Pourquoi le courrier électronique ne peut pas être complètement privé

Lorsque Lavabit, un service de messagerie utilisé par Edward Snowden, un responsable de la fuite de l'Agence de sécurité nationale, a suspendu son service la semaine dernière alors qu'il avait laissé entendre qu'il avait reçu une demande d'informations du gouvernement, un service concurrent appelé Silent Circle a pris une décision draconienne : effacer tous ses clients. ' e-mail stocké.





L'épisode a mis en évidence deux faiblesses fondamentales du courrier électronique. Premièrement, même si un service de messagerie crypte les messages de manière confidentielle, comme l'ont fait Lavabit et Silent Circle, les en-têtes de messagerie et les protocoles de routage révèlent qui sont les expéditeurs et les destinataires, et ces informations peuvent être précieuses en elles-mêmes. Et deuxièmement, les codes d'accès utilisés comme clés pour déchiffrer les messages peuvent être demandés par le gouvernement (s'ils sont détenus par la société de messagerie) ou simplement volés par des logiciels malveillants sophistiqués.

Lorsque le courrier électronique a été créé il y a 40 ans, la sécurité ou l'anonymat ne faisaient pas partie de la conception. Les protocoles de routage et d'étiquetage indiquent clairement quel ordinateur l'a envoyé ou l'a transmis, quel ordinateur l'a reçu et à quelle heure tout cela s'est produit. Il y a beaucoup trop de fuites d'informations et de métadonnées intrinsèquement dans les protocoles de messagerie eux-mêmes, déclare Mike Janke, PDG de Silent Circle, dont les clients incluent des personnes dans des entreprises et des agences gouvernementales ayant des secrets à protéger. Peu importe ce que vous essayez de faire avec le courrier électronique, il existe ces faiblesses inhérentes. Nous nous sommes donc débarrassés de Silent Mail [le service de messagerie électronique de l'entreprise]. Nous avons tout supprimé, brûlé et jeté dans l'océan avec des cadenas et des chaînes dessus. Les gens ont perdu tous leurs e-mails, mais la réponse est passée de « Pourquoi feriez-vous cela ? » à « Merci d'avoir fait cela. »

Lavabit et Silent Circle et d'autres fournisseurs ont proposé une proposition simple : ils garderont votre courrier électronique crypté à tout moment, sauf lorsque vous le lisez et l'écrivez sur votre propre ordinateur. Cela contraste avec des services comme Gmail, qui crypte les e-mails uniquement pour le voyage sur le réseau, mais stocke les messages en clair dans ses serveurs et exploite ces données pour vous diffuser des publicités.



Le fondateur de Lavabit, Ladar Levinson, dit qu'il a suspendu ses opérations plutôt que d'être complice de crimes contre le peuple américain. Levinson n'a pas pu être joint pour commenter mais a dit la New York Times qu'il était sous bâillon, ce qui implique qu'il a reçu une lettre de sécurité nationale, dans laquelle le FBI ou la NSA demande des informations pour une enquête pertinente à la sécurité nationale et exige que le destinataire ne révèle même pas avoir reçu la lettre. Contrairement à Silent Circle, les données Lavabit n'ont pas été supprimées, dit-il.

Janke dit que la nouvelle a déclenché une conversation d'urgence avec Phil Zimmermann, un fondateur de Silent Circle qui a créé en 1991 le protocole de cryptage des e-mails connu sous le nom de PGP pour une assez bonne confidentialité (voir Une application éloigne les espions de votre iPhone). Une fois que nous avons vu ce qui s'est passé avec Lavabit, nous avons réalisé que ce n'était pas des jours, c'était des heures que nous devions prendre une décision, dit Janke. Mais il ajoute qu'il n'a jamais reçu de demande.

Le problème, outre les métadonnées qui accompagnent tous les e-mails, était que 98 % des clients de Silent Mail ont choisi de laisser Silent Circle conserver les clés de chiffrement, ce qui a rendu l'utilisation du service beaucoup plus facile. Lorsque les utilisateurs gèrent leurs propres clés, ils doivent se connecter à un système spécial pour échanger des clés cryptographiques avec chaque personne avec laquelle ils souhaitent envoyer des e-mails. En possédant les clés pour gérer ce processus, l'entreprise pourrait déchiffrer les messages si elle y était forcée. Si nous recevons une demande légitime, nous pourrions en fait la retourner, dit Janke (voir NSA Chief Says U.S. Phone and Web Surveillance Sets Standard for Other Countries ).



Silent Circle reste en activité, car moins de 5 % de ses clients utilisaient le service de messagerie désormais supprimé. La plupart d'entre eux utilisent d'autres services Silent Circle qui cryptent le contenu du téléphone, du texte et de la vidéo. Cela permet aux utilisateurs, par exemple, d'envoyer un fichier crypté par SMS et même de fixer une limite de temps afin qu'il soit supprimé des appareils d'envoi et de réception après un certain temps.

Pourtant, ces services peuvent également être compromis par des logiciels malveillants qui peuvent voler les clés de chiffrement stockées sur les ordinateurs ou récupérer des données qui ont été déchiffrées par l'utilisateur. Il est très difficile d'être protégé contre les logiciels malveillants, explique Radu Sion, informaticien et expert en sécurité à l'Université Stony Brook. Un adversaire très déterminé - je ne veux pas dire le gouvernement ici - aura accès à n'importe quelle machine dans le monde.

Les services de messagerie existants pourraient devenir un peu plus privés en cryptant les informations d'en-tête. Les techniques sont bien comprises, mais la demande est limitée, dit Sion. Le public ne le demande pas car les gens ne se soucient pas vraiment de la vie privée, dit-il. Et les fournisseurs de messagerie cloud gagnent beaucoup d'argent en exploitant vos messages.



Pendant ce temps, Silent Circle travaille au remplacement de son ancien service de messagerie par un système qui ne repose pas sur les protocoles de messagerie traditionnels et ne garde aucun message ni métadonnées à la portée de l'entreprise. Il est basé sur un protocole souvent utilisé pour les messages instantanés et d'autres applications. Janke dit que l'objectif est que cela ne soit pas un e-mail, mais à toutes fins utiles, il ressemble, se sent et agit comme un e-mail.

cacher