Au cours du premier semestre de cette année, nous avons écrit trois articles sur la sécurité des communications sur Internet, expliquant comment nous pouvons garantir la confidentialité, l'authentification et l'anonymat. La plupart des gens n'utilisent pas les méthodes avancées exposées en eux pour naviguer sur Internet de manière totalement anonyme, signer numériquement des e-mails ou crypter. Cependant, nous savons que les services Web qui exigent des mots de passe ou des numéros de compte courants, les services Web qui permettent l'envoi de courriels ou les programmes de téléconférence utilisent la cryptographie pour garantir la confidentialité de nos communications. Plus précisément, la cryptographie asymétrique ou la cryptographie à clé publique, considérée comme très sécurisée, est couramment utilisée, ce qui garantit que des tiers ne pourront pas détecter ces communications et accéder à nos informations.
N'importe quel tiers pas, mais les gouvernements ne sont pas n'importe qui. Ils ont plus de ressources et pas seulement informatiques. Au lieu d'essayer de briser ces méthodes cryptographiques, il est plus facile de les demander directement à ces services. L'ancien employé des agences d'information et de sécurité CIA et NSA des États-Unis, Edward Snowden a dévoilé le programme PRISM en mai de cette année aux quotidiens The Guardian et The Washington Post, démontrés avec quelques transparences internes de NSA, qui ont été publiées en juin. Ce programme permet à NSA d'accéder depuis 2007 à toutes les données clients de 9 grandes entreprises internet. Et ces entreprises ne sont pas tout: Microsoft, Yahoo!, Google, Facebook, Paltalk, Youtube, AOL, Skype et Apple (et était sur le point d'entrer dans le programme Dropbox).
Toutes ces entreprises ont refusé de transmettre les données de leurs clients à NSA. Mais le gouvernement américain Il a assuré l'existence du programme: d'une part, il a conduit les tribunaux de Snowd en l'accusant des charges d'espionnage et de vol de la propriété gouvernementale (la Russie lui a donné l'asile politique et vit actuellement) et, d'autre part, il a voulu rassurer la citoyenneté en disant qu'elle n'est utilisée que pour lire les communications des étrangers.
En juin, Snowden a dévoilé le programme Tempora via le Guardian. Ce programme est un programme de l'agence de sécurité britannique GCHQ (équivalent à la NSA), similaire au programme PRISM, qui regroupe les communications et l'information citoyenne. En outre, ils informent NSA. Et pendant les mois de juillet et août, Snowden a dévoilé le système XKeyscore à travers des articles publiés dans les quotidiens The Sydney Morning Herald et O Globo. Ce logiciel NSA permet la recherche et l'analyse des données et des informations d'origine étrangère sur Internet. Les gouvernements australien et néo-zélandais y participent également.
Les fuites de Snowden ont apporté une longue corde. Depuis le mois de mai, Snowden lui-même a publié mensuellement un nouveau scandale, mais une fois poudres, il semble que le paranon s'est étendu et que les médias ont lancé de nombreuses autres spéculations à ce sujet.
Vu que NSA a accès aux données de toutes ces grandes entreprises du programme PRISM et qu'elles nient qu'elles rapportent, des rumeurs ont été ouvertes en septembre qui, peut-être, la NSA a rencontré une erreur dans la cryptographie avec des clés publiques et en profitait pour déchiffrer le trafic via HTTPS. Si cela était vrai, c'est-à-dire s'il y avait vraiment une erreur dans la cryptographie par clé publique, et cette erreur était connue, et les ressources nécessaires pour le test étaient accessibles à n'importe qui ou presque (et pas seulement pour NSA), ce serait incroyable: on ne pourrait pas garantir la confidentialité des communications sur le web, n'importe qui pourrait voir des mots de passe, numéros de comptes courants et messages... Le site que nous connaissons disparaîtrait.
Heureusement, il semble que ce n'est pas le cas. Il y a plusieurs raisons de penser que la cryptographie avec des clés publiques est sécurisée et que NSA obtient des informations via certaines implémentations ou mauvaises pratiques de certaines entreprises (par exemple, l'utilisation de versions anciennes de logiciels réparées après la détection d'erreurs, l'utilisation de clés trop courtes ou le stockage non sécurisé de clés privées); si les choses se font bien, la méthode reste sûre. En outre, la fourniture volontaire d'informations par les entreprises et le mensonge semble une option beaucoup plus probable que la rupture de la cryptographie asymétrique. Sinon, ils ne demanderaient pas de données à de nombreuses autres entreprises.
Une autre rumeur ouverte en septembre indiquait que la NSA pouvait ouvrir une certaine porte arrière dans la méthode de création de nombres aléatoires du système d'exploitation Linux, le plus utilisé sur les serveurs Internet. Dans la cryptographie avec clés publiques, la clé privée est formée de deux nombres premiers obtenus aléatoirement. Le aléatoire informatique total est impossible, mais il existe généralement des moyens d'obtenir un aléatoire relativement élevé qui sont utilisés dans la cryptographie. Cependant, si cette aléatoire était réduite ou si cette aléatoire répondait à des modèles connus, il serait plus facile d'imaginer une clé privée.
Certains collaborateurs de Linux se sont inquiétés que l'une des sources aléatoires de Linux soit RdRand, une fonction qui génère des nombres aléatoires sur le microprocesseur Intel via du matériel. Selon eux, étant la création de nombres aléatoires par matériel, il ne pouvait pas être inspecté et fait vraiment ce qu'ils disaient. Quand ils ont connu le PRISM, etc., beaucoup ont uni deux et deux et ont pensé que peut-être les puces Intel ne faisaient pas ce qu'ils disaient, mais mettre en œuvre un algorithme qui connaissait NSA. Ainsi, Inteli et la porte dérobée de Linux ont permis à NSA d'obtenir les clés privées de la plupart des services Web. Il semble trop conspirateur, non? Cependant, certains collaborateurs de Linux ont cessé de collaborer et une demande de retrait du RdRand Linux de Change.org a été déposée. Mais Linus Torvalds, inventeur de Linux et coordinateur général de l'actualité, a répondu avec dureté en affirmant que ce n'était qu'une source de aléatoire et en accusant d'étendre des peurs injustifiées.
De son côté, l'hebdomadaire Der Spiegel a également publié en Septembre que, sur la base des documents de Snowden, NSA avait accès à toutes les transactions effectuées via Visa et autres cartes de crédit. Vous ne pouvez pas savoir si cela est vrai. Mais presque chaque semaine, de nouveaux soupçons et théories apparaissent.
Bien sûr, cette interception des communications numériques est effectuée au nom de la sécurité. Mais, normalement, celui qui est en mauvaise voie prend des mesures et sait garder les messages et les activités secrètes. Et à la fin, nous, qui espionnons les gouvernements, sommes de simples citoyens. Beaucoup diront qu'il vous donne la même chose, qu'il ne fait rien de mal. Mais l'accès à nos communications numériques est une violation grave de la vie privée; dans le monde analogique, il équivaut à ouvrir et lire des lettres ou à cliquer et écouter des appels téléphoniques. Ne l'accepterions-nous pas ?
C'est pourquoi, depuis que le PRISM a été dévoilé, les associations et organisations en faveur des droits civils, des libertés et de la vie privée s'y opposent, sensibilisant et mobilisant la société et enseignant des voies pour éviter le PRISM et protéger la vie privée des gens. Par exemple, le site Internet Prism-break.org permet d'empêcher NSA d'accéder à nos communications et données. Il s'agit essentiellement de suivre les directives que nous donnions dans les articles de cette série mentionnés au début (utilisation de HTTPS, cryptage par GPG ou PGP, utilisation de signature numérique et navigation anonyme via Tor), ainsi que de remplacer les services ou logiciels des entreprises incluses dans le programme PRISM par d'autres alternatives. Dans le cas du logiciel, ils recommandent toujours le logiciel libre, car le code source est le seul moyen d'être sûr de ce que fait le logiciel.
En ce qui concerne les systèmes d'exploitation des ordinateurs, Linux est le seul qui est fiable. Et en ce qui concerne les téléphones , variantes Android que Google ne contrôle pas ou Firefox OS que nous avons commenté le mois précédent . iOS et Windows Phone n'ont pas d'alternative, recommandent de ne pas acheter Iphone et Smartphone sous Windows. Pour naviguer il ya Firefox, Tor browser et autres (mais pas Explorer, Chrome, Safari ou Opera). En tant que programme de messagerie, nous avons Thunderbird et si nous voulons MyKolab e-mail et d'autres services tels que Gmail, Outlook ou Yahoo! Si oui, il est recommandé d'utiliser l'additif pour Mailvelope Firefox qui implémente GPG. Parmi les moteurs de recherche, il est recommandé d'utiliser Duck Duck et d'autres services plutôt que les plus courants et dans le cas des cartes OpenStreetMap. Et sur le web, nous pouvons trouver des recommandations pour d'autres types de services.
Mais en même temps, NSA veut nous empêcher d'échapper à ses griffes. Ils ont réussi à fermer certains services web qui enregistrent nos emails directement cryptés, par exemple. Lavabit, le service utilisé par Snowden, a été fermé par ses propriétaires parce que le gouvernement américain voulait les obliger à fournir les données de ses clients. Un autre service similaire, Silent Circle, a fermé parce qu'en étant aux États-Unis ne pas faire confiance que vous pourriez offrir un service totalement sécurisé. Ces types de services sont en dehors des États-Unis, de la Suisse, etc.
Il semble que dans une certaine mesure la question de Snowd a servi à attirer l'attention sur l'importance de la vie privée, et l'utilisation des services alternatifs, anonymes et cryptographiques mentionnés ci-dessus a connu une augmentation notable au cours des derniers mois. Que la connaissance de cet espionnage numérique de la citoyenneté serve, au moins, pour agiter nos consciences et, au-delà de chercher des alternatives, pour commencer à contraindre les administrations qui devraient être à notre service à abandonner ces pratiques.