Le chiffrement, c'est maintenant

  • Parce que sans chiffrement, se balader sur internet (internet, ce n’est pas que le web : c’est aussi le mail, la messagerie instantanée, le peer-to-peer et bien d’autres choses encore !) c’est comme se balader à poil avec une bande de gens plus ou moins louches à nos basques, qui notent tout ce que l’on fait, récupèrent nos messages, nos photos et nos vidéos, et finissent par en savoir plus sur nous que nos propres proches (voire nous-mêmes !)

  • Sachant que ce qu’ils collectent est susceptible, outre d’être revendu à des boîtes de pub, notre banque, notre employeur, notre assureur… de ressortir purement et simplement au grand jour (suite à une mauvaise gestion ou une “attaque informatique”) ; ou de tomber entre d’encore plus mauvaises mains.

  • Dites-vous que tout ce qui n’est pas chiffré est potentiellement lu, scanné, récupéré par des tierces parties qui ne devraient normalement pas avoir accès à votre intimité (et quand je dis intimité, c’est évidemment au sens large : avez-vous vraiment envie que tout le monde sache tout de vous ?)

  • Parce qu’un mail non chiffré, c’est juste une carte postale que tout le monde peut lire (en tout cas tous ceux que ce mail intéresse) ; par exemple, Gmail scanne tous les mails qui transitent par ses bons soins, même si ce n’est désormais “plus pour le ciblage publicitaire”, et ce pièces jointes comprises. (Si les “terms of service” vous intéressent, il y a tosdr.org qui les déchiffrent (!) pour vous : regardez par exemple Google (ou Facebook…) : “Google can use your content for all their existing and future services”, je crois que c’est clair…)

  • Et ça, c’est très gênant, parce que même si moi, je n’utilise pas Gmail (pour ne citer que lui), si j’envoie une photo de moi à quelqu’un qui est sur Gmail, adieu ma privacy : ma photo et le corps de mon mail sont aussitôt récoltés - analysés, conservés/stockés et pourront se retrouver ensuite on ne sait trop entre quelles mains (lire par exemple à ce propos : Je n’utilise pas Gmail, mais Google a quand même la plupart de mes emails). Sauf si mon mail est chiffré.

  • Or c’est désormais à la portée de quasiment tout le monde, de chiffrer un mail (alors attention, WARNING : je parle ici pour une utilisation lambda ; lorsque la sécurité/la vie d’une personne dépend du fait d’être absolument sûr·e que le mail a été chiffré dans les bonnes conditions et ne leake absolument rien, par exemple dans le cas d’un·e lanceur·euse d’alerte ou d’un·e journaliste qui doit protéger ses sources, mieux vaut s’adresser à des spécialistes : voir par exemple les bénévoles des chiffrofêtes/cryptoparties et les différents moyens pour les contacter ; j’entends m’adresser ici aux personnes lambdas, celles qui n’ont rien d’absolument critique à cacher mais n’ont pas forcément envie de se mettre à poil sur internet pour autant. Parce qu’il vaut mieux chiffrer avec les moyens du bord quitte à montrer un bout de peau de temps en temps plutôt que de ne pas chiffrer du tout et se balader à poil en permanence…).

  • Par exemple, le logiciel libre Thunderbird développé par la fondation Mozilla (qui développe également Firefox) est disponible sur la très grande majorité des OS et permet désormais le chiffrement natif des mails. Personnellement, je chiffre régulièrement mes mails, par exemple pour des conversations que je considère privées ou intimes, mais aussi professionnellement, lorsque j’ai besoin d’échanger des données ou informations sensibles. Par contre, (WARNING AGAIN) il ne faut pas perdre sa phrase de passe ou ses clefs privées, sinon, on risque tout bonnement de ne plus pouvoir lire ses mails !!!

  • Si on veut communiquer par textos, c’est pareil : mieux vaut chiffrer, sinon notre contenu circule en clair sur internet ! Il y a par exemple Silence (uniquement sur Androïd) ou Signal (sur Androïd et iOS).

  • On peut aussi utiliser xmpp pour la messagerie instantanée, et ce par exemple avec Thunderbird à partir du moment où on s’est créé un compte Jabber. Sur ordiphone Android : Conversations (payant sur le Play Store mais gratuit sur F-Droid).

  • Enfin, en ce qui concerne le web, si l’on veut réellement conserver son intimité (car il est extrêmement facile de déterminer vos préférences politiques, sexuelles etc. rien qu’en observant les pages que vous consultez régulièrement) mieux vaut utiliser le Tor Browser développé par le Projet Tor (TOR pour The Onion Router, le routeur en oignon) ; c’est basé sur Firefox et facile à installer. Pour votre ordiphone, s’il est sous Androïd, choisissez Orbot qui, accompagné d’Orfox, donne l’équivalent du Tor browser, et peut également vous permettre de faire passer la plupart de vos applications via le réseau Tor (sans garantie ceci dit que cela vous garantisse un véritable anonymat : cela dépend beaucoup des applications).

  • Et si vous voulez vraiment être tranquille (mais cela demande un peu plus de technicité) et que vous ne faites pas vraiment confiance à la machine que vous utilisez, utilisez une clef Tails, bootable sur à peu près n’importe quelle machine (voir le site du projet).

  • Pour aller plus loin, voir par exemple l'antisèche de NextInpact sur le chiffrement.

  • NB : on dit “chiffrer”, et pas “crypter” ;-).