L'éditeur de la messagerie Signal a fait savoir qu'il avait répondu défavorablement à une demande officielle d'informations sur ses utilisateurs, puisqu'il a précisément conçu ses protocoles pour ne pas être en mesure de répondre. Un « privacy by design » qu'il souhaite voir imité par ses concurrents.

En matière de protection de la vie privée, il existe trois catégories d’entreprises. Il y a celles qui comme Blackberry estiment qu’il est de leur devoir d’être en capacité d’aider les autorités à mettre sous surveillance des communications, parce qu’il en va de leur responsabilité à l’égard de la société tout entière. Il y a celles qui comme WhatsApp prétendent protéger la vie privée avec des messageries sécurisées, mais qui conservent les précieuses métadonnées pour les exploiter et les mettre à la disposition des pouvoirs publics. Et il y a celles, les pires aux yeux des gouvernements, qui font techniquement en sorte d’être incapables de répondre aux demandes de la police, pour ne subir aucune pression et avoir la certitude de ne pas participer à la traque de dissidents.

C’est le cas d’Open Whisper Systems, la société qui édite la messagerie sécurisée Signal Private Messenger, disponible sur Android et sur iOS. Celle-ci permet de chiffrer l’envoi des SMS entre deux utilisateurs, et de chiffrer les communications vocales, mais le service ne dispose pas des clés utilisées par les correspondants, et ne conserve pas de métadonnées qui renseigneraient sur qui communique avec qui, selon quelles fréquences, à quels endroits, etc.

stayprivate

Nous essayons d’avoir aussi peu d’informations que possible

Ainsi Associated Press raconte que l’entreprise a été mise en demeure de fournir des informations sur un ou plusieurs utilisateurs, mais qu’elle a envoyé une fin de non-recevoir aux autorités demandeuses. La très importante American Civil Liberties Union (ACLU), qui représente les intérêts d’Open Whisper Systems, a expliqué à l’agence de presse qu’elle n’avait fourni aucune information, ni sur les noms des utilisateurs, ni sur leurs adresses ou leurs historiques d’appels et d’envois de messages, tout simplement parce qu’elle n’avait pas ces informations.

« Ce n’est pas que Signal a choisi de ne pas pas fournir des journaux d’informations. C’est juste qu’il ne le pouvait pas », a ainsi expliqué Brett Kaufman, l’avocat de l’ACLU, à Associated Press.

« Nous essayons d’avoir aussi peu d’informations que possible », a confirmé l’inventeur de Signal, Moxie Marlinspike. « Nous espérons que ça soit un exemple pour les autres entreprises, sur la manière dont ils peuvent continuer à se battre pour la vie privée de leurs utilisateurs ».

Dans un billet publié à la mi-journée sur son blog, Open Whisper Systems publie la mise en demeure, reçue de la part du Département de la Justice des États-Unis. L’éditeur précise qu’un ordre lui interdisait de publier cette demande, mais qu’il a pu le faire annuler avec l’aide de l’ACLU. La requête a été formulée par le FBI dans le cadre d’un procès pénal en Virginie, et concerne des données de 2016.

Les protocoles de sécurisation définis par Marlinspike sont partiellement mis en place dans d’autres messageries comme WhatsApp, Facebook Messenger ou Allo en mode Incognito, mais le cryptologue a toujours pris soin de ne jamais approuver leur implémentation parcellaire.

En Europe, la Commission veut désormais obliger les fournisseurs de messagerie électronique comme Open Whisper Systems à stocker des données et à rendre leurs messageries écoutables sur demande.

À lire sur Numerama : Pourquoi Apple a raison de protéger les droits fondamentaux contre les États

 

Partager sur les réseaux sociaux

Articles liés