Ce que le lecteur de chiffrement E2E législatif de l’UE signifie pour votre vie privée

Si vous êtes l'un des 1,6 milliard d'utilisateurs de WhatsApp, vous utilisez déjà le cryptage de bout en bout (E2EE). Cette forme de communication sécurisée signifie que tout message que vous envoyez à quelqu'un ne peut être lu que par le destinataire – ces messages de discussion ne peuvent pas être interceptés par des tiers, y compris les gouvernements et les criminels.

Malheureusement, les criminels utilisent également le cryptage pour cacher leurs traces lorsqu'ils font des choses malveillantes, faisant des applications de messagerie sécurisées une cible de choix pour la réglementation gouvernementale. Dans l'actualité récente , le Conseil de l'Europe a rédigé une résolution pour réglementer l'E2EE, alors qu'il se dirige vers la Commission européenne pour sa forme finale.

La question est la suivante: sommes-nous sur le point de perdre notre vie privée sur les applications de messagerie?

Terror Spike pousse les engrenages de l'UE en marche

À la suite des récentes attaques en France et en Autriche, les Premiers ministres des deux pays, respectivement Emmanuel Macron et Sebastian Kurz, ont présenté le 6 novembre un projet de résolution du Conseil de l'Union européenne (CoEU) visant à réglementer le cryptage de bout en bout. les pratiques.

Le CoEU est l'organe de proposition qui définit l'orientation des politiques, tandis que la Commission européenne rédigera une législation applicable à partir de lui. Heureusement, en tant qu'ouverture législative, le projet de résolution n'est pas aussi problématique pour la vie privée qu'on pourrait s'y attendre:

  • La résolution ne fait aucune proposition spécifique pour une interdiction E2EE.
  • Il ne propose pas de mettre en œuvre des portes dérobées aux protocoles de chiffrement.
  • Il affirme l'adhésion de l'UE à des droits de cryptage et de confidentialité solides.
  • Il sert d'invitation aux experts à explorer pleinement les mesures de sécurité dans le cadre de la «sécurité malgré le cryptage».

Cependant, la résolution propose une approche ciblée:

«Les autorités compétentes doivent pouvoir accéder aux données de manière licite et ciblée, dans le plein respect des droits fondamentaux et du régime de protection des données, tout en respectant la cybersécurité.»

Étant donné la tendance des gouvernements à élargir l'éventail des cibles valides, cela pourrait également inclure des manifestations légales. Dans le cas de la France, cela pourrait être le mouvement des Gilets jaunes, qui a été forcé de quitter Facebook pour accéder à une application Telegram sécurisée.

Fait intéressant, Telegram était la même application que la Russie avait interdite car l'équipe de développement refusait de créer une porte dérobée pour le gouvernement. La Cour européenne des droits de l'homme (CEDH) de l'UE a jugé une telle interdiction comme une violation flagrante de la liberté d'expression. La décision a porté ses fruits lorsque la Russie a levé l'interdiction de télégramme de deux ans .

La décision sur les télégrammes de la CEDH sert-elle de sauvegarde future?

Malheureusement, cela ne semble pas être le cas. En 2019, la CEDH a statué que la libre expression autour du thème de l'Holocauste ne constituait pas un droit de l'homme. Dans le même temps, le tribunal a statué que la même liberté d'expression sur le thème du génocide arménien constituait un droit de l'homme à la liberté d'expression. Ces décisions incohérentes révèlent que la CEDH ne respecte pas les normes universelles.

Le projet de résolution de l'UE vous concerne-t-il?

Si vous craignez que WhatsApp, Telegram, Viber et d'autres applications E2EE vous exposent soudainement à des pirates et des mineurs de données, ne le soyez pas. Au sein de l'UE, nous avons probablement affaire à une solution hybride, dans laquelle les services répressifs doivent fournir aux tribunaux un raisonnement suffisant pour envahir la vie privée.

D'un autre côté, dans la sphère Five Eyes, il semble y avoir une poussée massive pour légiférer sur les portes dérobées dans les applications de messagerie E2EE. Le refoulement des citoyens et des ONG telles que Electronic Frontier Foundation sera essentiel pour éviter une législation aussi restrictive sur la cryptographie.

Connexes: Qu'est-ce que la surveillance «cinq yeux»?

La pente glissante des gouvernements réglementant la cryptographie

Ce n'est un secret pour personne que les nations du monde entier sont désireuses de saper la vie privée des citoyens au nom de la prétendue sécurité nationale. Cette charge est généralement menée par l' alliance de renseignement Five Eyes . Ils cherchent à mettre en œuvre l'approche la plus large – obligeant les développeurs de logiciels à intégrer des portes dérobées dans leurs applications . Cela permettrait aux gouvernements et aux entreprises de technologie d'accéder à toutes les données privées à volonté.

Bien que les gouvernements déclarent rhétoriquement qu'ils ont mis en place des garanties contre les abus, leurs antécédents sont loin d'être excellents. Comme l' ont révélé les fuites de Snowden , ils ne semblent pas scrupuleux dans leur perception du droit des citoyens à la vie privée et à la prévention des abus. De plus, les portes dérobées sont facilement exploitées par les cybercriminels, ce qui entraîne de graves dommages économiques et une érosion de la confiance.

Les portes dérobées obligatoires ne sont pas encore une réalité, mais les gouvernements peuvent utiliser un puissant arsenal de persuasion à tout moment où un acte criminel / terroriste se produit. Par conséquent, les gouvernements ont un élan constant pour éroder les protections de la vie privée, arguant que:

  • Les terroristes / criminels ont le même accès aux protocoles de communication cryptés que les citoyens respectueux des lois.
  • Par conséquent, les protocoles de communication cryptés doivent être sapés pour le bien des citoyens respectueux des lois.

Essayer de trouver un équilibre entre les deux est un processus continu, récemment mis en lumière par les États membres de l'UE.

Pourquoi le cryptage E2E est-il important?

Lorsque les gens ne veulent pas penser aux conséquences de l'état de surveillance, ils recourent souvent à l'argument de base:

"Je n'ai rien à cacher."

Malheureusement, l'adhésion à une telle naïveté ne met pas votre vie à l'abri des abus. Comme l'a démontré lescandale des données Facebook-Cambridge Analytica , il faut traiter ses données personnelles avec autant de rigueur que l'on protégerait la propriété de son domicile. Lorsque vous êtes dépouillé des protocoles de chiffrement E2E, vous créez un environnement qui nourrit:

  • L'autocensure comme état d'esprit.
  • Piratage et chantage.
  • Incapacité d'être un dissident politique efficace ou un journaliste.
  • Les entreprises et les gouvernements utilisent votre profil psychologique contre vous.
  • Rendre les gouvernements moins responsables de leurs politiques négatives.
  • Incapacité à protéger efficacement la propriété intellectuelle.

Tout comme les criminels ont un accès facile aux armes à feu, malgré son interdiction et son contrôle strict à travers le monde, les criminels achèteraient également d'autres méthodes de communication. Simultanément, saper l'E2EE rendrait les entreprises et les particuliers vulnérables à un large éventail d'abus.

Quelles sont les options E2EE dont vous disposez?

Les portes dérobées dans les applications de messagerie peuvent se produire de trois manières:

  1. Accidentellement par un mauvais codage, qui est ensuite corrigé lorsque la vulnérabilité est découverte.
  2. Intentionnellement par des agences gouvernementales exerçant une pression interne sur les entreprises.
  3. Intentionnellement et ouvertement par la législation.

Nous n'avons pas encore atteint le troisième scénario. En attendant, essayez de suivre ces consignes de sécurité lorsque vous choisissez une application de messagerie sécurisée:

  • Choisissez des applications qui ont une bonne réputation de résistance à la pression et qui sont très bien notées par les utilisateurs.
  • Si une option vous est proposée, choisissez un logiciel open source gratuit – applications FOSS. Ce sont des applications axées sur la communauté, donc la mise en œuvre de la porte dérobée serait rapidement révélée. Parfois, vous trouverez également ces applications sous l'acronyme FLOSS – logiciel open source gratuit / libre.
  • Lorsque vous utilisez la messagerie électronique, essayez d'utiliser des plates-formes de messagerie avec les protocoles de chiffrement PGP ou GPG.

En tenant compte de ces facteurs, voici quelques bonnes applications de messagerie E2EE open source:

Signal

Galerie d'images (3 images)

Signal est devenu un favori parmi de nombreux utilisateurs soucieux de leur confidentialité, et pour de bonnes raisons. Il utilise Perfect Forward Secrecy (PFS) pour tous les types de messages: texte, audio et vidéo. Signal ne consigne pas non plus votre adresse IP, tout en vous donnant la possibilité d'envoyer des messages d'autodestruction. Sur les appareils Android, vous pouvez même en faire une application par défaut pour vos SMS.

Cependant, Signal nécessite l'inscription d'un numéro de téléphone, en plus de ne pas fournir d'authentification à deux facteurs (2FA). Dans l'ensemble, cette application de messagerie conforme au RGPD disponible pour toutes les plates-formes n'a pas encore été dépassée.

Télécharger : Signal pour Android | iOS | Windows (gratuit)

Session

Galerie d'images (3 images)

Une émanation de Signal (un fork), Session vise à avoir des fonctionnalités de sécurité encore plus redoutables que Signal. À cette fin, il a intégré toutes les fonctionnalités de Signal, mais a laissé de côté l'exigence d'avoir un numéro de téléphone ou un e-mail pour l'inscription. Il n'enregistre pas de métadonnées ni d'adresses IP, mais il ne prend toujours pas en charge 2FA.

Son développement open source est toujours en cours, vous pouvez donc rencontrer des bogues. De plus, son protocole Onion Routing, utilisé par le navigateur Tor, est également en cours de développement.

Télécharger : Session pour Android | iOS | Mac | Windows | Linux (gratuit)

Bruyère

Briar complètement décentralisée est l'une des dernières applications FOSS avec les protocoles de messagerie E2EE. Exclusif à la plate-forme Android, Briar est la solution incontournable pour ceux qui s'inquiètent d'un serveur stockant leurs messages. Briar rend cela impossible en utilisant des protocoles peer-to-peer (P2P). Cela signifie que seuls vous et le destinataire pouvez stocker les messages.

De plus, Briar ajoute une couche supplémentaire de protection en utilisant le protocole Onion (Tor). Vous n'avez pas besoin de fournir d'informations pour commencer à utiliser Briar, à l'exception du nom du destinataire. Cependant, si vous changez d'appareil, tous vos messages ne pourront plus être obtenus.

Téléchargement : Briar pour Android (gratuit)

Câble

Galerie d'images (3 images)

Tout en restant open source, Wire est destiné à la messagerie et au partage de groupe, ce qui le rend idéal pour les environnements professionnels. Ce n'est pas gratuit sauf pour les comptes personnels. Parallèlement aux protocoles E2EE, Wire utilise Proteus et WebRTC avec PFS, en plus de la messagerie auto-effaçable.

Wire nécessite soit un numéro de téléphone / e-mail pour s'inscrire, en plus d'enregistrer certaines données personnelles. Il ne prend pas non plus en charge 2FA. Néanmoins, sa conformité au RGPD, sa nature open source et ses algorithmes de cryptage haut de gamme en font un outil idéal pour les entreprises.

Télécharger : Wire pour Android | iOS | Mac | Web | Linux (gratuit)

Vous n'êtes pas sans défense contre le retournement de la marée

En fin de compte, même si les gouvernements interdisent complètement l'E2EE ou imposent des portes dérobées, les criminels trouveraient d'autres méthodes. D'un autre côté, les citoyens les moins engagés accepteraient simplement le nouvel état des choses: la surveillance de masse. C'est pourquoi nous devons faire preuve de prudence et toujours repousser pour préserver notre droit humain fondamental à la vie privée.