Signal : les responsables de l’application de messagerie affirment qu’ils ne feront aucun compromis sur le chiffrement
Alors que de nombreux gouvernements critiquent le chiffrement.
Alors que Signal estime qu’interdire le chiffrement serait irréaliste, dans la mesure où l’accès au chiffrement et son utilisation devraient favoriser le plein exercice du droit à la vie privée, de nombreux gouvernements critiquent le chiffrement et ont mis en place des mesures visant à empêcher ou à restreindre la possibilité pour des organisations de chiffrer des données. Des pays comme le Pakistan, l’Inde et Cuba interdisent le chiffrement et exigent des organismes une autorisation pour pouvoir utiliser des méthodes de chiffrement.
« Nous nous efforçons non seulement de préserver la confidentialité du contenu de vos messages et de vos interlocuteurs, mais aussi de collecter le moins de données possible tout en fournissant un service fonctionnel, déclare Meredith Whittaker est la présidente de Signal. Nous nous distinguons de nos concurrents par le fait que notre mission est de fournir une application privée et que nous ne sommes en aucun cas liés au modèle économique de la surveillance. Nous avons un modèle très différent et une mission très différente. »
Le gouvernement indien fait partie de ceux qui voient d’un mauvais œil le chiffrement, estimant qu’il ne fait que permettre aux criminels d’éviter la détection et de menacer la sécurité de la nation et du public. Pour certains analystes, bien que le gouvernement indien ait tort, cela ne l’a pas empêché d’essayer d’imposer des portes dérobées ou d’interdire purement et simplement les communications chiffrées.
Selon les chercheurs de Vectra, la plus grande menace de rançongiciels serait le chiffrement des fichiers cloud partagés. Dans un rapport, Vectra indique qu’en chiffrant les fichiers auxquels accèdent de nombreuses applications métier sur le réseau, les pirates obtiennent une économie d’échelle plus rapide et bien plus dommageable que le chiffrement de fichiers sur des périphériques individuels.
Composée de chercheurs sur les menaces, de scientifiques de données, d’ingénieurs en sécurité réseau et des concepteurs d’interface utilisateur, Vectra est l’un des leaders sur le marché des applications d’intelligence artificielle permettant de détecter en temps réel les cyberattaques dans les infrastructures de cloud, de centres de traitement des données et d’infrastructures informatiques.
En 2019, Google a annoncé sur son blog qu’elle expérimenterait le chiffrement TLS pour les communications DNS transitant sur son navigateur Chrome. L’objectif était d’améliorer la sécurité et la confidentialité en ligne, notamment en empêchant l’espionnage et l’usurpation d’identité. TLS utilise la cryptographie à clé publique afin de faciliter l’échange des clés de session. De nombreuses applications utilisent TLS pour l’authentification et le chiffrement.
Google n’est pas la seule organisation à avoir des projets de chiffrement. Mozilla avait également manifesté son désir d’utiliser cette technique pour sécuriser le DNS dans Firefox.
La tentative de Google de chiffrer n’avait pas été du goût des des FAI aux États-Unis. Dans une lettre au Congrès, des groupes du secteur des télécommunications ont déclaré que le projet de Google poserait des problèmes de concurrence. Cela est illustré par exemple par le fait que dans une lettre datée du 13 septembre, ladite Commission a demandé à Google des informations détaillées sur ses projets DNS-over-HTTPS (DOH), notamment si Google envisageait d’utiliser les données collectées via le nouveau protocole à des fins commerciales.
« Les FAI ne sont pas d’accord avec la norme simplement parce qu’ils veulent un accès continu aux données des utilisateurs », a déclaré Marshall Erwin, Senior Director of Trust and Security chez Mozilla. Un DNS non chiffré aide à cibler et à orienter les publicités sur le Web, a-t-il rappelé.
L’une des voies empruntées par le gouvernement indien pour justifier ses tentatives d’affaiblissement du chiffrement est la lutte contre la désinformation en ligne et les communications abusives. Une loi mise en place impose aux services chiffrés de collecter et de conserver les métadonnées relatives aux communications chiffrées, ce que certains services – comme WhatsApp – ne font pas actuellement. À la suite de cette décision, WhatsApp a intenté un procès au gouvernement indien au sujet de la loi de 2021, affirmant que le mandat – qui obligerait WhatsApp à collecter et à conserver toutes les métadonnées des messages à perpétuité (puisqu’il ne peut évidemment pas savoir à l’avance quelles informations le gouvernement viendra chercher) – viole les propres lois indiennes sur la vie privée.
Le gouvernement indien est maintenant allé encore plus loin. La législation proposée donnerait au gouvernement le pouvoir d’intercepter les messages chiffrés. De toute évidence, la capture est inutile contre le chiffrement de bout en bout, de sorte que ce nouveau pouvoir exigerait soit que les entreprises fournissent une assistance pour déchiffrer et/ou intercepter les messages, soit que les entreprises relevant du mandat désactivent au moins une extrémité du chiffrement de bout en bout afin que le gouvernement puisse écouter.
Signal a clairement fait savoir qu’elle ne se conformerait pas à des mandats l’obligeant à compromettre son chiffrement, ce qui signifie que la menace imminente du gouvernement indien de porter atteinte à la sécurité de ses citoyens ne restera que théorique s’il met en œuvre cette législation.
Signal, contrairement à WhatsApp revendique un but social
La Signal Foundation est une association à but non lucratif. L’application Signal Messenger est sous l’égide de cette organisation à but non lucratif et la fondation existe uniquement pour soutenir l’application de messagerie. Donc, en termes plus familiers, nous pouvons considérer Signal comme une organisation à but non lucratif. Cela signifie que Signal n’a pas d’actionnaires et qu’elle n’a pas de capitaux propres.
« Nous ne sommes donc pas structurellement incités à privilégier le profit et la croissance au détriment de notre mission principale. Et vous ne verrez pas arriver une sortie d’un milliard de dollars – nous n’attendons pas de devenir riches et de déménager sur un super yacht. Il s’agit donc d’une structure différente, d’un modèle différent », déclare Meredith Whittaker.
Signal compte sur un modèle de durabilité qui repose sur des dons et un modèle à but non lucratif, plutôt que de monétiser secrètement des données en arrière-plan ou de participer au modèle commercial de surveillance, qui est le paradigme dominant dans l’industrie technologique. « C’est le cas dans toute l’industrie technologique, mais pas vraiment dans le domaine de la messagerie. J’aimerais d’ailleurs insister un peu sur ce point. Il y a évidemment des services de messagerie qui scan tout ce que vous envoyez sur leur service et qui essaient ensuite de vous monétiser en fonction de ce que vous dites. Chaque fois que j’entends parler de ça, ça me paraît complètement fou, mais c’est leur univers », ajoute la présidente de Signal.
En revanche, les concurrents de Signal, comme iMessage et WhatsApp, prétendent être entièrement chiffrées. Évidemment, WhatsApp est la propriété de Facebook et il y a beaucoup de controverse à ce sujet. Il y a aussi un lien avec Signal, Brian Acton, qui était cofondateur de WhatsApp et qui fait maintenant partie du conseil d’administration de Signal. Ces services seraient intrinsèquement chiffrés.
WhatsApp utilise le protocole de chiffrement Signal pour fournir le chiffrement de ses messages. « C’était absolument un choix visionnaire que Brian et son équipe ont fait à l’époque – et je les félicite pour cela. Mais vous ne pouvez pas vous contenter de cela et vous arrêter à la protection des messages », indique la présidente de Signal Whittaker.
WhatsApp ne protège pas les métadonnées comme le fait Signal. Selon la présidente de Signal Whittaker, Signal ne sait rien de ses utilisateurs. Elle n’a pas les informations de profil et elle a introduit des protections de chiffrement de groupe. « Nous ne savons pas à qui vous parlez ni qui est membre d’un groupe. Nous avons fait tout notre possible pour minimiser la collecte de métadonnées », précise Whittaker.
En revanche, WhatsApp collecterait des informations sur le profil de ses utilisateurs, photo de profil, qui parle à qui, qui est membre d’un groupe. Ce sont des métadonnées puissantes. Il est particulièrement puissant – et c’est là que nous devons revenir à un argument structurel – pour une entreprise de collecter les données qui sont également détenues par Meta/Facebook. Facebook possède une quantité énorme, des volumes indescriptibles, d’informations intimes sur des milliards de personnes à travers le monde.
Il n’est pas anodin de souligner que les métadonnées de WhatsApp pourraient facilement être jointes aux données de Facebook, et qu’elles pourraient facilement révéler des informations extrêmement intimes sur les gens. Le choix de supprimer ou d’améliorer les protocoles de chiffrement est toujours entre les mains de Facebook ou Meta.
Signal, comme dit précédemment, est une organisation à but non lucratif. Elle n’aurait pas accès aux données comme Facebook. « Nous évitons d’avoir accès à ces données. Nous n’achetons pas, ne vendons pas et n’échangeons pas vos données. C’est un paradigme différent. Nous ne pouvons pas pointer du doigt WhatsApp, même si leur marketing est habile, et dire qu’il est vraiment sécurisé et privé. Tous ces détails nous amènent à conclure qu’il ne l’est pas. Eh bien, Signal existe uniquement dans ce but », déclare Meredith Whittaker.
Signal rend son code open source
Le protocole Signal et les principales primitives cryptographiques qu’elle utilise pour garantir la confidentialité et la sécurité sont ouverts à la consultation. Selon la présidente de Signal, des personnes ayant une formation et des compétences spécialisées ont consacré des milliers et des milliers d’heures à examiner le code Signal.
« Chaque fois qu’un nouveau morceau de code est déposé sur GitHub, il y a des gens dans les forums de la communauté Signal qui le regardent, le commentent et en déduisent les fonctionnalités qui pourraient en découler. Il existe une communauté active et vigilante qui vérifie les affirmations de Signal en les comparant au code et au protocole cryptographique que nous utilisons, encore et encore, déclare Whittaker. Notre protocole cryptographique n’est pas seulement utilisé par Signal. C’est ce que d’autres entreprises comme Facebook ont choisi d’utiliser parce que c’est le meilleur. »
Lire aussi : Signal déclare qu’elle quittera l’Inde si le gouvernement interdit les messageries cryptées
Sources : Developpez – Meredith Whittaker, president of Signal, talks in an interview
