Tout savoir sur TOR et autres outils susceptibles de résister à la surveillance de la NSA | Atlantico.fr
Atlantico, c'est qui, c'est quoi ?
Newsletter
Décryptages
Pépites
Dossiers
Rendez-vous
Atlantico-Light
Vidéos
Podcasts
High-tech
Tout savoir sur TOR et autres outils susceptibles de résister à la surveillance de la NSA
©

Contre-attaque

Tout savoir sur TOR et autres outils susceptibles de résister à la surveillance de la NSA

Les journalistes qui ont les premiers recueilli les révélations d'Edward Snowden ont récemment énuméré les programmes informatiques qui leur ont jusqu'ici permis d'échapper à la NSA : TOR, OTR, Tails... Visite guidée.

Yann Allain

Yann Allain

Yann Allain est le fondateur et actuel dirigeant de la société Opale Security. Il est diplômé d’une école d’ingénieur en informatique et en électronique (Polytech – Université Pierre et Marie Curie). Il possède plus de 20 ans d’expérience dont 16, dédiés à la sécurité des SI et des systèmes embarqués.

Voir la bio »

Atlantico : Les journalistes avec lesquels Edward Snowden était entré en contact au début de ses révélations ont exposé le 28 décembre, lors du Chaos Communication Congress de Hambourg, la liste des outils qui permettent de se protéger contre les incursions de la NSA dans nos données personnelles. GnuPG, Tails, OTR, Truecrypt, Tor... Pouvez nous expliquer plus en détail ce que sont ces programmes, et leur utilité ?

Yann Allain : "GnuPG" permet de chiffrer et signer vos données et vos communications. "Tail" est un système d’exploitation qui a été créé pour ne pas laisser (trop) de traces sur les ordinateurs que vous utilisez. Cet outil permet aussi d’utiliser internet de manière plus ou moins "anonyme". "OTR" ("Off-the-Record Messaging") permet de mettre en place une surcouche de sécurité sur les outils de communications instantanées. Il permet d’avoir des conversations privées tout en utilisant des logiciels de communications communs (comme XMPP/Jabber, IRC, etc.). Plus de détails sur OTR sont disponibles sur wikipedia. "Truecrypt" est (était?) un logiciel de chiffrement de fichiers. Ce projet a été stoppé récemment sans que les équipes en charge de son développement n’expliquent clairement les raisons de cet arrêt (entraînant alors une suspicion généralisée de la part des personnes qui l’utilisaient). "Tor" est un logiciel libre et un réseau ouvert qui aide les Internautes à se défendre contre l'analyse de leur connexion sur Internet.

Est-il compliqué d’accéder à ces programmes, de les installer et de s’en servir ?

L’accès à ces programmes est facile. Une simple recherche permet de trouver les sites qui proposent leur téléchargement. L’installation n’est pas trop complexe. Il existe des centaines de tutoriaux disponibles pour guider les utilisateurs. Leurs utilisations, par contre, demandent plus de "concentration" pour les utilisateurs. En effet, le diable étant dans les détails de configuration, l’utilisateur peut parfois être confronté a des choix, a priori abscons, pour les non-initiés : ai-je choisi la bonne longueur de clé ? Comment stocker mes clés privées de manière sécurisée ?

Quelles sont les méthodes de la NSA aujourd’hui connue pour accéder à nos données personnelles ?

Les méthodes exposées dans les documents analysées par les journalistes du Spiegel sont variées : Interception des communications internet, déchiffrement des flux protégés, introduction de faiblesses cryptographiques dans le standard technique de sécurité pour les rendre inefficaces ou moins efficaces. Cependant, il faut rester prudent face à ces révélations. Les journalistes eux-mêmes indiquent qu’ils ont "lu" un "document" qui explique que la NSA "prétend" avoir trouvé et utiliser des moyens de déchiffrement. À mon sens, il est plus important de garder en tête que tout système peut comporter des vulnérabilités et qu’une fonction ou un logiciel de sécurité n’est pas forcement sécurisé. Il faut souvent mettre à jour les dispositifs/logiciels de protection pour que leur efficacité reste optimum dans le temps. Il en va de même pour les logiciels censés protéger la vie privée et nos données : NSA ou pas NSA !

Google, Facebook, Linkeded in… tous ces grands acteurs sont connectés, et proposent des transferts de données les uns vers les autres. Les outils que vous venez de nous décrire permettent-ils d’utiliser ces sites en toute sécurité, ou bien ces derniers doivent-ils être à tout prix évités ?

Pour ma part, je ne sais pas vraiment si ces fournisseurs échangent aussi largement des données entre eux comme vous semblez l’indiquer, cependant, les outils précédemment cités ne permettent pas vraiment d’utiliser des sites en toute sécurité, au mieux ils permettent à un utilisateur de "cacher" d’où il se connecte et de chiffrer certains fichiers échangés via ces plateformes. N’oublions pas que ces fournisseurs "offrent" des services où les utilisateurs "confient" eux-mêmes (de leur plein gré !) leurs données personnelles. Elles sont alors stockées et traitées par les équipements de ces mêmes fournisseurs.

Il est sans doute raisonnable de se poser la question suivante en tant qu’utilisateur de ces services : est-il vraiment nécessaire de donner toutes ses données à ce fournisseur technique ? Ce réflexe est peut-être une autre forme de protection de nos données personnelles.

Il n’y a pas que les outils : si l’on veut sécuriser ses données, quels sont les comportements sains à adopter, et quelles mauvaises habitudes faut-il abandonner ?

Avant tout, le bon sens est primordial :

- ne pas mettre tous les oeufs dans le même panier (ne pas utiliser le même mot de passe sur tous les sites par exemple)

- Apprendre à utiliser les outils de protections tels que ceux cités précédemment. Tout comme la lecture, la sécurisation technique de ces données peut s’apprendre…

- Ne pas dépendre que d’un seul fournisseur technique

- Certains citoyens tentent de se diriger vers des processus d’autosuffisance énergétiques. Il est sans doute nécessaire que les internautes citoyens évoluent vers de l’auto-hébergement de certains services qu’ils utilisent (Mail, Stockage de données, etc.) pour limiter certains risquent comme ceux à la source de votre interview.

En raison de débordements, nous avons fait le choix de suspendre les commentaires des articles d'Atlantico.fr.

Mais n'hésitez pas à partager cet article avec vos proches par mail, messagerie, SMS ou sur les réseaux sociaux afin de continuer le débat !