Une introduction à la communication cryptée

De loin, le moyen le plus sûr et le plus privé de communiquer avec une autre personne est de lui murmurer à l'oreille.


Dans le monde hyperconnecté d'aujourd'hui, cependant, cela est rarement pratique, mais plus sûr que vous ne pouvez l'imaginer.

Le besoin de communiquer en toute sécurité et en privé avec d'autres personnes a augmenté de façon exponentielle grâce au boom technologique.

Bien qu'il soit vital de garder vos données en sécurité, cela crée également un sérieux défi dans votre routine.

Dans ce guide, nous vous montrerons comment protéger facilement vos communications en ligne.

La communication par téléphone et SMS n'est pas sécurisée

La première chose à comprendre est que les technologies de communication plus traditionnelles ne sont pas sécurisées. Je suis sûr que vous savez tous, grâce aux émissions télévisées que nous regardions lorsque nous étions enfants, que les appels téléphoniques pouvaient être «mis sur écoute».

Chiffrer le téléphone des SMS de communication

Bien que la notion de «fil» téléphonique semble maintenant plutôt étrange, la capacité d'écouter vos appels est bien vivante et présente. En effet, les progrès technologiques rendent désormais très facile à rassembler en vrac de grandes quantités de données téléphoniques avec peu ou pas d'effort requis.

Les gouvernements stockent et surveillent régulièrement les données de votre téléphone. Cela comprend les données des téléphones portables et les SMS. La collecte en masse ne comprend généralement que des métadonnées.

C'est déjà assez grave, mais comme les appels téléphoniques et les messages SMS ne sont pas chiffrés, il est aussi facile d'accéder facilement à leur contenu.

En d'autres termes, votre gouvernement et d'autres criminels peuvent écouter vos appels téléphoniques et lire vos SMS. La solution consiste à crypter vos communications afin que seuls vous et le destinataire prévu puissiez participer à une conversation et / ou lire les messages que vous envoyez.

Communication cryptée

L'analogie la plus simple pour le chiffrement est un verrou. Si vous avez la bonne clé, il est facile de l'ouvrir. Si vous n'avez pas la bonne clé, vous pouvez essayer de briser le verrou. À toutes fins utiles, un bon chiffrement est impossible à briser.

Si nous pensons à la commutation sécurisée, l'idée se complique. Toutes les personnes avec lesquelles vous souhaitez communiquer doivent pouvoir ouvrir la serrure. La manière la plus simple d'y parvenir est de confier à un tiers (tel qu'un fournisseur de messagerie) l'héberge de votre conversation sur un serveur centralisé auquel vous avez tous accès.

Cela offre un certain degré de sécurité car chaque participant à une conversation se connectera en toute sécurité à ce serveur (très probablement en utilisant HTTPS). La discussion proprement dite (et les enregistrements de celle-ci) sera également probablement cryptée pour empêcher les pirates et autres acteurs malveillants d'écouter. Mais…

Le problème avec la communication cryptée

Pour cela, pour fonctionner, vous devez faire confiance à l'hôte tiers pour sécuriser (verrouiller) la conversion. Cela signifie que l’hôte a les clés et peut «ouvrir» la conversation quand il le souhaite (ou si.

Message crypté

Autrement dit, il peut l'écouter et accéder tous les enregistrements de celui-ci à une date ultérieure. Dans le cas de conversations textuelles, cela signifie presque toujours qu'il peut accéder à tout le contenu de vos messages. La plupart des services de messagerie et de messagerie ont des politiques de confidentialité strictes qui promettent de ne pas abuser de cette position de pouvoir. Mais puisque cette position de pouvoir existe, elle peut être exploitée.

Presque tous les jours, nous lisons que des pirates informatiques compromettent des services en ligne dits sécurisés, et les organismes chargés de l'application des lois servent régulièrement des citations à comparaître et des ordonnances judiciaires aux services de communication pour les informations appartenant à leurs utilisateurs..

Ainsi, les communications hébergées et stockées par un tiers ne peuvent tout simplement pas être considérées comme vraiment sécurisées.

Communication chiffrée de bout en bout

Une alarme généralisée à l'échelle de la surveillance en ligne a accéléré le développement de solutions au problème ci-dessus. Et la clé d'une telle solution est le cryptage de bout en bout (e2e).

Cela signifie que vous cryptez les communications avec vos clés. Ils ne peuvent être déchiffrés que par ceux avec qui vous choisissez de partager vos clés. Cela élimine le besoin de faire confiance à un tiers pour protéger vos données.

Le grand défi technique consiste à trouver un moyen de partager vos clés en toute sécurité et à vérifier que la personne avec qui vous pensez les partager est bien cette personne. Bien fait, cependant, le chiffrement de bout en bout est le seul moyen de garantir que les communications sont réellement sécurisées.

Open source

Open source

Un logiciel open source est un logiciel dont le code source a été rendu public par son détenteur des droits d'auteur. Cela signifie qu'il peut faire l'objet d'un audit indépendant pour détecter les erreurs et pour s'assurer qu'il ne fait pas quelque chose qu'il ne devrait pas faire..

Avec le code source fermé, il n'y a aucun moyen de savoir ce que le code fait réellement, et le code source fermé ne peut donc pas faire confiance pour sécuriser vos communications. Pour cette raison, vous ne devriez croire que les applications et programmes open source pour garder vos conversations sécurisées et privées. Pour plus de discussion sur ce sujet, veuillez consulter Pourquoi l'open source est si important.

Types de communications sécurisées

Il existe trois façons de communiquer en toute sécurité sur Internet. Du moins au plus sécurisé, ils sont:

  • Courriel chiffré de bout en bout
  • VoIP cryptée de bout en bout (téléphonie Internet)
  • Messagerie chiffrée de bout en bout

Courriel chiffré de bout en bout

Le courrier électronique traditionnel est l'un des moyens de communication les moins sûrs. Il existe des moyens d'améliorer cette situation, mais même dans ce cas, il est préférable d'éviter le courrier électronique si la sécurité est primordiale. Comme un cryptographe de renommée mondiale et défenseur de la vie privée, Bruce Schneier l'a déjà dit:

E-mail verrouillé

«Je suis récemment arrivé à la conclusion que le courrier électronique est fondamentalement non sécurisable. Les choses que nous voulons du courrier électronique et d'un système de courrier électronique ne sont pas facilement compatibles avec le chiffrement. Je conseille aux personnes qui souhaitent la sécurité des communications de ne pas utiliser le courrier électronique, mais d'utiliser plutôt un client de messagerie crypté comme OTR ou Signal. »

C'est un bon conseil, et je parlerai plus tard d'OTR et de Signal. Cela dit, le courrier électronique est un mal nécessaire de la vie moderne, vous devriez donc essayer de le rendre aussi sûr que possible.

Pour ce faire, vous avez trois options:

  • Utilisez PGP pour crypter les e-mails avec votre service de messagerie existant
  • Passez à un service de messagerie privé sécurisé qui offre le cryptage e2e
  • Auto-hébergez votre propre serveur de messagerie.

PGP

Pgp en ligne

Avantages:
  • Gratuit!
  • Aussi sécurisé que le courrier électronique ne le sera jamais
  • Fonctionne avec votre service de messagerie existant
Les inconvénients:
  • La courbe d'apprentissage très abrupte
  • Bonne chance pour que d'autres vous rejoignent!

PGP est un protocole gratuit et open-source pour le cryptage sécurisé des e-mails, et il peut être utilisé avec votre fournisseur de messagerie existant. Si cela est fait correctement, il cryptera en toute sécurité le contenu de vos e-mails, mais pas les métadonnées telles que la personne à qui vous les avez envoyés et quand..

S'il est fait correctement, PGP est sans aucun doute le moyen le plus sûr d'envoyer un e-mail. Mais ce bit «si fait correctement» est un tueur. En utilisant PGP est compliqué et déroutant pour les plus compétents d'entre nous.

Cela signifie non seulement qu'il est facile de faire des erreurs qui peuvent compromettre la sécurité de vos e-mails, mais aussi qu'il est très peu probable que vous puissiez enchaîner plusieurs de vos amis, collèges et associés dans la folie PGP.

Message verrouillé

Mais c'est le moyen le plus sûr d'envoyer un e-mail à ce jour.

L'extension de navigateur Mailvelope facilite l'utilisation de PGP mais souffre de la même faiblesse comme une autre cryptographie basée sur un navigateur (voir ci-dessous). Cependant, il atténue cela en vous permettant de valider une paire de clés en comparant les empreintes digitales avec l'expéditeur.

Cela ne résout pas entièrement le problème si les développeurs de Mailvelope commencent à pousser mises à jour malveillantes mais va un long chemin vers elle. Et bien que ce soit probablement la façon la plus confortable de faire du PGP, c'est quand même assez pénible à utiliser.

Services de messagerie sécurisés de confidentialité

ProtonMail Webshot

Avantages:
  • Facile et pratique à utiliser
  • Beaucoup plus sécurisé et privé que le courrier électronique ordinaire
  • Métadonnées masquées (selon le service)
  • Peut envoyer des e-mails cryptés à des non-utilisateurs (selon le service)
Les inconvénients:
  • La cryptographie du navigateur n'est pas très sécurisée
  • Vous devrez probablement payer pour cela

ProtonMail a été le premier service de messagerie à offrir véritable chiffrement de bout en bout des e-mails c'est aussi pratique et facile à utiliser que Gmail. Il a maintenant une excellente concurrence, cependant.

En plus de crypter en toute sécurité le contenu des messages, bon nombre de ces services réduiront les métadonnées envoyées en supprimant les adresses IP des e-mails. Très groovy est le fait que certains de ces services vous permettent même d'envoyer des e-mails cryptés à d'autres qui n'utilisent pas le service.

Un inconvénient de tous ces services de messagerie sécurisés est que, même s’ils sont infiniment plus sécurisé que le courrier électronique ordinaire, ils sont loin d'être aussi sûrs que le PGP adéquatement fait. Pour beaucoup, ce compromis entre la sécurité totale et la commodité de ces services en vaut la peine.

L'autre gros inconvénient est que tirer le meilleur parti de ces services, vous devrez mordre la balle et payer réellement pour eux. À mon avis, cependant, le passage à un service de messagerie privé sécurisé est l'une des choses les plus importantes que vous puissiez faire pour améliorer la sécurité de vos communications quotidiennes..

Veuillez consulter les options de messagerie sécurisée pour un aperçu détaillé de certains de ces services et pour une discussion complète sur les raisons pour lesquelles la cryptographie du navigateur n'est pas très sécurisée..

Courriel auto-hébergé

Guide de communication chiffré Mailcow

Avantages:
  • Vous contrôlez à 100% votre messagerie!
Les inconvénients:
  • Difficile à faire
  • Difficile d'avoir raison
  • Nécessite un entretien régulier
  • Peut donner un faux sentiment de sécurité

Une option plus extrême pour l'une des options ci-dessus consiste à auto-héberger votre propre serveur de messagerie. Cela peut être soit fait sur votre propre PC ou sur un serveur loué. Cela garantit à peu près que Google et autres ne seront pas en train d'espionner vos e-mails (au moins directement - ils pourront toujours lire les e-mails non cryptés envoyés aux utilisateurs de leurs services).Courriel auto-hébergé

La mise en place et la maintenance de votre propre serveur de messagerie, cependant, est un travail non trivial, même pour les plus techniquement enclins. Et comme Hillary Clinton a appris à la dure, il est encore plus difficile de garantir sa sécurité. En fait, si ce n'est pas bien fait, alors exécuter votre propre serveur de messagerie peut être dangereux car il procure un faux sentiment de sécurité.

Cela ne veut pas dire que c'est impossible, cependant, et il y a beaucoup de fanatiques de la vie privée qui jurent en auto-hébergeant leur e-mail.

Des logiciels tels que Mail-in-a Box et Mailcow facilitent le travail en automatisant le processus, mais for sécurité maximale, vous devez créer votre propre serveur de zéro. D'excellents tutoriels sur la façon de le faire peuvent être trouvés ici et ici.

VoIP cryptée de bout en bout

VOIP

Le protocole Voice over Internet Protocol (VoIP) vous permet de parler à d'autres personnes sur Internet de la même manière que d'utiliser un téléphone ordinaire - souvent avec l'avantage de permettre des conversations vidéo.

Contrairement aux services d'hébergement VoIP tels que Skype (qui est connu pour transférer les conversions à la NSA), Les applications VoIP chiffrées de bout en bout garantissent que seuls vous et les participants confirmés que vous avez invités peuvent entendre ou voir ce qui est dit.

Signal

Signal Webshot

Avantages:
  • Open Source et entièrement audité
  • Utilise un cryptage fort avec Perfect Forward Secrecy
  • Maintenant disponible sous forme de fichier .apk, donc pas besoin de framework Google Play Services
  • Ne stocke presque aucune métadonnée
  • Les discussions de groupe sont cryptées
Les inconvénients:
  • Les contacts sont appariés à l'aide de vrais numéros de téléphone
  • (mais ces chiffres ne sont pas révélés à Signal)

Le signal est largement considéré comme la référence en matière de messagerie texte sécurisée (voir ci-dessous), mais il offre également des fonctionnalités VoIP, y compris des appels vidéo. Depuis mars 2017, les appels vocaux et vidéo de Signal sont sécurisés à l'aide du même protocole Signal qui sécurise les messages texte.

Jitsi

Jitsi Webshot

Avantages:
  • Open source
  • Sécurise
  • Toutes les fonctionnalités de Skype
Les inconvénients:
  • Pas de signal

Jitsi est un logiciel gratuit et open-source qui offre toutes les fonctionnalités de Skype sur le bureau. Sauf que toutes les conversations VoIP sont cryptées à l'aide de ZRTP. Cela comprend les appels vocaux, la vidéoconférence, le transfert de fichiers et la messagerie.

La première fois que vous vous connectez à quelqu'un, la configuration de la connexion cryptée (désignée par un cadenas) peut prendre une ou deux minutes. Mais le cryptage est ensuite transparent. En tant que remplacement direct de Skype pour le bureau, Jitsi est difficile à battre.

Messagerie chiffrée de bout en bout

Le signal est largement considéré comme le moyen le plus sûr à ce jour pour communiquer à distance. Cependant, le protocole de Messagerie Off-the-Record (OTR) est également excellent.

Signal

Avantages:
  • Open Source et entièrement audité
  • Utilise un cryptage fort avec Perfect Forward Secrecy
  • Maintenant disponible sous forme de fichier .apk, donc pas besoin de framework Google Play Services
  • Ne stocke presque aucune métadonnée
  • Les discussions de groupe sont cryptées
Les inconvénients:
  • Les contacts sont appariés à l'aide de vrais numéros de téléphone
  • (mais ces chiffres ne sont pas révélés à Signal)

Bien qu'il existe une version de bureau, Le signal est avant tout une application mobile. Il remplace l'application de messagerie texte par défaut de votre téléphone et utilise la liste de contacts habituelle de votre téléphone. Si un contact utilise également Signal, alors tous les messages envoyés ou reçus d'eux sont cryptés de bout en bout en toute sécurité.Communication cryptée

Si un contact n'utilise pas Signal, vous pouvez l'inviter à utiliser l'application ou envoyer un SMS non chiffré via SMS standard. La beauté de ce système est que Le signal est presque transparent en cours d'utilisation, ce qui devrait permettre de convaincre plus facilement amis, famille et collègues d'utiliser l'application!

Certains peuvent considérer le fait que Signal utilise la liste de contacts de votre téléphone pour vous mettre en correspondance avec d'autres utilisateurs de Signal un risque pour la confidentialité, mais vos contacts ne sont pas révélés à Signal. En fait, le seules les informations de métadonnées signal retient "la date et l'heure à laquelle un utilisateur s'est enregistré avec Signal et la dernière date de connexion d'un utilisateur au service Signal.»Cette affirmation a été prouvée devant les tribunaux.

Dans le passé, la dépendance de Signal à l'égard du cadre des services Google Play pour pousser les notifications de messages concernait les fanatiques de la confidentialité, mais il est désormais officiellement disponible sous forme de fichier .apk. Pas besoin de framework Google Play Services.

OTR

Guide de communication cryptée Pidgin Messenger

Avantages:
  • Open source
  • Sécurise
  • Les contacts sont identifiés par des pseudonymes
Les inconvénients:
  • Principalement sur ordinateur uniquement (sauf Adium)
  • Pas aussi sûr que Signal

Le protocole OTR n'est pas aussi sûr que celui utilisé par Signal mais est néanmoins très sécurisé. Il a été développé en tant que plugin pour le messager Pidgin, mais peut être utilisé comme plugin pour d'autres applications de messagerie telles que Miranda IM. OTR est également pris en charge nativement par d'autres messagers tels que Jitsi (pour le texte), Adium et Gibberbot (développé par The Guardian Project).Brancher

OTR est principalement utilisé par les applications de messagerie de bureau, bien que Jitsi soit désormais disponible pour Android et iOS. Grâce à Jabber / XMPP, la plupart des applications compatibles OTR peuvent communiquer entre elles de manière transparente.

L'un des avantages potentiels de l'OTR est que les pseudonymes identifient les contacts au lieu d'être appariés à l'aide de numéros de téléphone réels. Nous ne considérons pas cela comme un problème important avec Signal.

Addenda

Une note sur les applications qui utilisent le protocole Signal

Le signal est devenu la référence en matière de messagerie chiffrée de bout en bout sécurisée. Cette réputation a encouragé certaines entreprises au son raisonnablement peu probable à s'associer avec elle pour protéger la confidentialité et la sécurité de leurs utilisateurs avec le protocole Signal sous-jacent..

WhatsApp, Facebook Messenger et Skype utilisent désormais tous le protocole Signal pour crypter les messages de bout en bout. En théorie, cela signifie ude ces préféré les applications de messagerie peuvent communiquer entre elles de manière aussi sécurisée que si vous utilisiez l'application Signal elle-même….Logo Skyep WhatsApp Messenger

À l'exception du fait que ces applications sont des logiciels propriétaires à source fermée, il y a donc aucun moyen de savoir avec certitude qu'ils ne renvoient pas une copie des clés de chiffrement des utilisateurs sur Facebook ou Microsoft. Et même s'ils ne le sont pas maintenant, le code malveillant pourrait facilement être glissé dans les futures mises à jour.

En revanche, l'application Signal réelle utilise exclusivement du code open source entièrement audité que vous pouvez même recompiler vous-même si vous le souhaitez.

D'un autre côté, cependant, vous avez probablement un tas d'amis et d'associés qui utilisent déjà WhatsApp, Facebook Messenger et Skype, et qui sont peu susceptibles de passer à Signal de si tôt. Malgré certains problèmes théoriques, le fait qu'ils utilisent désormais le cryptage de signal de bout en bout est un gain important pour la confidentialité et la sécurité.

Une note sur Telegram Messenger

Telegram Messenger est connu en raison de son utilisation à grande échelle par ISIL. En effet, cette notoriété a alimenté une conception populaire selon laquelle Telegram est hautement sécurisé et privé, et vous le verrez souvent recommandé dans des articles tels que celui-ci..

C'est dommage car ce n'est pas un point de vue partagé par les experts de la confidentialité et de la sécurité. Comme Signal, Telegram authentifie les utilisateurs à l'aide de leurs numéros de téléphone, mais contrairement à Signal, Telegram Messenger LLP stocke ces informations.

Télégramme Webshot

Cela signifie qu'il peut (en théorie) associer des conversations chiffrées non de bout en bout à des utilisateurs individuels. Donnerait-il jamais cette information aux gouvernements? Probablement pas, mais qui sait?

Plus préoccupant est le fait que Telegram stocke ces informations sur ses serveurs. Il est donc vulnérable au piratage et à la surveillance. En Russie l’année dernière, deux comptes Telegram de militants ont été piratés, probablement par les services de sécurité russes avec la coopération du fournisseur de téléphonie mobile des militants.

Au cœur des demandes de confidentialité et de sécurité de Telegram se trouve son option de conversation secrète. Cela utilise un cryptage de bout en bout pour permettre des conversations privées et sécurisées. Le télégramme a été fortement critiqué pour ne pas avoir activé le chat secret par défaut. Sauf si vous activez spécifiquement le chat secret, les messages envoyés à l'aide de Telegram ne sont pas sécurisés.

Logo du télégramme

Cela signifie que Telegram Messenger LLP et les pirates pourraient y accéder. Associé à la méthode d'authentification des utilisateurs par Telegram à l'aide de leurs numéros de téléphone, il est très facile pour les gouvernements de saisir des comptes et d'accéder à des messages non chiffrés..

En plus de cela, les chercheurs critiquent le cryptage utilisé par Telegram. Plutôt que d'utiliser des normes de cryptage éprouvées, testées et entièrement auditées, Telegram utilise son propre protocole de cryptage MTProto. Le chiffrement par roulement est largement considéré comme un non-non significatif par les experts en sécurité.

Pour aggraver les choses, bien que le client Telegram soit principalement un open source, il contient certains éléments (appelés blobs binaires) qui ne le sont pas. Certains experts ont également critiqué Telegram pour avoir été lent à publier des versions récentes de son code open source. Il s'agit d'un problème de sécurité, car thLe code peut être modifié sans que personne ne le sache.

Donc, pour faire court, je fais déconseille d'utiliser Telegram si la confidentialité et la sécurité sont une priorité pour vous.

Conclusion sur la communication cryptée

Des innovations telles que ProtonMail et Signal ont eu un impact massif sur le paysage des communications cryptées. La montée du chiffrement de bout en bout, en général, et de Signal en particulier, signifie qu'il est désormais possible de parler à distance à d'autres personnes de manière plus sécurisée et privée que jamais auparavant..

Bien que cela ne soit pas sans problèmes, le fait que les applications de messagerie les plus célèbres au monde utilisent désormais un cryptage de bout en bout la courtoisie du protocole Signal est très importante. Cela signifie que même s'ils ne le savent pas, les communications quotidiennes des gens ordinaires sont également plus sûres qu'elles ne l'ont jamais été..

Brayan Jackson Administrator
Sorry! The Author has not filled his profile.
follow me