En prétendant que la CIA pouvait casser le chiffrement des messages que s'échangent les internautes sur WhatsApp, Telegram ou Signal, WikiLeaks a colporté une fausse information. Toutefois, si le chiffrement bien implanté reste une protection, l'utilisation d'une messagerie chiffrée sur un appareil infecté ne sert à rien.

Lors des révélations faites par Snowden en 2013, les experts en sécurité informatique ont découvert que depuis plus de trois ans, la NSA avait trouvé une méthode pour briser certains systèmes de chiffrement employés dans les protocoles les plus répandus sur Internet, en particulier HTTPS qui permet de sécuriser la liaison qui s’établit entre l’ordinateur de l’utilisateur et le site web qu’il est en train de visiter.

En effet, en 2010, l’agence américaine spécialisée dans le renseignement électronique faisait une découverte technologique quasi-inédite qui lui a permis d’ouvrir la porte d’un standard de chiffrement pourtant réputé et massivement répandu sur Internet, que ce soit pour accéder à un service de courriel ou effectuer un paiement en ligne. C’est dans le cadre du programme Bullrun que la NSA a vu ses recherches dans la lutte contre le chiffrement être couronnées de succès.

La CIA n’a pas cassé le chiffrement, au contraire

Cette avancée obtenue par l’agence fédérale ne sera révélée au grand public qu’en 2013 par le désormais très célèbre lanceur d’alerte, qui se trouve aujourd’hui réfugié en Russie. Depuis, le chiffrement n’est pas sorti du viseur des services de renseignements américains qui continuent de lutter, comme ils peuvent, contre la démocratisation de ces algorithmes de protection.

Or, en parcourant les premières pages de révélations autour de Vault 7, on comprend bien rapidement que la CIA — moins experte que la NSA en la matière — n’a pas réussi la prouesse de Bullrun. Pour étayer cette affirmation, il faut s’en remettre à quelques constats et à un peu de chronologie : certes, nous ne disposons que de la première salve du dossier que possède WikiLeaks. Toutefois, si WikiLeaks avait eu la preuve indéniable que l’agence américaine a réussi à briser le chiffrement d’applications de messagerie comme Signal ou WhatsApp, il ne fait guère de doute que l’organisation aurait immédiatement fait de cette révélation une priorité.

Or, l’organisation de M. Assange indique dans un message, en se basant sur les premiers documents qui ont été publiés, que la CIA peut lire nos conversations chiffrées. En réalité, il semble que WikiLeaks se trompe, ou du moins surinterprète ses documents. Sauf à supposer que l’organisation cacherait ses preuves en attendant un moment plus opportun pour les divulguer ultérieurement.

Par ailleurs, si on s’intéresse au tweet en question, qu’Edward Snowden lui-même conteste dans un tweet, ce ne sont pas les technologies de chiffrement que la CIA serait parvenue à percer, mais plutôt les systèmes d’exploitation qui accueillent les applications spécialisées dans le chiffrement. De fait, il est faux en l’état actuel des choses de prétendre que le chiffrement de ces messageries est désormais inutile et superflu, car brisé.

C’est même le contraire qu’il faut comprendre : face à une technologie de chiffrement très avancée, les espions n’ont pas d’autre choix que de frapper, cible par cible, les systèmes d’exploitation, en passant plutôt par la fenêtre si jamais la porte d’entrée est trop bien sécurisée pour pouvoir faire quoi que ce soit

Pour Eric Filiol, expert en cryptologie et virologie informatique, les révélations de Vault 7 viennent confirmer ce que de nombreux cryptologues ont déjà expliqué : « le chiffrement est une porte blindée. Il faut le voir et le comprendre ainsi. Mais si cette porte blindée, vous l’installez sur un mur en carton, il ne sera pas nécessaire d’ouvrir la porte pour rentrer chez vous.  » Dans cette analogie, il faut comprendre que le mur en carton est ici la défense des systèmes d’exploitation que nous pouvons utiliser au quotidien, comme Windows, iOS et Android.

Au chiffrement citoyens !

Ainsi, sur un appareil Android, dont une faille de sécurité est utilisée par la CIA pour accéder à des informations, vous pourrez toujours utiliser Signal et vos messages seront parfaitement chiffrés en ce qui concerne leur transit sur le réseau. Le danger se trouve avant : avant d’être envoyés, les message sont susceptibles d’être lus, en clair, par l’éventuel logiciel espion qui aura accès à votre smartphone. Car si le chiffrement concerne l’expédition et la réception des messages, il n’intervient — naturellement — pas au moment de la saisie de ces messages que vous réalisez en clair.

Toutefois, la leçon qu’il nous semble importante de retenir de cette affaire c’est qu’au quotidien, pour un citoyen lambda, le chiffrement protège encore et durablement d’une surveillance de masse située, elle, sur les câbles qui parcourent nos océans et les données déversées dans les infrastructures réseaux. Ces données-là restent, elles, chiffrées et imperméables à toute intrusion lors de leur transit.

S’il fallait donner des conseils judicieux pour se prémunir d’une attaque de la sorte de la part de la CIA, ou d’autres groupes, nous dirions qu’il ne faudrait non pas s’en prendre aux messageries chiffrées, mais aux failles non-colmatées dans nos systèmes d’exploitation. D’où l’importance de faire vos mises à jour dès qu’elles sont disponibles.

À lire sur Numerama : Pourquoi les révélations de Wikileaks rappellent l’importance des mises à jour logicielles

Partager sur les réseaux sociaux