BLOGUE. La semaine dernière, la firme allemande Heise Security a révélé que les messages privés envoyés par l’entremise de Skype étaient ouverts par Microsoft. La révélation en a fait sursauter plus d’un, puisque Skype était perçu comme un champion de la vie privée… avant son acquisition par Microsoft.
Tout ce que le test de Heise Security nous révèle, c’est qu’une adresse IP basée à Redmond (où se trouve le siège social de Microsoft) visite les liens sécurisés envoyés par l’entremise de la messagerie de Skype. Il s’agit de toute évidence de visites de robots et, même pour les experts, l’objet de ces visites demeure nébuleux.
La révélation n’est pas vraiment étonnante dans la mesure où les conditions d’utilisations de Skype spécifient que cette dernière se réserve le droit d’intercepter les communications de ses utilisateurs. Dans les faits, elle a surtout permis au grand public de prendre conscience des limites de services comme Skype en matière de confidentialité.
Suite à cette révélation, Nadim Kobeissi a annoncé sur GitHub qu’il avait l’intention d’ajouter le support de la voix et de la vidéo à son service de messagerie crypté Cryptocat. Joint par courriel, il m’a dit qu’il devrait être en mesure de développer ces nouvelles fonctionnalités d’ici deux à trois mois. Kim Dotcom, pour sa part, travaillerait déjà à mettre au point un client de messagerie courriel crypté.
Skype, pourtant, crypte toutes les communications de ses utilisateurs. Aussi, à première vue, il est légitime de se demander en quoi les produits alternatifs cités plus haut devraient être plus sécuritaires. Ils le seront pour deux raisons. D’abord, ils ont été conçus de manière à ce que le fournisseur n’ait jamais en sa possession la clé de cryptage, ce qui l'empêche de décrypter les communications de ses utilisateurs. Ensuite, leur code source a été publié.
La suite : Les backdoors sont des failles de sécurité
Les backdoors sont des failles de sécurité
Cette approche met non seulement les utilisateurs à l’abri de leur fournisseur et des autorités policières, mais rend la tâche des pirates beaucoup plus difficile. En effet, même si tous les serveurs du fournisseur étaient compromis, les données des utilisateurs ne le seraient pas.
De plus, en adoptant cette approche, il leur est impossible de donner aux services policiers un moyen d’intercepter les communications, qu’on appelle backdoor en anglais. Ce type d’accès serait monnaie courante dans l’industrie. Le FBI fait aussi pression pour qu’une loi oblige tous les fournisseurs américains à développer une backdoor.
Selon le pionnier en matière de cryptage, Phil Zimmermann, que j’ai interviewé la semaine dernière, les backdoors ne peuvent que rendre un service plus vulnérable. «Les backdoors sont des failles de sécurité que les entreprises ajoutent elles-mêmes dans leur code», m’a-t-il confié.
Finalement, contrairement à Skype ou à BlackBerry, par exemple, ces services ne protègent pas leur code source comme un secret industriel. Bien au contraire, ils permettent à leurs utilisateurs de le consulter. De cette manière, leurs utilisateurs (du moins ceux ayant des connaissances avancées en informatique) peuvent s’assurer eux-même que le produit qu’ils utilisent est sécuritaire et qu’il ne contient aucune backdoor.