Articles IT et Télécoms

Peut-on se protéger des écoutes de la NSA ?

Il y a quelques mois, Edward Snowden, un ancien employé de la CIA révélait les moyens utilisés par l’agence de sécurité nationale américaine (NSA) pour espionner de nombreux pays et entreprises sous couvert de lutte antiterrorisme. L’ampleur du scandale et les soupçons d’espionnage industriel ont conduit de nombreuses entreprises à revoir la sécurité de leurs échanges et de leurs données. Revue de quelques solutions permettant de limiter les risques d’espionnage.

L’analyse des documents divulgués par Snowden ainsi que les enquêtes menées par les médias arrivent toutes à la même conclusion : dès que l’on se connecte au web ou qu’on utilise son téléphone mobile, il y a de fortes chances pour que ces connexions soient interceptées par les services secrets américains. Les probabilités d’écoute sont bien sûr plus élevées si l’on est un homme politique influent ou un cadre d’entreprise en concurrence avec des sociétés américaines.

Dès lors le conseil de Jean-Pierre Claris de Florian (un auteur dramatique français du XVIIIe siècle) « pour vivre heureux, vivons cachés » trouve ici une nouvelle pertinence.

Adaptée au web et à l’informatique, cette maxime recommanderait d’utiliser des chemins de traverses plutôt que les autoroutes de l’information. Malgré ses énormes moyens financiers et technologiques, l’agence de sécurité nationale (NSA) américaine ne peut pas, en effet, tout « écouter ».

Si, comme l’ont montré les documents de Snowden, la NSA place ses grandes oreilles sur les principaux tuyaux par lesquels s’achemine le trafic Web et mobile entre continents, elle semble porter une attention particulière aux échanges de données d’opérateurs… américains : Microsoft, Google, Yahoo !, Apple et Facebook pour ne citer que les principaux. En dépit des protestations plus ou moins sincères de ces sociétés, on peut légitimement se poser la question des risques de leur confier des données confidentielles.

Navigateurs, moteurs de recherche, emails : des alternatives pour plus de sécurité

La première règle consiste à utiliser un navigateur Open-source comme Firefox complété par des extensions destinées à réduire les risques d’écoute ou de failles de sécurité facilitant l’intrusion d’un code malveillant.

Citons notamment HTTPS Everywhere. Édité par l’Electronic Frontier Foundation, ce module (disponible également pour Chrome, un navigateur web propriétaire édité par Google) étend la connexion sécurisée HTTPS à l’ensemble des données échangées, assurant ainsi un chiffrage intégral lors du transfert entre l’utilisateur et le site Internet.

Cette option est à conseiller lorsque vous vous connectez à une borne wi-fi publique, car votre voisin ne pourra pas vous espionner. La configuration de ce module requiert malgré tout un peu de connaissances en informatique. Il est possible de s’en sortir en suivant un tutoriel en français.

On citera également NoScript, un outil qui bloque les applications JavaScript (l’utilisateur doit les autoriser manuellement et vérifier la « légitimité » de chaque site consulté).

On mentionnera enfin, l’extension Disconnect permettant de ne pas être pisté par les sites visités.

Les requêtes effectuées sur des moteurs de recherche comme Bing de Microsoft et Google donnent des résultats souvent pertinents. Mais ces services sont aussi trop « curieux » (à la différence de la solution de Google, Bing sépare les données d’identification des historiques de recherche). Il existe des alternatives comme DuckDuckGo (dont les requêtes restent anonymes), Exalead de Dassault ou Systemes et MetaGer, un service en ligne allemand.

À propos des courriers électroniques, comme déjà mentionné plus haut, les informations publiées dans la presse ont révélé que la NSA collecte des données en s’infiltrant entre autres sur les serveurs de Yahoo! et de Google. Pour éviter d’être espionné, une parade consiste à utiliser des solutions développées et installées en France, voire en Europe (comme le service suisse MyKolab). En France, les entreprises peuvent héberger leurs serveurs de messagerie dans leurs locaux ou utiliser des services destinés aux professionnels (reposant notamment sur des webmails Open source) et proposés par OVH par exemple.

Le chiffrement des connexions : le B.A Ba de la sécurité

Chiffrer ses messages revient à les brouiller pour qu’ils ne puissent être lus que par les personnes avec qui vous voulez communiquer. Si le service de messagerie que vous utilisez analyse vos emails, à l’instar de Gmail, le chiffrement vous permettra d’échapper à cette intrusion. Si vous avez une entreprise ou si vous faites de la recherche, le chiffrement empêchera des compagnies ou des États concurrents d’intercepter les informations que vous échangez avec vos partenaires.

L’une des meilleures solutions consiste à utiliser GNU Privacy Guard (GnuPG). Il s’agit d’un logiciel libre dont la sécurité a été vérifiée par toutes les personnes ayant pu librement lire et essayer d’en modifier le code. Il peut être utilisé comme extension à Thunderbird, ce qui n’est pas possible notamment avec le webmail Gmail.

Si votre ordinateur est sous Windows, il faut installer Gpg4win, la distribution officielle de GnuPG pour ce système d’exploitation. Si votre ordinateur est sous Mac OS X, il faut choisir GPGTools.

Enfin, si votre ordinateur fonctionne sous une distribution GNU/Linux, GnuPG est en principe déjà installé. En installant également le module Enigmail, il est possible d’utiliser plus facilement GnuPG.

Masquer son adresse IP

L’Internet Protocol est en quelque sorte la plaque d’immatriculation de tout appareil raccordé au réseau.

Pour la masquer, il est possible de passer par un proxy. Il s’agit d’un ordinateur qui joue les intermédiaires entre votre connexion et le site que vous visitez. Vous pouvez passer par des services spécialisés comme (www.anonymizer.com, megaproxy.com…) ou utiliser un logiciel qui se connectera à des proxys (comme Ultrasurf) via votre navigateur web.

Mais cette solution présente trois limites. Premièrement, c’est le proxy qui stocke votre adresse IP et vos mots de passe (pour vous connecter à certains sites). Il faut donc avoir confiance dans cet intermédiaire…

Deuxièmement, le paramétrage depuis un navigateur web n’est pas évident pour le grand public (le réglage d’Ultrasurf est par contre automatique avec Internet Explorer, pas avec les autres navigateurs). Enfin, la navigation devient plus lente puisque la connexion fait sans cesse des allers-retours entre le proxy et le site visité.

Les VPN

Le recours à un VPN (Virtual Private Network) est essentiel pour protéger les liaisons entre l’ordinateur portable (ou le téléphone portable) d’un collaborateur « nomade » et le système d’information de l’entreprise.

Mais là aussi, la confidentialité des données n’est pas « garantie » avec des services propriétaires comme ceux proposés par Cisco. Il est conseillé d’utiliser une plateforme comme A/I VPN ou des applications gratuites telles que OpenVPN, Libreswan ou Openswan.

Les systèmes d’exploitation des ordinateurs et des smartphones

L’espionnage à grande échelle de la NSA montre que les ordinateurs et les téléphones mobiles sont des cibles privilégiées. Dans ce cas, le maillon faible est le système d’exploitation.

Comme pour les logiciels, il existe des solutions Open Source pouvant être installées sur des ordinateurs. La plus connue, pour être déployée sur de nombreux serveurs et ordinateurs, s’appelle Debian. Cette distribution GNU/Linux permet de bénéficier d’un système exploitation réputé pour son extrême stabilité et son respect de la vie privée de ses utilisateurs. Les autres distributions recommandées sont Fedora et Opensuse.

Concernant les smartphones, il n’existe pas encore d’alternatives largement déployées et ayant fait leurs preuves comme Debian par exemple. Il y a néanmoins deux projets ambitieux et prometteurs. Le premier est Firefox OS, de la fondation Mozilla, qui commence à être déployé sur quelques modèles de téléphones portables.

Le second projet est plus original. Un peu plus d’un an après avoir obtenu sa validation pour le Grand Emprunt, le projet DAVFI (Démonstrateur antivirus français et international) a présenté en octobre dernier une première solution complète de sécurisation d’Android. Il s’agit d’un système immunitaire complet sous Android. Outre l’antivirus DAVFI, ce système d’exploitation comprend une application pour rendre anonymes les SMS (SMS Perseus) et une autre destinée à chiffrer les conversations exploitant la VoIP.

Concrètement, il s’agit d’un système d’exploitation Android… « durci » afin de mieux résister à certains types d’attaques (grâce à différents mécanismes mis en place, des failles non reconnues au niveau du noyau pourront être détectées et bloquées) ainsi qu’aux applications malicieuses présentes sur le Play Store de Google (soit quand même près de 10 % de toutes les applications disponibles). Cette version modifiée d’Android n’a aucune incidence sur le fonctionnement du téléphone : tout est fluide et ne pose aucun souci pour téléphoner, surfer ou envoyer des SMS.

Au premier semestre 2014, la société Nov’It (chef de file du projet DAVFI) commercialisera quelques modèles de smartphones et de tablettes avec cet OS modifié et destinés principalement aux entreprises.

Discussion

Les commentaires sont fermés.

%d blogueurs aiment cette page :