usalama


Nos applications favorites sont-elles sécurisées ?

La question sur la sécurité des applications mobiles est devenue très présente depuis quelques années. Depuis le scandale « Prism » avec la défection d’un ancien analyste de la NSA Edward Snowden, on se demande si nos échanges sont sécurisés sur internet.  On entend tous dire que la plupart des IM Apps (applications de messagerie instantanée) qu’on utilise au quotidien sont des usines à gaz et j’ajoute qui en plus de nous encombrer, font de nous des cibles flottantes mais bien à découvert !!! Je vous explique…

Je suis tombé sur un article paru dans une revue informatique britannique qui a fait tilt 💡 dans ma tête. Ils parlaient du  « Signal protocol » . Signal Protocol est un protocole non fédéré qui permet de faire le chiffrement de bout en bout pour les messages instantanés. Crée par Open Whisper Systems en 2013, il est totalement open source. Son lien se trouve ici sur github pour ceux qui veulent le télécharger. Toujours est-il qu’il est le meilleur chiffrement disponible sur le marché et qui offre un niveau de sécurisation assez performant. Actuellement, il est utilisé par Whatsapp, Google Allo, Facebook Messenger, Signal…

Vous pouvez vous dire que vos échanges peu catholiques sur whatsapp et consorts sont en sécurité. 😙😙 uuh pas vraiment. Je vous explique pourquoi :

Google Allo ne fournit pas le chiffrement signal par défaut. Il faut penser à l’activer avec le mode incognito. Donc si vous l’activez pas, vos échanges ne sont pas cryptés. Qui peut être sur que son correspondant  » hot  » à l’autre bout est en mode incognito ? Même Snowden le déconseille :

Facebook Messenger, quant à lui est d’abord associé à sa mère génitrice : Facebook, le plus incroyable réseau social à l’instar de celui de la planête Scarif dans Stars Wars Rogue One, où une gigantesque base de données, qui possédait des informations sur toutes les galaxies s’est vue fauchée par la première étoile de la mort, recueille des informations sur le comportement social de chaque personne dans le monde entier. Rien que par cette association, on pourrait atteindre tout le monde entier.

Whatsapp, quant à lui, est chiffré de bout en bout et depuis qu’ils se sont mis à signal protocol, on a tous vu ce message au début d’une nouvelle conversation avec un contact : (voir image)

Par contre, là où ca bogue avec whatsapp, c’est simple :

  • Whatsapp, appartient à Facebook de Mark Zuckerberg (déjà ils veulent associer vos contacts avec vos amis sur facebook)  👎
  • Whatsapp ne sauvegarde pas vos conversations sur ses serveurs 👍
  • vos backups sont faits sur vos phones en local et/ou sur un drive de votre choix dans le cloud. 👍

Tant que ce dernier est sécurisé, vous craignez rien. Mais quand ils collectent des métadonnées (rapports d’activités) qui sont comme des fichiers journaux (logs) structurés et précis, qui peuvent fournir l’information sur l’horodatage de vos échanges  » quand est ce que vous avez échangé avec Henry ? » « où avec qui vous étiez en communication ». Métadonnées c’est quoi ? Bah c’est tout ce qui vous identifie de façon non directe. Whatsapp recueille des données quand vous installez l’application : données sur le modèle du téléphone, sur l’OS, votre IP, réseau mobile utilisé, votre numéro de téléphone etc… Même dans le FAQ de l’application, il est dit que les informations sur la façon dont vous utilisez leur service ou la façon dont vous interagissez avec vos contacts etc.) les rapports de plantage, les journaux de performance… sont envoyés enfin d’améliorer ou de corriger les bogs. Blablabla… En gros, les métadonnées qu’ils recueillent sur vous sont encore plus riches en informations intéressantes que s’ils lisaient le contenu de vos échanges (chose qu’ils peuvent pas faire avec le chiffrement de bout en bout). Snowden même affirme que les métadonnées, ce sont des relevés de vos activités 😝😝 wesh !

Le chiffrement bout en bout du signal protocol leur permet pas de savoir ce qui a été dit durant vos échanges, mais le fait de le savoir compromet déjà votre vie privée et vos secrets.

Avant pour retrouver une personne, on fouillait les bureaux de poste… Aujourd’hui, on interroge encore plus facilement Internet. Une amie, de la marine militaire d’un pays africain, me racontait comment ils faisaient des exercices en tirant sur des futs jetés dans l’océan. Le roulis rend le tir instable d’où l’expression  » cibles flottantes « . Nous sommes comme des cibles flottantes dans cette mer qu’est l’Internet et même si on ne touche pas, on est quand même assuré de l’identité de la cible. Quoi de mieux pour augmenter notre scepticisme à propos de la sécurité sur les applications mobiles préférées des habitants de la Terre ? Chez moi, pas autant quand même d’où ma décision de faire  » chut  » sur ces apps tout en incluant Telegram qui a son protocole MTProto qui a pas mal de brèches également il paraîtrait (on reviendra peut être la dessus dans un autre post).

On est pas du tout obligé de quitter ces applications (Whatsapp, Telegram, Facebook messenger et le tout nouveau Google Allo). On doit juste penser à « soigner » nos échanges quotidiens avec nos amis, proches, collègues, copines, femmes, ex-femmes, parents, prêtre ou pasteur etc..😂😂😂😂 ou à opter pour le klingon.

Par contre, il y a une solution simple pour les addicts de sécurité informatique. C’est adopter l’application mobile SIGNAL Messenger. Développée par Open Whisper Systems même, elle propose le protocole par défaut et ne prend aucune métadonnée. Donc totalement opaque puisque rien n’est sauvegardé 😂😂😂😂. J’ai pas pu faire de captures d’écran avec mon propre signal. C’est parce que Signal l’empêche. Il est impossible de faire des captures d’écran de vos conversations avec vos correspondants. Double protection n’est ce pas ? Yeah 👍👍 !!! Un genre de snapchat de la messagerie instantanée quoi en fait! Avec cette application, vous pouvez mener vos discussions super « chanmées » là. Je l’impose à personne, mais selon mon observation, SIGNAL offre plus de confidentialité et de protection que bien d’autres applications du genre.

Vivez tous en <<mode secure>>.


Solid : sauvons nos données personnelles

Depuis quelques années, Tim Berners-Lee tire la sonnette d’alarme par rapport à l’évolution du web, son oeuvre, qui se retrouve concentré dans les bras de certains conglomérats qui sont :

Google, Facebook, Amazon, Twitter et autres grosses boites .

Pour permettre aux internautes de retrouver un des préceptes de départ d’Internet qui est le contrôle des données personnelles, et assainir le web, ouvrir de nouvelles perspectives, le créateur du www lance un nouveau projet, appelé SolidIl est nécessaire de reprendre la main sur nos données !!!

C’est le nouveau cri que lance les différents acteurs du web, moi y compris. Réseau sensé être décentralisé à ses débuts, Internet commence à devenir l’apanage de différents acteurs tech-économiques (réseaux sociaux, fournisseurs d’accès, fournisseurs de services etc.). Au cœur de cette bataille : la lutte contre les plateformes de géants comme Facebook ou Google, dont le modèle économique se fonde sur la collecte de données personnelles.

Principal inventeur du World Wide Web au début des années 1990, Tim Berners-Lee entre désormais dans la bataille pour la libération d’internet en passant de la critique à l’action. Son nouveau projet, baptisé Solid, vise à redonner aux utilisateurs le contrôle de leurs données. Le britannique, récipiendaire du prix Turing, l’équivalent du prix Nobel en informatique, est inquiet pour l’avenir d’Internet. Dans une lettre ouverte publiée le 12 mars dernier, il décriait trois menaces qui pèsent sur le web, parmi lesquelles la perte de contrôle sur nos données personnelles.

 »Le point de bascule pourrait être atteint quand les gens réaliseront que les données leur appartiennent »

Développé au sein du MIT et dérivé du syntagme « social linked data » le projet Solid, est un projet de recherche, dont l’objet est de créer un nouveau standard pour permettre de séparer les données des applications et des serveurs qui les utilisent.

 »Sur le site de Solid, le propos est clair : « changer la façon dont les applications Web fonctionnent aujourd’hui pour garantir une vraie mainmise sur ses données personnelles ».

Un standard de ce type vous permettrait par exemple de stocker les données liées à votre réseau social préféré sur le serveur de votre choix, dont vous gardez le contrôle. L’idée est que vous décidiez de stocker toutes vos données personnelles sur un serveur vous appartenant, en autorisant, ou pas, les plateformes à s’y connecter. Autrement dit, dans le monde idéal de Berners-Lee, la constitution d’un Web moins centralisé est encore possible : « Le point de bascule pourrait être atteint quand les gens réaliseront que les données leur appartiennent », confie-t-il à Wired, avant de mentionner les décisions récentes des législateurs américains comme potentiel détonateur de cette prise de conscience.

Pour Tristan Nitot, « fanboy » assumé de Tim Berners-Lee et « Chief Product Officer » chez CozyCloud, Solid a pour objet de lutter contre « l’accumulation de nos données personnelles dans ce qu’on appelle vulgairement le cloud, mais qu’il faudrait plutôt appeler « Software as a service », comme GoogleMaps ou Facebook :  des applications Web qui tournent dans des datacenters appartenant à d’énormes entreprises. L’idée est simple : on échange nos données personnelles et notre temps de cerveau disponible contre ce service. Ces données sont donc stockées chez un tiers, auquel vous êtes liés par un contrat que personne ne lit, et à qui vous donnez le droit de faire tout ce qu’il veut, notamment de la publicité ciblée. »

« Cela permettrait de changer de réseau social sans perdre toutes nos données, puisqu’elles nous suivront »

Dans son dernier ouvrage, Surveillance, Tristant Nitot fait le calcul : le service que nous fournit Facebook coûte 5 euros par an et par personne. Et en échange, nous donnons à l’entreprise de Mark Zuckerberg une immense masse de données personnelles, qui lui rapporte beaucoup plus.

L’approche de Solid évoque désormais des applications développées selon ce standard. Les données produites par les applications seront contrôlées par l’utilisateur. A la place de passer par l’utilisation de données personnelles pour bénéficier de services d’un réseau social ou d’une application, on peut choisir librement solid pour réutiliser ses données n’importe où. Tristan Nitot de CozyCloud pense qu’Internet n’a pas été conçu pour être centralisé et devait au contraire permettre à tout le monde de proposer un service à n’importe quel nœud du réseau. 

Reste à savoir si Solid est capable de pouvoir de tenir face à la monstruosité des grandes compagnies de la tech qui fonctionnent sur des modèles d’affaires axés sur la collecte de données tant personnelles que de masse.  Si nous pouvons stocker nos données où nous voulons, choisir de les réutiliser ailleurs ou pas, de les détruire sans qu’une tierce compagnie puisse y accéder ferait de la neutralité d’internet, beaucoup plus qu’un cheval de bataille.

Vous pouvez consulter le site du projet Solid en cliquant sur ce lien.

Sources : Solid, le projet de Tim Berners-Lee pour sauver Internet;  || Solid || WEB IS DEAD