Pour les appels et les messages, plusieurs outils de cryptage simples existent

Vie privée Skype, WhatsApp ou encore iMessage ne sont pas les plus sûrs

Plusieurs solutions, essentiellement sur smartphone, s’offrent aux internautes

Les révélations d’Edward Snowden sur les méthodes de surveillance de l’Agence américaine de renseignement (NSA) ont eu un mérite. Elles ont montré que nos moyens de communication – Skype, WhatsApp, Gmail, iMessage, Facebook chat… – ne sont pas assez sûrs. Pour protéger notre vie privée, les services usuels ne suffisent pas. Si WhatsApp a annoncé la semaine passée qu’il se mettait au chiffrement, il existe d’autres solutions de cryptage simples d’utilisation pour la téléphonie, la messagerie et le stockage de données. Les conseils de Frédéric Jacobs, étudiant en cryptographie à l’EPFL et membre de l’Electronic Frontier Foundation. Le Belge de 22 ans collabore aussi avec le collectif Open Whispersystems (TextSecure, Signal).

Messagerie instantanée

L’application payante (2 francs) Threema développée par la start-up suisse éponyme est une alternative séduisante à WhatsApp. Compatible sur iOS et Android, elle crypte les messages textes, images et les données de géolocalisation. Le cryptage s’effectue par le biais de clés de chiffrement. L’utilisateur a le choix de synchroniser l’intégralité de son carnet d’adresses ou d’intégrer de nouveaux contacts manuellement en scannant leur QR Code. Seul bémol, la société n’est pas très transparente sur la sécurité de son code source qui n’a toujours pas fait l’objet d’un audit indépendant.

Malgré tout, Threema fait mieux que MyEnigma. Cette application, elle aussi développée par une entreprise suisse (Qnective SAQ), offre des services analogues à Threema. Disponible gratuitement sur iOS, Android et BlackBerry, elle offre des services analogues avec un bon niveau de sécurité. A une seule différence: Qnective récolte les données personnelles (e-mail, numéro de téléphone, adresse IP du smartphone) à des fins d’authentification. Ces informations sont stockées pendant deux ans sur les serveurs de l’entreprise hébergés en Suisse.

L’alternative est TextSecure, développée par le collectif Open Whispersystems. Cette application gratuite disponible sur Android (une version iOS est en développement) offre plusieurs options. Soit l’envoi de SMS chiffrés (pour autant que le destinataire utilise lui aussi l’application). Soit, comme dans Whats­App, l’envoi de messages cryptés par Internet. Dans les deux cas, le contenu est stocké sur le téléphone et sécurisé par une phrase secrète. En cas de vol ou de perte, les messages sont illisibles.

Avec cette app, le contenu de la conversation est confidentiel, mais pas la communication. C’est-à-dire qu’un tiers saura qu’un contact a été établi, mais il n’en connaîtra pas la teneur, ni l’identité des destinataires. Pour démarrer une connexion sécurisée, TextSecure nécessitera un échange de SMS: les deux parties concernées vont envoyer et recevoir un message leur demandant d’établir le contact. TextSecure est aussi facile d’utilisation que WhatsApp et iMessage. Autre application performante: Cryptocat, utilisée entre l’ex-journaliste du Guardian Glenn Greenwald et son journal pour définir les modalités de publication des révélations Snowden.

Enfin, on mentionnera Silent Text, de la société Silent Circle. L’application permet de définir un laps de temps pendant lequel le destinataire peut voir le message avant qu’il ne soit détruit. Elle conserve aussi les clés utilisées pour chiffrer et déchiffrer les contenus sur le périphérique de l’utilisateur, si bien que l’entreprise ne peut pas livrer les clés de cryptage aux autorités légales qui en feraient la demande. Cet outil est gratuit au téléchargement, mais nécessite un abonnement aux offres de la société Silent Circle (environ 10 francs par mois).

Téléphonie

Le dernier arrivé sur le marché se nomme Signal. C’est la première application gratuite pour chiffrer les appels sur iPhone. Issu du projet Open Whispersystems, Signal est un outil open source. Un bon point, puisque les développeurs sont en mesure de vérifier en temps réel l’intégrité de l’application. Simple d’utilisation, Signal crypte la voix de bout en bout sur des communications VoIP. Lors d’un appel, l’application affiche deux mots sur l’écran du téléphone. L’interlocuteur doit les lire à haute voix pour s’identifier. Outre le chiffrement de la communication, l’application offre donc une authentification par reconnaissance vocale. L’application est compatible avec Redphone, son équivalent sur Android. On mentionnera aussi Silent Phone, l’équivalent de Silent Text pour les appels téléphoniques.

Courrier électronique

Pour chiffrer les e-mails, il existe toujours le système PGP, mais celui-ci est compliqué et aussi vieillissant, car inadapté aux enjeux sécuritaires actuels. L’alternative se trouve dans Enigmail, un module complémentaire de Mozilla Thunderbird pour protéger la confidentialité des communications. Enigmail n’est rien d’autre qu’une interface graphique conçue pour faciliter l’utilisation du programme open source de chiffrement GnuPG avec Thunderbird. Enigmail emploie la méthode de cryptographie à clé publique. Chaque utilisateur doit générer une paire de clés. L’une dite publique qu’il partage avec ses correspondants. L’autre privée et secrète, protégée par un mot de passe complexe. Si l’utilisateur dispose de la clé publique de son correspondant, il peut lui envoyer des messages chiffrés. Celui-ci sera le seul en mesure de déchiffrer et de lire le message, car il est l’unique propriétaire de la clé privée correspondante.

Stockage des données

Plusieurs solutions existent pour se passer de Dropbox et de iCloud. A l’instar de TrueCrypt (chiffrement local), un logiciel open source gratuit, géré par Linux, et recommandé par Edward Snowden. Il fonctionne sur Windows et Mac. TrueCrypt permet la création d’un disque virtuel chiffré, mais visible sur votre machine comme un disque dur physique. L’entier du contenu stocké (documents, noms de fichiers, répertoires) est crypté. Le chiffrement est automatique. Mais au début de l’été, le logiciel a subitement été retiré du Web par ses créateurs, car «il contiendrait peut-être des failles de sécurité non résolues».

L’autre outil se nomme Spider­Oak (chiffrement cloud). Soit un système de sauvegarde en ligne pour Windows, Mac et Linux. Il permet la sauvegarde, le partage, la synchronisation, l’accès et le stockage des données sur un serveur hors site. SpiderOak développe une approche dite de la «connaissance zéro», c’est-à-dire que le système chiffre les données sur le serveur par une clé, ainsi qu’un chiffrement généré par l’utilisateur. De ce fait, SpiderOak n’a aucun moyen d’accéder à vos données.

On mentionnera également les solutions Bitlocker (chiffrement de disque local Windows), Wuala (chiffrement cloud) et Bittorent Sync (Windows, Mac, Linux, iOS et Android). Et si aucune d’elles ne vous séduit, il existe sur tous les Mac le système Filevault qui chiffre votre disque dur. L’activer, c’est déjà se protéger en cas de perte ou de vol.