Les projets de la fondation Wikimédia disposent désormais d'une nouvelle couche de protection avec la confidentialité persistante. Bien qu'elle ne permette pas une défense absolue, cette nouvelle défense complique l'espionnage des communications électroniques.

Lorsque les premières révélations d'Edward Snowden sur la surveillance mondiale des télécommunications sont parues dans la presse, dévoilant au passage les capacités démesurées de certaines agences de renseignement occidentales pour espionner les individus, une référence à Wikipédia, l'encyclopédie libre et gratuite, a été découverte dans l'une des diapositives de la NSA.

Cette trouvaille n'a évidemment pas plu du tout aux contributeurs, qui ont alors recommandé aux internautes fréquentant les projets de la fondation d'utiliser l'extension HTTPS Everywhere (disponible sur pour Firefox et Google Chrome) conçue par l'EFF ou de faire passer leur connexion dans le réseau TOR afin de bloquer les regards indiscrets (bien que TOR intéresse beaucoup la NSA).

En marge de ces conseils, la fondation Wikimédia a présenté une feuille de route visant à renforcer la sécurité et la confidentialité de ses membres. Ainsi, l'activation par défaut de la connexion HTTPS pour les utilisateurs enregistrés sur les projets de la fondation Wikimédia a eu lieu en août dernier, tandis que la confidentialité persistante (forward secrecy) est active depuis la semaine dernière.

Confidentialité persistante

L'Electronic Frontier Foundation, une ONG dédiée à la défense des libertés fondamentales, indique en effet que la confidentialité persistante est en place au niveau des connexions chiffrées, rendant plus difficile encore toute tentative de surveillance par un tiers. Mais attention : cette protection n'est active que si la liaison avec les projets de la fondation est effectivement chiffrée.

Qu'est-ce que la confidentialité persistante ? Il s'agit d'une propriété en cryptographie qui garantit que la découverte par un adversaire de la clé privée d'un correspondant (secret à long terme) ne compromet pas la confidentialité des communications passées, explique la page Wikipédia qui lui est dédiée.

Une protection solide mais imparfaite

"La confidentialité offerte par cette mise à jour n'est pas absolue. L'une des faiblesses est que [la confidentialité persistante] ne s'applique qu'aux connexions chiffrées avec HTTPS et, à l'heure actuelle, ce n'est pas le cas pour de nombreux usagers. Wikipédia propose seulement un chiffrement par défaut à ceux qui sont effectivement connectés au site, ce qui exclut la plupart des non-contributeurs".

Afin de régler ce problème, l'utilisation de l'extension HTTPS Everywhere est hautement recommandée puisqu'elle réécrit les requêtes adressées à Wikipédia afin de protéger l'internaute, qu'il soit connecté ou non à l'encyclopédie.

"Une autre limite est que les pages chiffrées peuvent être soumises à l'analyse du trafic. Un adversaire suffisamment actif et fort pourrait garder une trace de la taille de chaque article et requête, et par exemple faire des déductions sur le trafic intercepté en se basant sur ces informations", poursuit l'Electronic Frontier Foundation.

Compliquer la tâche des surveillants

Mais si les différentes mesures déployées par la fondation Wikimédia ne sont pas parfaites, elles ont au moins le mérite d'élever fortement le niveau général de protection des utilisateurs. De fait, cela rend l'espionnage de masse plus compliqué et plus coûteux. Un assaillant devra déployer des moyens plus conséquents pour parvenir à ses fins ou alors il devra renoncer à fliquer tout le monde, en se recentrant sur les vraies menaces.


Abonnez-vous à Numerama sur Google News pour ne manquer aucune info !