Vous êtes dans : Accueil > Tribunes libres >

Le chiffrement de mails – Conclusions

Cédric Cartau, LUNDI 29 FéVRIER 2016

Dans une première partie1, nous avons examiné deux solutions de chiffrement de mails : le « roi » PGP, et la solution Asip Santé de messagerie sécurisée. Dans une deuxième partie2, nous avons décortiqué Apicrypt et BlueFiles. Un certain nombre de précisions s’imposent.  

Pour ce qui concerne PGP, certains lecteurs m’ont à juste titre fait remarqué que la solution avait été acquise par la société Symantec et que les modules de cryptage distribués par cette dernière étaient pour la plupart payants. C’est tout à fait exact. Il convient néanmoins de signaler un excellent article3 du journal Le Monde, lequel fait mention de l’initiative PEP (Pretty Easy Privacy), un add-on aux logiciels les plus courants de messagerie (Thunderbird entre autres), qui rend l’usage de PGP autrement plus simple que par le passé. Le magasin d’applicatifs de Thunderbird donne aussi accès à des modules du même acabit.

Pour ce qui concerne BlueFiles, il semblerait que la version payante ne soit pas desservie par les mêmes défauts que la version gratuite, mais nous n’avons pas pu la tester. Ce point reste donc à vérifier.

Mais l’aspect le plus important, en relation avec cette série d’articles, concerne l’actuel bras de fer entre Apple et les autorités américaines (FBI et NSA). Sous le prétexte d’une instruction en lien avec une entreprise terroriste, Apple est en effet sommé par le FBI de donner accès à l’iPhone d’un suspect. Seul hic : depuis l’affaire Snowden, la plupart des majors américaines (Amazon, Google, Apple), craignant à juste titre pour leur chiffre d’affaires, ont mis au point des dispositifs de cryptage dont ils ne détiennent pas eux-mêmes la clé (c’est l’utilisateur final qui la possède) et qui rendent impossible l’application de ce type d’injonction d’accès aux données (Patriot Act). Apple est donc dans l’impossibilité de donner un accès à l’iPhone, mais FBI et NSA contournent ce problème en demandant à la firme de fournir des API (interfaces de programmation) permettant de procéder à une attaque par force brute directement dans la mémoire de l’appareil. Traduction : vous ne pouvez pas nous donner accès à la mémoire de l’iPhone, donnez-nous la boîte à outils pour attaquer le dispositif. Cerise sur le gâteau, McAfee vient de proposer ses services au FBI pour pirater l’iPhone. On se demande si le responsable Marketing de McAfee a juste fumé un truc bizarre ou s’il a simplement envie de tuer sa boutique tant on connaît la réaction des consommateurs américains face aux grandes entreprises dans ce qu’ils estiment être une injustice.

Si FBI et NSA finissent par avoir gain de cause (on est à 50/50 dans les pronostics), deux conséquences en résulteront. D’abord, les majors finiront par mettre au point des protections contre ce type d’attaque par force brute ; ensuite, les utilisateurs les plus prudents (ou qui pratiquent le terrorisme) choisiront des mots de passe ultra-longs – ce qui reste la meilleure des protections. Mais surtout, la culture de la protection de nos propres données s’en trouvera renforcée, par tout moyen possible. Pas plus tard qu’il y a quelques jours, le Conseil constitutionnel a censuré l’un des dispositifs de l’état d’urgence en France, qui concernait précisément la saisie des données informatiques des particuliers, y compris celles qui auraient été chiffrées par leur propriétaire.

N’empêche, cette série d’événements livre une leçon : mieux vaut chiffrer ses données, même sans objectif précis. Accessoirement, il faudrait expliquer aux gratte-papier qui nous gouvernent que dans l’histoire de la lutte entre le chiffrement (le bouclier) et du déchiffrement (l’épée), c’est rarement l’épée qui obtient gain de cause sur le long terme : le manuscrit de Voynich4 (daté de 1639) n’a toujours pas été décrypté, et il se murmure que la CIA continue de tenter de déchiffrer des messages datant de la guerre froide !

1 http://www.dsih.fr/article/1835/le-chiffrement-de-mails-tour-d-horizon-de-quelques-solutions-partie-1.html 

2 http://www.dsih.fr/article/1850/le-chiffrement-de-mails-tour-d-horizon-de-quelques-solutions-partie-2.html 

http://www.lemonde.fr/pixels/article/2016/01/26/pretty-easy-privacy-le-chiffrement-automatique-par-defaut-pour-tous_4853782_4408996.html 

https://fr.wikipedia.org/wiki/Manuscrit_de_Voynich 

#asip#nsa##dsih