Ce que signifie le lecteur de cryptage E2E législatif de lUE pour les applications de messagerie cryptées

Si vous faites partie des 1,6 milliard d'utilisateurs de WhatsApp, vous utilisez déjà le cryptage de bout en bout (E2EE). Cette forme de communication sécurisée signifie que tout message que vous envoyez à quelqu'un ne peut être lu que par le destinataire --- ces messages de discussion ne peuvent pas être interceptés par des tiers, y compris les gouvernements et les criminels.

Malheureusement, les criminels utilisent également le cryptage pour masquer leurs traces lorsqu'ils font des choses malveillantes, faisant des applications de messagerie sécurisée une cible privilégiée pour la réglementation gouvernementale. Dans les dernières nouvelles , le Conseil de l'Europe a rédigé une résolution pour réglementer l'E2EE, alors qu'il se dirige vers la Commission européenne pour sa forme finale.

La question est, sommes-nous sur le point de perdre notre vie privée sur les applications de messagerie ?

Terror Spike fait bouger l'UE

À la suite des récentes attaques en France et en Autriche, les premiers ministres des deux pays, respectivement Emmanuel Macron et Sebastian Kurz, ont présenté le 6 novembre un projet de résolution du Conseil de l'Union européenne (CoEU) , visant à réglementer le chiffrement de bout en bout. les pratiques.

Le CdE est l'organe de proposition qui définit l'orientation des politiques, tandis que la Commission européenne rédigera une législation exploitable à partir de celui-ci. Heureusement, en tant qu'ouverture législative, le projet de résolution n'est pas aussi problématique pour la vie privée qu'on pourrait s'y attendre :

• La résolution ne fait aucune proposition spécifique pour une interdiction E2EE.
• Il ne propose pas de mettre en place des backdoors vers des protocoles de chiffrement.
• Il affirme l'adhésion de l'UE à un cryptage fort et à des droits à la vie privée.
• Il sert d'invitation aux experts à explorer pleinement les mesures de sécurité dans le cadre de la « sécurité malgré le cryptage ».

Cependant, la résolution propose une approche ciblée :

“Competent authorities must be able to access data in a lawful and targeted manner, in full respect of fundamental rights and the data protection regime, while upholding cybersecurity.”

Étant donné la tendance des gouvernements à élargir la gamme d'objectifs valides, cela pourrait également inclure des protestations légales. Dans le cas de la France, cela pourrait être le mouvement des Gilets jaunes, qui a été contraint de quitter Facebook pour une application sécurisée Telegram.

Fait intéressant, Telegram était la même application que la Russie a interdite car l'équipe de développement a refusé de créer une porte dérobée pour le gouvernement. La Cour européenne des droits de l'homme (CEDH) de l'UE a qualifié cette interdiction de violation flagrante de la liberté d'expression. La décision a porté ses fruits lorsque la Russie a levé l'interdiction de deux ans sur Telegram .

La décision sur le télégramme de la CEDH sert-elle de future garantie ?

Malheureusement, cela ne semble pas être le cas. En 2019, la CEDH a statué que la liberté d'expression autour du thème de l'Holocauste ne constitue pas un droit de l'homme. Dans le même temps, le tribunal a statué que la même liberté d'expression sur le thème du génocide arménien constitue un droit humain à la liberté d'expression. Ces arrêts incohérents révèlent que la CEDH ne respecte pas les normes universelles.

Le projet de résolution de l'UE vous concerne-t-il ?

Si vous craignez que WhatsApp, Telegram, Viber et d'autres applications E2EE ne vous exposent soudainement aux pirates et aux mineurs de données, ne le soyez pas. Au sein de l'UE, nous avons probablement affaire à une solution hybride, dans laquelle les services répressifs doivent fournir aux tribunaux un raisonnement suffisant pour porter atteinte à la vie privée.

D'un autre côté, dans la sphère Five Eyes, il semble y avoir une poussée massive pour légiférer sur les portes dérobées dans les applications de messagerie E2EE. La réticence des citoyens et des ONG telles que Electronic Frontier Foundation sera essentielle pour éviter une législation aussi restrictive sur la cryptographie.

Connexes : Qu'est-ce que la surveillance « Five Eyes » ?

La pente glissante des gouvernements réglementant la cryptographie

Ce n'est un secret pour personne que les nations du monde entier sont désireuses de saper la vie privée des citoyens au nom de la prétendue sécurité nationale. Cette charge est généralement menée par l' alliance du renseignement Five Eyes . Ils cherchent à mettre en œuvre l'approche la plus large --- obligeant les développeurs de logiciels à intégrer des portes dérobées dans leurs applications . Cela permettrait aux gouvernements et aux entreprises technologiques d'accéder à volonté à toutes les données privées.

Bien que les gouvernements déclarent rhétoriquement qu'ils ont mis en place des garanties contre les abus, leur bilan est loin d'être stellaire. Comme l' ont révélé les fuites de Snowden , ils semblent être sans scrupules dans la façon dont ils perçoivent le droit des citoyens à la vie privée et à l'évitement des abus. De plus, les portes dérobées sont facilement exploitées par les cybercriminels, causant d'importants dommages économiques et une érosion de la confiance.

Les portes dérobées obligatoires ne sont pas encore une réalité, mais les gouvernements peuvent utiliser un puissant arsenal de persuasion à chaque fois qu'un acte criminel/terroriste se produit. Par conséquent, les gouvernements ont un élan constant pour éroder les protections de la vie privée, faisant valoir que :

• Les terroristes/criminels ont le même accès aux protocoles de communication cryptés que les citoyens respectueux des lois.
• Par conséquent, les protocoles de communication cryptés doivent être sapés pour le bien des citoyens respectueux des lois.

Essayer d'atteindre l'équilibre entre les deux est un processus continu, le plus récemment mis sous les projecteurs du public par les États membres de l'UE.

Pourquoi le cryptage E2E est-il important ?

Lorsque les gens ne veulent pas penser aux conséquences de l'état de surveillance, ils recourent souvent à l'argument de base :

“I have nothing to hide.”

Malheureusement, l'adhésion à une telle naïveté ne met pas votre vie à l'abri des abus. Comme l'a démontré le scandale des données Facebook-Cambridge Analytica , il faut traiter ses données personnelles avec autant de rigueur que l'on protégerait la propriété de son domicile. Lorsque vous êtes débarrassé des protocoles de chiffrement E2E, vous créez un environnement qui nourrit :

• L'autocensure comme état d'esprit.
• Piratage et chantage.
• Incapacité à être un dissident politique efficace ou un journaliste.
• Les entreprises et les gouvernements utilisant votre profil psychologique contre vous.
• Rendre les gouvernements moins responsables de leurs politiques négatives.
• Incapacité à protéger efficacement la propriété intellectuelle.

Tout comme les criminels ont un accès facile aux armes à feu, malgré son interdiction et son contrôle strict à travers le monde, les criminels se procureraient également d'autres méthodes de communication. Simultanément, saper l'E2EE rendrait les entreprises et les citoyens vulnérables à un large éventail d'abus.

Quelles options E2EE avez-vous à votre disposition ?

Les portes dérobées dans les applications de messagerie peuvent se produire de trois manières :

1. Accidentellement par un mauvais codage, qui est ensuite corrigé lorsque la vulnérabilité est découverte.
2. Intentionnellement par des agences gouvernementales exerçant une pression interne sur les entreprises.
3. Intentionnellement et ouvertement par la législation.

Nous n'avons pas encore atteint le troisième scénario. En attendant, essayez de suivre ces consignes de sécurité lorsque vous choisissez une application de messagerie sécurisée :

• Choisissez des applications qui résistent bien à la pression et qui sont très bien notées par les utilisateurs.
• Si une option vous est proposée, choisissez un logiciel open source gratuit - les applications FOSS. Ce sont des applications gérées par la communauté, donc la mise en œuvre de la porte dérobée serait rapidement révélée. Parfois, vous trouverez également ces applications sous l'acronyme FLOSS - logiciel open source gratuit/libre.
• Lorsque vous utilisez la messagerie, essayez d'utiliser des plates-formes de messagerie avec les protocoles de cryptage PGP ou GPG.

En tenant compte de ces facteurs, voici quelques bonnes applications de messagerie E2EE open source :

Signal

Signal est devenu un favori parmi de nombreux utilisateurs soucieux de la confidentialité, et pour de bonnes raisons. Il utilise Perfect Forward Secrecy (PFS) pour tous les types de messages : texte, audio et vidéo. Signal n'enregistre pas non plus votre adresse IP, tout en vous donnant la possibilité d'envoyer des messages autodestructeurs. Sur les appareils Android, vous pouvez même en faire une application par défaut pour vos SMS.

Cependant, Signal nécessite l'inscription d'un numéro de téléphone, en plus de ne pas fournir d'authentification à deux facteurs (2FA). Dans l'ensemble, cette application de messagerie conforme au RGPD disponible pour toutes les plateformes n'a pas encore été dépassée.

Télécharger : Signal pour  Android | iOS  | Windows  (gratuit)

Session

Une émanation de Signal (un fork), Session vise à avoir des fonctionnalités de sécurité encore plus redoutables que Signal. À cette fin, il a intégré toutes les fonctionnalités de Signal, mais a laissé de côté l'exigence d'avoir un numéro de téléphone ou une adresse e-mail pour s'inscrire. Il n'enregistre aucune métadonnée ou adresse IP, mais il ne prend toujours pas en charge 2FA.

Son développement open source est toujours en cours, vous pouvez donc rencontrer des bogues. De plus, son protocole Onion Routing, utilisé par le navigateur Tor, est également en cours de développement.

Télécharger : Session pour Android | iOS | Mac | Fenêtres | Linux  (gratuit)

Bruyère

Entièrement décentralisée, Briar est l'une des dernières applications FOSS avec les protocoles de messagerie E2EE. Exclusif à la plate-forme Android, Briar est la solution incontournable pour ceux qui craignent qu'un serveur ne stocke leurs messages. Briar rend cela impossible en utilisant des protocoles peer-to-peer (P2P). Cela signifie que seuls vous et le destinataire pouvez stocker les messages.

De plus, Briar ajoute une couche de protection supplémentaire en utilisant le protocole Onion (Tor). Vous n'avez pas besoin de fournir d'informations pour commencer à utiliser Briar, à l'exception du nom du destinataire. Cependant, si vous changez d'appareil, tous vos messages deviendront introuvables.

Télécharger : Briar pour Android  (Gratuit)

Câble

Tout en restant open source, Wire est destiné à la messagerie et au partage de groupe, ce qui le rend idéal pour les environnements professionnels. Ce n'est pas gratuit, sauf pour les comptes personnels. Parallèlement aux protocoles E2EE, Wire utilise Proteus et WebRTC avec PFS, en plus de la messagerie à effacement automatique.

Wire nécessite soit un numéro de téléphone/une adresse e-mail pour s'inscrire, en plus d'enregistrer certaines données personnelles. Il ne prend pas non plus en charge 2FA. Néanmoins, sa conformité au RGPD, sa nature open source et ses algorithmes de chiffrement haut de gamme le rendent idéal pour les entreprises.

Télécharger : Wire pour Android | iOS | Mac | Internet  | Linux  (gratuit)

Vous n'êtes pas sans défense face à la marée montante

En fin de compte, même si les gouvernements interdisent complètement l'E2EE ou imposent les portes dérobées, les criminels trouveraient d'autres méthodes. D'un autre côté, les citoyens les moins engagés accepteraient simplement la nouvelle donne : la surveillance de masse. C'est pourquoi nous devons pécher par excès de prudence et toujours reculer pour préserver notre droit humain fondamental à la vie privée.