Crypter vos données confidentielles

Privacy

Big brother is watching you!

Peut-être pensez-vous que le courrier électronique que vous recevez est assez légitime pour que le chiffrement ne se justifie pas. Si vous êtes vraiment un citoyen au dessus de tout soupçon, pourquoi n’envoyez-vous pas toujours votre correspondance papier sur des cartes postales ? Pourquoi ne vous soumettez-vous pas aux tests de consommation de drogue sur simple demande ? Pourquoi exigez-vous un mandat de perquisition pour laisser la police fouiller votre maison ? Essayez-vous de cacher quelque chose ? Si vous cachez votre courrier dans des enveloppes, cela signifie-t-il que vous êtes un [élément] subversif ou un trafiquant de drogue, ou peut-être un paranoïaque aigu ? Est-ce que les citoyens honnêtes ont un quelconque besoin de chiffrer leurs e-mails ?

(...)

Si l'intimité est déclarée hors-la-loi, seuls les hors-la-loi auront une intimité.

(...)

PGP donne aux gens le pouvoir de prendre en main leur intimité. Il y a un besoin social croissant pour cela. C’est pourquoi je l’ai créé.

Philip Zimmermann, jeudi 3 janvier 2002

8 ans plus tard, les lois Patriot Act américaine, Hadopi et Lopsi françaises publiquement présentées comme des solutions à la cyber-criminalité et au cyber-délit ne rendent que plus réaliste cette situation.

Cet article vous présente pourquoi crypter vos données privées.

Pourquoi sécuriser ses données si je ne fais rien d'illégal ?

Xenon a écrit en 1993 une réponse célèbre à cette question, réplique totalement d'actualité dans le cadre du lobbying mené par quelques industriels en France et relayé par le gouvernement Sarkozy dans le cadre de la loi Hadopi.

Un crime ?

Si vous n'êtes pas un politicien, un chercheur, un investisseur, un dirigeant, une célébrité, un militant des droits de l'Homme dans un société répressive ou une personne qui s'amuse et envoie des emails au sujet de votre vie sexuelle, vos finances, vos opinions politiques, des lois qui vous régissent, vos compétences scientifiques, alors peut-être n'avez-vous pas besoin de PGP.

Mais prenez conscience que le respect de la vie privée n'a rien d'un crime mais qu'elle évite que le monde moderne ne tombe en pièce.

L'espionnage est pourtant une pratique séculaire qui n'est pas en voie d'extinction. Au grand dam de la Déclaration Universelle des Droits de l’Homme, article 12 :

nul ne sera l’objet d’immixtions arbitraires dans sa vie privée, sa famille, son domicile ou sa correspondance, ni d’atteintes à son honneur et à sa réputation

Voici les sources de violations de votre vie privée les plus courantes.

Espionnage par vos collègues

Reuters a rendu publique une enquête d'une société de sécurité informatique menée cet été 2009. La société Cyber-Ark a interrogé plus de 400 administrateurs techniques aux États-Unis et en Grande-Bretagne.
35% d'entre eux ont admis espionner régulièrement les données de leurs collègues et 74% ont reconnus avoir accès à des informations ne relevant pas de leurs responsabilités. Soit une progression de 50% par rapport à l'enquête de l'année précédente.

Les données les plus prisées sont les informations des ressources humaines, les fichiers des clients, les projets de fusions et acquisitions, les listes de licenciements.

Et en France ? Une loi dit depuis 2003 que l'ajout du mot PRIVE en en-tête des documents et emails personnels émis depuis votre entreprise permet de différencier l'utilisation des moyens de votre entreprise à des fins privées des données de l'entreprise. Ouf, vous voilà à l'abri ! ;)

Délai légal de conservation des échanges électroniques

A date, la durée de conservation des échanges électroniques, incluant la téléphonie mobile, est fixée en France à 1 an.
Ainsi sur ordonnance judiciaire, la police peut réclamer les logs d'accès à Google, SFR, Yahoo!, Free, AOL... de leurs sites web, leurs serveurs de mails... afin d'identifier précisément un coupable et son délit. A défaut, ces entreprises deviennent responsables. Cette loi est également applicable aux blogs des particuliers depuis 2007.

La conséquence de cette loi est que les grands acteurs Internet conservent un an de log de leurs serveurs. Les données contenues dans ces logs sont une mine d'informations personnelles, bien souvent non sécurisée. Vous pourrez y trouverez des IP, des dates, des comptes, des mots de passe, des données privées ou sensibles...

Profilage par les entreprises Internet

Google, moteur de recherche utilisé par 90% des Français, conservent vos données personnelles pendant 18 mois. Chaque visite d'un site qui utilise Google Analytics, Google Adsense, chaque accès à un site via Google Search, permet à ce géant de collecter vos habitudes et de vous profiler avec une grande précision.

Pour rendre à César ce qui lui appartient, Google n'est pas la seule entreprise dont le business model repose sur l'exploitation de vos données privées. D'autres sociétés fonctionne sur le même principe et croisent vos habitudes sur Internet et dans le monde réel. Redoutable !
L'accès à ces données est en vente libre. Avez-vous entendu parler des spécialistes du ciblage comportemental ?

Dérive des lois liberticides type Patriot Act ou Hadopi

Le site cryptome.org s'était spécialisé dans la publication des documents internes des grandes compagnies.
Par exemple, voici la grille tarifaire attribuée à Yahoo!, à destination des agences de renseignements gouvernementales.

Suite à un procès perdu, pour diffusion de documents confidentiels, le site a été fermé.

Wikileads navigue aujourd'hui dans les mêmes eaux.

Ainsi, la firme propose aux services de polices américaines l'accès aux coordonnées d'un internaute, aux contenus de sa boîte mail, à ses recherches sur le web, ses messages instantanés, ses photos publiées sur Flickr, ou encore ses contributions sur les forums Yahoo Group.
Ces pratiques répondent simplement à la loi Patriot Act. Toutes les entreprises qui travaillent sur le territoire américains y sont soumis, Google inclus...

La loi Hadopi a été médiatisée en 2009 en France autour de la lutte pour le respect des droits d'auteurs, sujet qu'elle ne traite pas du tout dans les faits.
Par contre, cette loi assimile une adresse Internet à une personne physique et autorise la collecte de toutes les informations qui transitent ou concernent (probablement) cette adresse IP. A l'heure du tout numérique, cette loi légalise la mise sur écoute permanente et sans ordonnance de 100% de vos communications ni plus, ni moins : les sites Web consultés, vos chats, vos emails, votre vidéo-surveillance, vos conversations téléphonique (VOIP), vos émissions de télévision (VOD)...
Une loi digne d'une dictature dure et décalée par rapport aux besoins et aux réalités technologiques, qui promet d'être la source de nombre d'injustices et de violations de nos vies privées.

Comment protéger ses données sensibles ?

Les données privées les plus couramment volées et les plus sensibles sont vos emails, vos documents, vos communications téléphoniques et par messagerie électronique IM.
Je n'aborderai pas dans cet article la téléphonie. Sachez simplement que la VOIP simplifie le travail des mouchards et que la géolocalisation ou l'écoute des téléphones mobiles prennent le temps aux autorités habilitées d'envoyer un bon de commande aux opérateurs.
De même, je ne traiterai pas de l'utilisation de réseaux sécurisés et anonymes comme Freenet ou Tor. Ils ne se justifient que rarement dans nos démocraties. Gageons que cela durera.

Le plus simple est donc de crypter vos données. Paradoxalement, le cryptage est très peu répandu en France.

Le logiciel Open-Source GnuPG ou GPG de Philip Zimmermann, successeur de PGP, reste à mon avis le meilleur outil de cryptage de la décennie. L'utilisation de celui-ci est accessible au commun des mortels et permet de protéger les 3 types d'informations pré-citées.
Pour installer GPG, reportez-vous à l'article Utiliser GnuPG sous Linux Ubuntu.

Si vous préférez les interfaces graphiques, vous trouverez votre bonheur sur le site GnuPG.org.
Je vous recommande l'utilisation de l'extension Enigmail pour Thunderbird pour le cryptage de vos emails.
L'extension FireGPG pour Firefox vous permet de gérer le cryptage directement dans votre navigateur, pratique pour les comptes gmail, aolmail, freemail...
Seahorse gère vos fichiers locaux sous Ubuntu.
Pour les IM, Gajim client Jabber supporte GPG. Pidgin, IM multi protocoles, intègre la gestion des connexions cryptées via l'extension pidgin-encryption.
Quant aux environnements Microsoft, la boite à outils GPG4Win permet de profiter de GPG.

Le cryptage et la loi française

Avant 1996, le cryptage et l'outil GPG notamment était considéré en France arme de guerre.
De 1996 à 2004, l'utilisation de clés de cryptage de 128 bits a été autorisée.
Enfin le 21 juin 2004, l’utilisation des moyens de cryptologie a été libérée, article 30 de la loi 2004-575 ; libre pour les particuliers et mais encore soumis à déclaration préalable pour les entreprises.

La signature électronique est reconnue depuis le 13 mars 1990.

Code civil (art 1316-1) : l'écrit sous forme électronique est admis en preuve au même titre que l'écrit sur support papier, sous réserve que puisse être dûment identifiée la personne dont il émane et qu'il soit établi et conservé dans des conditions de nature à en garantir l'intégrité.

Le décret n° 2001-272 du 30 mars 2001, pris pour l'application de l'article 1316-4 du code civil et relatif à la signature électronique, définit les signatures électroniques :

  1. « Signature électronique » : une donnée qui résulte de l'usage d'un procédé répondant aux conditions définies à la première phrase du second alinéa de l'article 1316-4 du code civil ;
  2. « Signature électronique sécurisée » : une signature électronique qui satisfait, en outre, aux exigences suivantes :
    • être propre au signataire ;
    • être créée par des moyens que le signataire puisse garder sous son contrôle exclusif ;
    • garantir avec l'acte auquel elle s'attache un lien tel que toute modification ultérieure de l'acte soit détectable.

La signature électronique sécurisée introduit l'intervention d'un tiers de confiance, organisme reconnu fiable par l'État, par exemple la Banque de France, les Notaires de France.