UXDE dot Net Wordpress Themes

Quels outils pour garantir le secret des correspondances sur internet?

dans Non classé / Réagissez à cet article!

          Grâce aux révélations sur PRISM de l’été dernier, nous avons pris la connaissance du fait que nous sommes tous espionnés par les services secrets américains. L’état de choc s’étant apaisé depuis, on se pose dorénavant la question : que faut-il faire ? Quel est le vrai niveau de sécurité sur internet quand il s’agit de secret de correspondances? Quels sont les risques d’usurpation d’identité ? A ce jour il existe de nombreux moyens de communications électroniques sur internet très différents de par leur fonctionnalité mais aussi par leur niveau de protection de la communication. Aujourd’hui quand on parle de sécurité des systèmes d’informations on ne peut pas faire l’impasse sur la sécurité technique de ces systèmes.  Est-ce qu’il est possible de regagner son droit à la vie privée sur internet et si oui, quels moyens utiliser ? Dans cet article nous voulions d’abord parler uniquement des services de messagerie instantanée, moyens de communication simples et rapides accessibles même avec une connexion mobile très faible, qui regagnent en popularité de nos jours malgré l’emprise apparente des réseaux sociaux. Néanmoins on ne peut pas laisser de côté Skype qui est littéralement devenu synonyme de téléphonie sur internet.

        Pour ne pas induire en erreur et probablement décevoir les juristes qui vont lire cet article, nous voudrions les avertir d’emblée : il s’agira ici des régimes juridiques de ces moyens de communications mais l’attention sera surtout portée sur leur sécurité. Sécurité qui ne pourra être atteinte qu’avec des procédés techniques dont nous allons esquisser quelques particularités et vulnérabilités.

Skype

            On a beaucoup entendu parler au cours de l’année 2013 de Skype, colosse de la messagerie instantanée racheté en 2011 par Microsoft, parce qu’il ne s’est pas déclaré auprès de l’ARCEP (Autorité de régulation des communications électroniques et des postes) en tant qu’opérateur de communications électroniques en France. Skype représente aujourd’hui 1/3 des communications internationales selon l’institut TeleoGeography. Il est intéressant de noter également que 40% des utilisateurs réguliers de Skype s’en servent à but professionnel. Skype Communications propose aux internautes français des services qui permettent de passer des appels téléphoniques, depuis ou vers un terminal connecté à internet, comme un ordinateur ou un smartphone, au moyen du logiciel proposé par une autre société du groupe Skype, la société Skype Software S.à.r.l. Selon l’ARCEP ces services ne constituent pas des services de communications électroniques. En revanche, c’est le cas pour le service permettant aux internautes d’appeler, depuis leur ordinateur ou leur smartphone, des numéros fixes et mobiles, situés en France ou ailleurs dans le monde. Plus exactement c’est un service téléphonique au public au sens du paragraphe 7 de l’article L32 du Code des postes et des communications électroniques.  L’exercice en France d’une activité d’opérateur de communications électroniques ne requiert pas d’autorisation administrative, mais seulement une  déclaration préalable, conformément à l’article L33-1 du CPCE. L’ARCEP a demandé à la société Skype de faire cette déclaration ce qu’elle n’a toujours pas fait. Une enquête préliminaire a été déclarée par le procureur  de la République à l’encontre de cette dernière. L’article L39 du CPCE prévoit une peine maximale d’un an de prison et 75 000 euros d’amende. Ainsi, Skype peut se rendre coupable d’un manquement à son obligation de se déclarer en tant qu’opérateur de communications électroniques sur le territoire français.

         Les raisons pour lesquels elle ne l’a toujours pas fait semblent évidentes. Le statut d’opérateur de communications électroniques impose des obligations issues du CPCE, de manière à préserver l’intérêt général, comme par exemple maintenir la sécurité des échanges, acheminer les appels d’urgence, mettre en œuvre des moyens nécessaires à la réalisation des interceptions judiciaires. De plus, les opérateurs doivent déclarer chaque année à l’ARCEP leur chiffre d’affaires car ils sont tenus au paiement d’une taxe administrative calculée sur ce chiffre. Skype « ne peut pas fournir un accès en cas d’urgence et ne doit pas se substituer à un service téléphonique traditionnel » comme indiqué dans ses conditions générales d’utilisation.  Et pourtant on peut noter que sur le site de Skype les appels d’urgence sont activés pour le Royaume-Uni, l’Australie, la Finlande et le Danemark.

              Mais d’une manière générale les faits cités ci-dessus n’empêchent pas que Skype reste un moyen de communication sécurisé comme il le revendique. Est-ce vraiment le cas au niveau technique ? Plusieurs études menées sur le sujet démontrent l’inverse. Pour ne pas aller trop dans les détails, nous allons résumer :

–       l’interface de Skype repose sur l’usage des noms arbitraires choisis par les utilisateurs et non pas sur les pseudos uniques qui sont indissolublement liés avec le compte utilisateur. Ainsi, ces noms arbitraires peuvent être facilement imités de manière à ce que l’utilisateur  non averti soit induit en erreur ;

–       le site skype.com ne prend pas en charge le protocol HTTPS ce qui permet à un tiers d’altérer le logiciel téléchargé. La Chine, par exemple, est connue pour produire sa propre version du logiciel Skype infecté qui permet d’intercepter, falsifier et surveiller la communication ;

–       Pour transmettre la voix, Skype utilise la compression VBR (variable bit-rate) qui permet de reconnaître le contenu des flux audio chiffrés avec une précision de 50-90% selon une étude de l’Université de Johns Hopkins.

Untitled
Avec VBR des quantités d’information différentes génèrent des paquets de données différents.  Le malfaiteur peut écouter certaines phrases en regardant la taille des paquets consécutifs de données.

–       Le brevet déposé par Microsoft en 2009 qui s’appelle « Legal intercept »(US Patent & Trademark Office, Patent Application #20110153809 ; June 23, 2011) mentionne Skype comme un des services permettant d’enregistrer des appels téléphoniques passés par le système de VoIP. Autrement dit, il y a une brèche de confidentialité prévue dès le début.

         Finalement, nos observations personnelles de l’usage de Skype, confirmés par de nombreuses observations des internautes, permettent de soupçonner son insécurité. Sur l’image suivante on peut constater qu’un gestionnaire des processus a identifié que l’application de Skype essayait  d’accéder au fichier wand.dat,  un fichier qui contient,  en effet, les mots de passe pour les web-forms du navigateur web :

Untitled 2

Malgré le fait que la question concernant ce comportement inhabituel de Skype.exe ait été posée plusieurs fois au service d’assistance de Skype, aucune réponse satisfaisante n’a été donnée. Etant donné que le fichier wand.dat contient des données importantes et fait partie du système de traitement automatisé des données du navigateur, ce comportement ressemble beaucoup au « fait d’accéder ou de se maintenir, frauduleusement, dans tout ou partie d’un système de traitement automatisé de données» au sens de l’article 323-1 du Code pénal. Ce fait est puni de deux ans d’emprisonnement et de 30000 euros d’amende.
Mais laissons maintenant de côté le bras droit de la NSA et parlons un peu de la messagerie instantanée.

Telegram et Cryptographie.

          Indépendamment des dispositifs juridiques, le secret des correspondances peut être obtenu par la mise en place de systèmes de chiffrement qui assurent – de manière plus ou moins efficace – la confidentialité des réseaux utilisés.

           Telegram est une messagerie instantanée gratuite qui permet de transmettre des messages, des photos, des vidéos et des fichiers de tout type. Elle permet aussi de créer des groupes de conversation jusqu’à 200 personnes. Cette application a été développée pour empêcher que les conversations ne puissent être lues si elles sont interceptées. Pour cela elle sont protégées avec un cryptage de niveau militaire. Ce niveau est assuré par le protocole MTProto qui a été développé par l’équipe de Telegram. Il est basé sur le standard de chiffrement symétrique AES (Advanced Encryption Standard ou « standard de chiffrement avancé » en français), utilisé  par les organisations du gouvernement), un algorithme de chiffrement RSA-2048 asymétrique et il utilise deux couches de chiffrement : entre le serveur et le client et entre les clients.  Dès qu’une conversation secrète est créée, les appareils périphériques s’échangent des clés de chiffrement en utilisant la méthode d’échange de clés dite Diffie-Hellman.

Untitled 3

           Quand la connexion sécurisée de bout à bout est établie (end-to-end encryption), l’application génère une image qui permet de visualiser la clé de cryptage pour la conversation. On peut ensuite comparer cette image avec celle de l’interlocuteur – si les deux images sont les mêmes, on peut être sûr que le « chat » secret est sécurisé et aucune attaque man-in-the-middle ne pourra éventuellement réussir.

Untitled 4

Telegram dispose donc de deux modes de conservation des données. En premier lieu, les données chiffrées peuvent être conservées dans le cloud pour qu’on puisse y accéder à partir de tous ses appareils (PC, mobile). Dans ce cas les clés de chiffrement sont conservés dans plusieurs data centers dans des pays (et juridictions !) différents de manière à ce que les ingénieurs locaux ne puissent pas accéder aux données des utilisateurs. En second lieu, quand le chiffrement de bout à bout est utilisée, les données ne sont conservées que sur les appareils d’envoi et de réception ce qui littéralement veut dire que les messages ne peuvent être lus que sur les écrans d’émetteur et de destinataire.

         L’article 29 de la loi 2004-575 du 21 juin 2004 pour la confiance dans l’économie numérique a définit le moyen  de cryptographie. Il s’agit de « tout matériel ou logiciel conçu ou modifié pour transformer des données, qu’il s’agisse d’informations ou de signaux, à l’aide de conventions secrètes ou pour réaliser l’opération inverse avec ou sans convention secrète. Ces moyens de cryptologie ont principalement pour objet de garantir la sécurité du stockage ou de la transmission de données, en permettant d’assurer leur confidentialité, leur authentification ou le contrôle de leur intégrité ».

         Jusque dans les années 1970 la réglementation accompagnant la cryptographie n’était pas compliqué : la fabrication, l’usage, l’importation de moyens de cryptologie étaient interdits par principe. Seuls les militaires y avaient accès.  Puis ce sont surtout les banques qui commencèrent à s’y intéresser. Elles utilisent ces moyens encore à ce jour afin de protéger la confidentialité des transactions.

        Depuis quelques années, un principe nouveau semble s’imposer dans le droit français : celui du droit à la sécurité des réseaux de télécommunications qui a conduit le législateur à assouplir sensiblement la réglementation des instruments de cryptographie.  C’est avec l’arrêté du 18 février 1986 relatif à la fabrication, au commerce, à l’acquisition, à la détention et à l’utilisation de moyens de cryptologie destinés à des fins professionnelles ou privées sur le territoire national, que la France a commencé à libéraliser l’usage de la cryptologie dans le secteur civil. Les matériels et logiciels de cryptographie ne sont plus considérés comme des matériels de guerre sauf s’ils servent à la mise en œuvre d’armes (le produit est alors interdit). Le décret du 17 mars 1999 instaure le régime de la déclaration qui donne la possibilité de commercialiser un produit dont la longueur de la clé de chiffrement est de 128 bits. La loi pour la confiance dans l’économie numérique du 21 juin 2004 libéralise l’utilisation des moyens de cryptologie. Elle est libre en France en vertu de l’article 30 de la loi : « La fourniture, le transfert depuis ou vers un Etat membre de l’Union européenne, l’importation et l’exportation des moyens de cryptologie assurant exclusivement des fonctions d’authentification ou de contrôle d’intégrité sont libres ».

          Les utilisateurs de Telegram peuvent donc communiquer sans se soucier de savoir s’il a été déclaré à l’ANSSI. Cette liberté touche les particuliers comme les entreprises et toute personne morale plus généralement. Par contre, le transfert, la fourniture depuis ou vers un Etat membre de l’Union européenne, l’importation et l’exportation de ces moyens, sont réglementés lorsque ces moyens n’assurent pas exclusivement des fonctions d’authentification ou de contrôle d’intégrité. Ces opérations sont soumises soit au régime de la déclaration, soit au régime de l’autorisation.  La fourniture consiste à la mise à disposition d’un moyen à titre gratuit ou onéreux. L’importation est le fait de faire entrer un produit sur le territoire français depuis un pays extérieur à l’Union européenne.
Telegram met à disposition des moyens assurant une fonction de confidentialité des échanges de messages et doit donc effectuer une déclaration pour pouvoir fournir ou importer ses moyens de cryptologie (article 30 III et IV de la loi LCEN) nonobstant le fait qu’il utilise d’autres fonctions non contrôlées comme, par exemple, celle de la visualisation de la clé qui assure l’intégrité des messages.

           L’article 30 II de LCEN prévoit qu’un décret fixe les conditions dans lesquelles les déclarations sont souscrites. Le décret n° 2007-663 du 2 mai 2007 relatif aux moyens et aux prestations de cryptologie pris pour l’application des articles 30, 31 et 36 de la loi LCEN fixe la procédure de déclaration des moyens de cryptologie. Tout fournisseur ou importateur peut effectuer une déclaration mais il est préférable que le fabricant du produit cryptologique s’en charge. Telegram dispose de plusieurs projets indépendants permettant de le présenter sur plusieurs plateformes. L’article 6  du décret n° 2007-663 prévoit que les revendeurs et les intermédiaires sont couverts par la déclaration effectué par le fabricant. La procédure de déclaration des moyens de cryptologie assurant des fonctions de confidentialité est décrite dans les articles 4 à 8 du décret n° 2007-663.
En attendant que la déclaration à l’ANSSI soit officielle, Telegram prend de l’ampleur partout dans le monde, y compris en France. Trois semaines après son lancement, le taux d’enregistrement avait atteint cent milles personnes par jour et, il est intéressant de noter que la majorité d’entre elles viennent des pays du Golfe Persique. En tant que moyen de communication Telegram est actuellement très populaire dans ces pays car les possibilités proposées (envoi de documents jusqu’à 1Gb, la possibilité de stockage des données dans le cloud, la rapidité) répondent bien aux besoins des utilisateurs venant de Qatar, Koweït, Bahreïn, Arabie Saoudite etc.

Untitled 5

Données fournies par l’infrastructure d’analyse d’applications AppAnnie

Au moment de l’annonce du récent rachat par Facebook de la messagerie instantanée la plus populaire au monde – WhatsApp, Telegram a atteint 5 millions de téléchargements par jour. Elle est ainsi devenue l’application la plus téléchargée dans 48 pays. Bien que le nombre d’utilisateurs de Telegram soit encore très loin de celui de WhatsApp, Telegram est déjà beaucoup plus performant  et sécurisé que son concurrent principal. Jetons un coup d’œil sur le volet « sécurité » de WhatsApp.

WhatsApp

       Le rachat de cette application propriétaire a été annoncé fin février pour la somme astronomique de 19 milliards de dollars.  En réalité, Facebook a payé pour sa base de 430 millions d’utilisateurs enregistrés, soit environ 44$ par tête. Bien qu’il serait très intéressant d’étudier les véritables raisons de cette acquisition et l’utilisation éventuelle de cette base par Facebook, cela déborde de cadre de notre étude et nous allons nous focaliser plutôt sur la question de sécurité de WhatsApp.

        Projet Praetorian a permis de révéler plusieurs problèmes de sécurité concernant les données des utilisateurs de WhatsApp qui transitent par les serveurs terminaux, notamment le fait que l’application n’utilisait pas SSL pinning, un procédé permettant de vérifier l’absence d’intrusion d’un tiers (la fameuse attaque man-in-the-middle) dans la connection entre l’application mobile et le serveur terminal. Cela ferait certainement le jeu de la NSA. Cependant WhatsApp travaille actuellement sur l’implémentation de fonctionnalité de SSL pinning.  Cela devrait prendre du temps car le défi entre autres est de comprendre comment cette implémentation va changer l’intégrité de l’application. Cette fonctionnalité en soi n’est pas difficile à élaborer mais assez compliqué à mettre en place : les développeurs doivent faire des changements à leur application à chaque fois que le certificat SSL est changé.

         Par ailleurs, l’année dernière WhatsApp à son insu encouragé les autorités canadienne et néerlandaise de la protection de la vie privée à collaborer directement pour la première fois car elle a violé leur lois sur la protection des renseignements personnels et les documents électroniques (LPRPDE).  Le premier problème signalé était que le processus d’inscription à WhatsApp via les numéros de téléphone d’utilisateur n’empêchait pas l’utilisation de l’application même lorsque l’utilisateur n’avait pas répondu au message de confirmation de l’ouverture du compte. C’est-à-dire lorsque la personne inscrite ne confirmait pas son identité, l’application permettait néanmoins la transmission de messages à cet appareil.

      Le deuxième problème concernait le recours de WhatsApp au carnet d’adresses de l’utilisateur pour enrichir la liste de « tous ses contacts », liste qu’elle conservait éternellement.  Selon WhatsApp les numéros sont traités en plusieurs étapes, la plus importante étant une fonction de hachage « MD5 » appliquée aux numéros, cette procédure est conçue pour dépersonnaliser les numéros hors réseau. Le Commissariat à la protection de la vie privée du Canada a conclu d’abord que « les renseignements ne sont rendus réellement anonymes que lorsqu’ils ne peuvent jamais être associés à une personne, directement ou indirectement ». Il a ajouté aussi, après avoir effectué des essais, que « les numéros de téléphone pouvaient être récupérés, une fois que le cryptage est connu, en moins de trois minutes à l’aide d’un ordinateur de bureau standard de faible puissance ».  Les premières tentatives de WhatsApp de chiffrer le contenu de la communication de ses utilisateurs ont également échoué : WhatsApp utilisait les adresses MAC et les numéros IMEI en tant que clés de chiffrement afin de générer automatiquement des mots de passe pour l’échange des messages. Une méthode « assez bien connue et inappropriée », selon le Commissariat, compte tenu des risques liés au dévoilement des numéros IMEI et des adresses MAC, identifiants propres à chaque téléphone généralement attribués par les fabricants d’appareils.

          Ensuite,  le Commissariat lui reprochait la communication systématique des messages de statut. Contrairement à la plupart des plateformes qui permettent de limiter la diffusion des messages de statut, l’application WhatsApp diffusait ces messages délibérément  à tous les utilisateurs qui ont, dans leur liste de contacts, le numéro de téléphone de l’utilisateur dont le message est diffusé sans préavis de ce dernier. Ce processus était tout à fait incontrôlable avant que WhatsApp ne se soit conformé aux exigences du Commissariat et n’y ait apporté les changements nécessaires.

       Il est vrai que les français sont habitués à payer plus cher en utilisant le traditionnel SMS (1) et le taux de pénétration de WhatsApp en France n’est pas si impressionnant comparé aux autres pays européens (14% des smartphones) mais il est assez étonnant que la CNIL n’ait toujours pas émis son avis concernant cette question.

        En attendant que les utilisateurs de WhatsApp migrent vers Telegram, le fondateur de cette dernière, Pavel Durov invite gentiment tous les hackers et les spécialistes de la sécurité à essayer de s’introduire dans le système de Telgram et de déchiffrer le trafic. En cas de réussite, le prix de 200,000$ vous est proposé: https://core.telegram.org/contestfaq.
Cette somme pourrait éventuellement augmenter après que le premier gagnant se soit manifesté, ce qui est n’est toujours pas arrivé à ce jour.

(1) Il s’est envoyé 45,4 milliards de SMS au troisième trimestre 2013 selon l’ARCEP. Il faut noter que l’envoi des SMS vers l’étranger est souvent limité et payant.

Article rédigé par Andrey Kuznetsov

Laissez une réponse

XHTML: You can use these tags: <a href="" title=""> <abbr title=""> <acronym title=""> <b> <blockquote cite=""> <cite> <code> <del datetime=""> <em> <i> <q cite=""> <s> <strike> <strong>