messagerie a été développée avec un cas d'usage bien particulier où elle excelle. Dans notre prochain article, nous analysons les cas d'usage (militant et autres), et essayons d'identifier la messagerie la plus adaptée.