Jeudi 25 avril 2002

Question de confidentialité

Echelon, Carnivore, DCS1000. Des mots qui semblent à première vue tout à fait inoffensifs, mais qui, de fait, masquent une triste réalité : on peut vous écouter et intercepter vos communications épistolaires ou cellulaires en toute impunité. Et cela inquiète, avec raison. Faites une recherche dans Google avec ses trois mots, et vous verrez[sigma]

Pour le cellulaire, vous le savez déjà, le mot d[base ']ordre est discrétion. Ma blonde dirait : « farme ta yeule stie! » On ne vit pas à coté de la fédérale capitale sans développer un certain sens de la paranoïa, croyez-moi.

Pour le courriel toutefois, il existe aussi des solutions comme le chiffrement qui peuvent protéger la confidentialité de vos envois. Et aussi, la confidentialité de vos sources. Yep, en gros, ça veut dire qu[base ']une source anonyme, qui veut demeurer anonyme, et qui ne veut pas que personne, saut son destinataire puisse lire son courriel, aurait tout avantage à utiliser la clé publique d[base ']un journaliste pour lui envoyer ses petites informations. Et qu[base ']un journaliste ou un recherchiste qui utilise le chiffrement et qui met à la disposition de tous publiquement sa clé publique a bien des chances de recevoir des informations un tantinet[sigma] sensibles. Clé publique, clé privée??? Mais de kossé que c[base ']est ça, vous entend-je dire? Restez à l[base ']écoute, notre programmation vous reviendra dans quelques instants avec toutes les explications sur le chiffrement.

La plus connue des solutions se nomme OpenPGP (Open Pretty Good Privacy)

PGP est le logiciel de chiffrage à clé publique/clé privé le plus connu et le plus utilisé actuellement. Développé en premier par un dénommé Phil Zimmerman, PGP permet de rendre un courriel et son contenu totalement incompréhensible pour quiconque, sauf son destinataire. Et ça, ça enquiquine beaucoup les gouvernements, les agences de renseignements et les forces policières de partout dans le monde, car une fois encrypté, un message, pour être révélé en clair, doit être traité durant de longues périodes de temps par des superordinateurs. Et les superordinateurs, ce n[base ']est pas chez Radio Shack qu[base ']on les trouve, mais plutôt à la NSA et d[base ']autres endroits tous aussi sympathiques.

D[base ']ailleurs, notre ami Zimmerman a été longtemps emmerdé par la justice américaine, car voyez-vous, le chiffrement est considéré comme une arme, au même titre que la nitroglycérine, la dynamite, le plastic, le refus de négocier et la stupidité tiens, et de plus, soumis à de nombreuses restrictions à l[base ']exportation. Heureusement, Internet a permis en quelques jours la dissémination du logiciel de Zimmerman à l[base ']échelle planétaire, and the rest is history.

Le principe utilisé derrière PGP? Des « clés publiques » qui permettent d'encrypter des messages et des « clés privées » qui permettent de les lire. Une fois PGP est téléchargé et installé sur votre ordinateur et que celui-ci "s'interface" avec votre logiciel de courriel, vous devez générer une clé publique. Cette clé permettra à n'importe lequel de vos correspondants de chiffrer un message vous étant destiné. Cette clé est vraiment publique, tous peuvent l'utiliser car elle ne sert qu'a une chose et unique chose: encrypter un message. Vous pouvez donc l'envoyez en toute confiance à tous vos correspondants et même l'inclure dans la signature de votre courriel ou sur une page web, une clé publique dans un courriel ressemblant à ceci:

---BEGIN PGP PUBLIC KEY BLOCK

Version: PGPfreeware 5.0i for non-commercial usem

QCNAzFcHGsAAAEEAM461Eua4OHa/qJ9D2miuA7ceWrCD435e1BhvdJ/B/h//y1bxgNyvy

QaDJEeJTlLSuq+dv4uqbb3MyhnbL9bUzmy+efxVT7qooK7Bwn+H240I9E2D3K4Y4MSXbv

QL1SJVEDH7e3tuv...

Une fois que votre correspondant encrypte son message avec votre clé publique, seule votre clé privée, dont vous possédez le mot de passe, peut décrypter un message. Vous ne pouvez pas envoyer un message chiffré à un des vos correspondants si celui-ci n'a pas au préalable généré une clé publique vous permettant d'encrypter un message lui étant destiné. Et c'est uniquement à l'aide de sa clé privée qu'il pourra le déchiffrer. Autre utilité de PGP, vous pouvez l'utiliser pour signer vos documents électroniques.

Donc, en résumé, PGP fonctionne se cette façon :

  • Tu télécharges PGP
  • Tu l[base ']installes sur ta machine
  • Tu génères une clé publique qui ne sert qu[base ']à une chose : encrypter
  • Tu la mets à la disposition de tous.
  • Toi, de ton côté, tu génères une clé privée, mais chutttt, ça, c[base ']est secret, parce que celle-ci sert à décrypter.
  • Quelqu[base ']un récupère ta clé publique et l[base ']importe dans son PGP à lui (dans son trousseau de clés publiques quoi!). Il t[base ']écrit un message et le chiffre avec ta clé publique.
  • Tu reçois le message qui ne contient rien d[base ']autre que la série de chiffres et de lettres totalement incompréhensibles tel que ci-haut.
  • Pour quiconque veut lire ton courriel c'est, "désolé, circulez, y'a rien à voir, c'est du chinois."
  • Tu actionnes PGP qui regarde la clé publique du message, valide avec ta clé privée, et surtout, te demande ton mot de passe pour déchiffrer le message.
  • Bingo, toi seul peux lire le message. Et paf, un nouveau Oxygène 9. Merci m[base ']sieur l[base ']informateur. Ça remplace la grosse enveloppe brune et ça coûte moins cher de timbres.

On peut aussi remplacer les mots « journalistes » et « informateurs » par « camarades du même syndicat qui veulent que leurs conversations stratégiques et confidentielles le demeurent ». Ou "opprimé politique qui veut communiquer avec le monde libre sans crainte de se faire assassiner".

Ahhhhh, petits sceptiques, je vous vois venir: un message chiffré avec PGP est-il vraiment confidentiel? Oui, bien que, soyons réaliste, tout message encrypté par PGP peut être "craqué" si vous avez les ressources, le temps et l'argent pour le faire. En effet, un message PGP classique chiffré en 1024 bits prendrait environ 300 000 000 000 années/MIPS avant de révéler ses secrets. Bon ça veut dire quoi ce déluge de chiffres nerds? Idéalement, pour faire parler un message chiffré en PGP, vous devez avoir sous la main, quelques millions de dollars pour acheter un superordinateur comme ceux de la National Security Agency. Bref, le citoyen moyen peut dormir tranquille, il est bien loin le jour où ses messages encryptés par PGP seront lus par quelqu'un. Et que l'on se rassure aussi sur la possibilité qu'une porte secrète (back door) permette à ses développeurs de craquer avec facilité des messages PGP. Le code source de PGP étant disponible publiquement depuis des années, de nombreuses personnes ont pu vérifier la validité du code de PGP.... et son intégrité.

Disponible pour Windows, MacOS, Linux ainsi que de nombreux autres systèmes d'exploitation, OpenPGP est actuellement la meilleure ressource disponible pour s'assurer qu'un message ne pourra être lu que par un seul correspondant: celui à qui le message est destiné et personne d'autre.

Maintenant, on se renseigne sur PGP ici 

Mais on le télécharge ici

Ceux qui utilise la messagerie personnelle ICQ peuvent aussi maintenant chiffrer leurs messages en téléchargeant PGP-ICQ

Mise à jour: À la demande de Thierry, voici la page pour les versions internationales de PGP


12:27:29 AM  Permalien  



© Copyright 2002 Michel Dumais .
Last update: 14/12/02; 12:07:31 .

Click here to visit the Radio UserLand website. Valid CSS! Subscribe to "Les divagations du pas très humble Michel Dumais" in Radio UserLand. Click to see the XML version of this web page. Click here to send an email to the editor of this weblog.