Le chiffrement de données ayant pour but d’en protéger la confidentialité est utilisé depuis longtemps sur Internet dans toutes sortes de contextes, souvent sans que l’utilisateur n’en soit conscient. Par exemple, l’accès à des pages web contenant de l’information particulièrement sensible – disons votre site bancaire – est protégé automatiquement de la sorte. Avez-vous déjà remarqué un petit icône de cadenas sur la barre de navigation de votre fureteur? Sa présence signifie que la transmission avec ce site via SSL, un protocole de chiffrement largement utilisé.
Protéger ainsi l’information dans sa transmission est une application commune de la cryptographie (la science derrière les techniques de chiffrement), mais il y en a d’autres. Des technologies similaires peuvent être utilisées pour protéger la confidentialité de n’importe quel type de données. Les cybercriminels cherchant à cacher leurs agissements, les professionnels désirant protéger de l’information sensible de la vue de compétiteurs ou de pays étranger, ou les défenseurs des droits humains vivant dans la clandestinité ont tous pris conscience au cours des années de l’importance de comprendre et d’utiliser ces technologies pour leur propre sécurité. Suite aux révélations sur la NSA, c’est maintenant monsieur et madame tout le monde qui se sent concerné, pour toutes sortes de raisons.
Contre les menaces électroniques à la confidentialité de l’information, les technologies de chiffrement demeure le moyen technique le plus efficace et pour lequel nous avons un haut niveau de confiance. Du moins en théorie. Mais qu’en est-il de la pratique? Sont-elles réellement utilisées, particulièrement par les utilisateurs non professionnels? Le sont-elles efficacement?
Cet article du magazine Wired nous donne une partie de la réponse, du moins dans le contexte de l’écoute électronique de cybercriminels par les forces policières américaines. Les données sont intéressantes. En 2013, la police a procédé à 3500 opérations d’écoute électronique. Elle n’a observé l’utilisation du chiffrement que dans 41 cas sur ces 3500, ce qui est bien peu. Et dans 32 de ces 41 cas, elle a tout de même été en mesure de contourner la technologie en place et d’accéder à l’information, pour un total de seulement 9 utilisations fructueuses d’une technologie de chiffrement. L’article n’indique malheureusement pas la nature de ce contournement.
Il est indéniable que ces nombres sont appelés à augmenter dans les prochaines années alors que les questions de protection de l’information et de vie privée continuent à prendre de l’importance. On peut quand même se désoler non seulement de cette faible utilisation, mais de la fréquence avec laquelle les forces policières parviennent tout de même à la contourner. Ce n’est pas particulièrement surprenant dans le contexte où l’implantation pratique des technologies de chiffrement a toujours leurs talons d’Achille – de simples bogues qui ne sont pas présents dans les considérations théoriques peuvent venir bousiller l’implantation d’un protocole pourtant solide. Il n’y a pas meilleur exemple que Hearthbleed, un bogue dont nous avons discuté récemment ici, et qui affectait OpenSSL, une implantation du protocole SSL mentionné plus haut. Notez que l’article du Wired est avare de détails à ce niveau – il est tout aussi possible que les forces policières aient accès à d’autres indices pour faire avancer leur enquête, rendant inutile le déchiffrement du message codé.
Dans tous les cas, les technologies de chiffrement ont tendance à être trop difficiles à utiliser (et surtout à utiliser de façon sécuritaire) par le commun des mortels. Afin d’aider les utilisateurs communs à utiliser ces technologies, des outils spécialement adaptés pour eux voient le jour. Cet article en présente un. Je ne suis pas vraiment en mesure de le recommander – trop de détails peuvent rendre un produit intéressant complètement inutilisable dans la pratique. Mais si ce n’est pas lui, d’autres suivront. L’intérêt pour le chiffrement n’a jamais été aussi élevé, et beaucoup de gens veulent encourager leur utilisation par toutes sortes de moyens.
Cryptique César! 