26 décembre 2009, par
Voir en ligne : Un papier que j’ai commis dans http://free.korben.info
L’exemple belge le montre [1], les réglementations qui se préparent en Europe visent à abolir le secret de la correspondance privée ainsi que la notion de secret professionnel, pourtant garantis par toutes les constitutions européennes à l’exception notable de la constitution française [2]. Une étape ultérieure à craindre est le retour de l’interdiction pure et simple de la cryptographie. Si tel était le cas, il faudra privilégier la stéganographie, plus discrète. [3]
Concrètement, cela signifie que votre fournisseur d’accès sera tenu d’archiver vos courriels pour une durée déterminée et de les tenir à la disposition des autorités judiciaires et policières. Il faut noter que les FAI s’inquiètent à juste titre des charges liées à cette obligation. Ils pourraient ainsi être amenés à développer des techniques avancées de surveillance, non pas pour mieux vous espionner mais pour se conformer à la loi à moindres coûts. Par exemple en passant votre navigation au crible pour n’archiver que ce qui est susceptible d’intéresser les autorités (mots-clefs, sites sensibles, détection des comportements de furtivité tels que la cryptographie et l’anonymat, etc.) : une forme de complicité objective dont il conviendra de se méfier.
D’où une première précaution élémentaire à prendre : ne pas utiliser les serveurs POP, IMAP et surtout SMTP [4] de votre FAI. Si vous utilisez une adresse de type “web mail” en mode http (ou, mieux, https), votre FAI ne pourra pas archiver votre correspondance (à moins de tamiser la totalité de votre navigation, ce qui entraînerait des surcoûts probablement intolérables).
Si en revanche vous accédez à votre courriel par un client email (Thunderbird, Outlook etc.) à travers des serveurs POP, IMAP et SMTP, attention :
Et bien entendu, répétons-le, chiffrez, chiffrez, chiffrez, même ce qui n’est pas confidentiel. Créez votre clef PGP et partagez-la, c’est beaucoup moins compliqué que vous le pensez. Ne pas chiffrer ses courriels, c’est exactement la même chose que déposer une photocopie de tout son courrier postal au commissariat de police avant le de le jeter -sous enveloppe transparente et ouverte- dans la boîte aux lettres.
À moins d’administrer vous-même votre propre serveur de courriel, sachez que toute votre correspondance non chiffrée peut être archivée en clair par votre prestataire, qu’il s’agisse de votre fournisseur d’accès ou d’un service tiers, et vous ne savez pas quel usage il en fait. Si ce service vous est offert par une entreprise qui exploite également un moteur de recherche (Gmail, Yahoo, Hotmail), la tentation est évidemment grande d’analyser vos échanges pour mieux cibler la publicité, unique source de financement de ces entreprises. La centralisation de dizaines de millions de comptes de courriel dans les archives d’une même entreprise peut aussi constituer une aubaine extraordinairement alléchante pour les services gouvernementaux, qui disposent d’outils puissants d’analyse croisée (associant courriel, réseaux sociaux, téléphone, géolocalisation etc.) leur permettant de faire un portrait extrêmement détaillé de votre personnalité et de votre réseau de relations. Alors enfonçons le clou : chiffrez !
La difficulté, bien entendu, est que la plupart de vos correspondants n’ont pas (encore) de clef de chiffrement : vous ne pouvez donc chiffrer que rarement, et ce qu’on vous envoie est le plus souvent en clair. Deux choses à faire pour que cela change : (1) faites du prosélytisme en rappelant à tous combien il est imprudent de ne pas chiffrer, (2) chiffrez quand même, mais de manière symétrique c’est-à-dire avec une clef unique de chiffrement et de déchiffrement, en transmettant la clef à vos destinataires par un autre canal (la clef étant dans ce cas à usage unique, en tout cas à n’utiliser que deux ou trois fois au maximum). Un service permettant cela est LockBin.
D’accord, c’est un peu embêtant pour vous et surtout pour vos correspondants qui ne disposent pas forcément du savoir-faire et des outils nécessaires. Lorsque surviendront les premières manifestations de la disparition du secret des correspondances privées et les dommages collatéraux qui en découlent, on verra probablement les comportements changer : le chiffrement deviendra la norme.
Vous pouvez aussi créer une identité “PrivacyBox” permettant à n’importe qui de vous écrire anonymement et confidentiellement, sans forcément disposer d’outils de chiffrement. Voici un exemple. [6]
Incluez dans votre signature une mention interdisant explicitement toute divulgation à un tiers sans votre autorisation expresse, sous peine de poursuites. À défaut de pouvoir les chiffrer, signez systématiquement (au sens cryptographique du mot, c’est-à-dire numériquement) vos messages. Ils seront alors authentifiés et horodatés de manière incontestable. Aucune copie ne pourra vous être imputée sans être accompagnée de votre signature et de votre autorisation de divulgation (en d’autres termes, vous pourrez nier la paternité de tout écrit non signé et non autorisé par vous à la divulgation). Certes, dans la plupart des cas le destinataire ne saura pas quoi faire de votre signature attachée ; mais en cas de problème sérieux vous pourrez la faire valoir devant un tribunal compétent. N’oubliez pas que “nul ne peut invoquer sa propre turpitude”, c’est-à-dire utiliser contre vous un écrit dont vous n’aviez pas autorisé la divulgation.
Exemple de signature type :
Ces recommandations peuvent sembler paranoïaques aujourd’hui, mais vous verrez bientôt qu’elles s’imposeront (se souvenir des mésaventures de Jérôme Bourreau-Guggenheim, viré de TF1 pour un courriel privé qui a déplu à sa hiérarchie qui n’aurait jamais dû en avoir connaissance).
[1] Le Soir a sucré l’article, mais Mecanopolis a heureusement conservé l’information. C’est peut-être significatif : il est possible qu’on ait voulu faire disparaître l’info, mais le Net n’étant pas encore contrôlé mondialement, ce qu’on coupe ici repousse là - pour l’instant. EDIT : Mecanopolis a fait disparaître l’info à son tour, mais on peut encore la trouver ici.
[2] Certains politiques voudraient introduire une exception pour les correspondances électroniques, mais on n’imagine pas un juge constitutionnel digne de ce nom acceptant cela. Partout où le secret des correspondances privées est garanti par la loi fondamentale, il faudra en passer par une révision constitutionnelle et une abrogation de l’article 12 de la Convention Universelle des Droits de l’Homme, ce qui ne sera pas facile politiquement parlant.
[3] On peut déjà noter que les solutions de téléphonie cryptée récemment apparues sont strictement réservées aux “représentants de l’autorité”, c’est-à-dire à ceux qui imposent au citoyen ordinaire une surveillance à laquelle ils se soustraient par la même occasion : vous et moi ne pourrons jamais téléphoner secrètement ; ceux qui nous surveillent le pourront. Les organisations criminelles et terroristes aussi, bien entendu (se procurer des armes n’a jamais été un problème pour elles, il en sera évidemment de même pour les équipements prohibés de cryptophonie).
[4] Puisque c’est par lui que passeront vos écrits
[5] Ne perdez jamais de vue que si quelque chose est gratuit, la marchandise c’est vous.
[6] Ce service a hélas cessé toute activité en juin 2013, voir ici.
RSS site
