Depuis l’alerte lancée par Edward Snowden contre les procédés de la NSA (National Security Agency), chaque jour révèle un nouveau procédé par lequel elle parvient à démolir la protection des données personnelles sur Internet. Ni Skype ni les banques ne peuvent protéger les données de leurs clients, même si quelques systèmes résistent encore.
C’est au Chaos Communication Congress de Hambourg que deux journalistes américains, Jacop Appelbaum et Laure Poitras ont présenté des documents montrant que toute communication cryptée est considérée comme une menace par la NSA et par les services britanniques. Ils dépensent beaucoup de temps et d’énergie pour venir à bout des codes mathématiques qui protègent la sécurité de la circulation des données sur les autoroutes de l’information.
La NSA s’inquiète du cryptage généralisé sur Internet
Résultat : de nombreux systèmes réputés « sûrs » pour la protection des données personnelles le sont bien moins qu’on ne le pense. Ainsi les conversations vidéo sur Skype ont-elles commencé à faire l’objet de « collectes » depuis février 2011, selon des documents fuités par Snowden et analysés par les deux journalistes. Il n’aura fallu que six mois à la NSA pour abattre les défenses du réseau de communication et malgré les assurances contraires de Microsoft lors de l’acquisition de Skype selon lesquelles les autorités ne se verraient pas fournir un accès facile aux données qui circulent, la NSA peut y accéder sans grande difficulté. Par ailleurs Skype peut être contraint de fournir des informations et servir de base de données pour l’agence.
Ce qui inquiète la NSA, aux termes d’une note interne, c’est la démocratisation du cryptage : naguère réservé aux documents sensibles de ceux qui avaient les moyens de payer ces défenses coûteuses, il est aujourd’hui utilisé par de très nombreux programmes – et bien sûr par les sociétés commerciales qui protègent les données bancaires des clients lors de paiements en ligne.
Protection des données personnelles : des systèmes meilleurs que d’autres
Vieilles de deux ans, les données étudiées par les journalistes montrent quand même que certains systèmes de cryptage sont particulièrement difficiles à contourner et ils estiment peu probable que la NSA ou un autre service d’espionnage ait pu en venir à bout.
Parmi les systèmes efficaces, les journalistes citent le réseau Tor qui permet une navigation anonyme : en répartissant les données sur une multitude d’ordinateurs il rend quasi impossible l’identification et la localisation des internautes. Des services de courriel comme Zoho sont également efficaces, assurent-ils, ainsi que Truecrypt qui permet d’encrypter des fichiers sur des ordinateurs. Les programmes « Opensource » où des modifications peuvent être apportées de manière participative sont aussi mieux protégés que les programmes « fermés » d’Apple ou Microsoft : il en va ainsi du protocole OTR (« Off the Record »). La combinaison de ces systèmes permet même de rendre des conversations téléphoniques par internet quasiment inviolables.
Un hacking général dont Skype et les banques sont déjà victimes
Combien de temps cela durera-t-il ? Une seule chose est sûre : la NSA et quelques autres travaillent d’arrache-pied pour avoir accès à tout. Quant aux transactions « sécurisées », on s’aperçoit qu’elles ne le sont guère. Selon les journalistes qui ont travaillé sur les documents lâchés par Snowden, la NSA avait dès 2012 pour objectif de « hacker » 10 millions de connexions https par jour avant la fin de cette année-là.
A l’heure où les utilisateurs d’internet sont de plus en plus encouragés à conserver leurs données dans le « cloud » – l’informatique en nuage – il y a sans doute de bonnes raisons de ne pas se montrer enthousiaste. Sans perdre de vue que ce que peut la NSA, d’autres services le peuvent sans doute aussi.