L’annonce tombe au plus mal pour Yahoo, qui, le mois dernier, se faisait déjà taper dessus pour le piratage d’environ 500 millions de comptes. Reuters nous informe que Yahoo a mis en place un système qui scanne l’ensemble des mails envoyés sur des adresses Yahoo. Petite analyse de la situation.
Yahoo sur le plan technique
La nouvelle ne semble concerner que les mails envoyés sur des adresses mail Yahoo : l’entreprise a, durant l’année 2015, installé un programme fait maison pour scanner l’ensemble des mails envoyés sur des adresses, à la recherche d’informations spécifiques fournies par les services de l’intelligence américaine.
Reuters appuie ses dires grâce à la participation de trois anciens employés de la firme, ainsi que d’une quatrième personne, au courant des évènements.
Ces mêmes sources indiquent au journal que Yahoo devait rechercher une série de caractères, ce qui est assez vaste pour rechercher plus ou moins ce que l’on veut, d’autant plus que la chaine de caractères peut être modifiée. Cela signifie donc qu’il est possible de chercher dans un mail ou dans une pièce jointe si cette dernière est accessible.
Je vous invite à lire l’article de Reuters si vous lisez l’anglais, ou celui de Numerama si ce n’est pas le cas, vous y apprendrez des choses dont je ne vais pas parler ici.
Tout observer ?
Parlons correctement des faits : Yahoo scanne l’ensemble des mails, ce fait semble confirmé. Cependant, c’est fait de façon automatique dans le but de trouver une chaine de caractères spécifique. Cela semble dire que seuls les mails qui répondent à ce critère sont réellement lus par des yeux humains et sont transmis. Cela ne change rien au problème mais il ne faut pas hurler que Yahoo lit l’ensemble des mails. Ils les scannent automatiquement et certains sont effectivement lus et transmis.
Est-ce faisable ?
Avoir un système en temps réel qui scanne l’ensemble des mails avec une variable, un « sélecteur », a.k.a la chaîne de caractères, ça me semble gros, mais pas impossible. Cela doit demander, en revanche, beaucoup de puissance. Je ne crois pas avoir déjà entendu parler d’une telle chose avant, même lors des premières révélations de Snowden.
Est-ce légal ?
C’est une question que je me pose. Les lois américaines sont très contraignantes et nous avons déjà vu de nombreux cas où l’entreprise était contrainte de se plier à la volonté de l’Intelligence américaine. Le Foreign Intelligence Surveillance Act, plus connu sous le nom de FISA, permet aux services de l’Intelligence américaine de contraindre les fournisseurs d’accès Internet et téléphone à fournir de nombreuses données d’utilisateurs pour des raisons tout autant nombreuses et pas forcément toujours justifiées. Certaines entreprises ont fait de la protection de la vie privée des clients leur cheval de bataille, comme dans l’affaire entre Apple et le FBI, dans la tuerie de San Bernardino. Yahoo avait même tenté de s’opposer au FISA il y a quelques années… cette fois-ci, ils ont décidé de ne pas se battre car ils étaient convaincus de perdre s’ils le faisaient.
Peut-être auraient-ils effectivement perdu… mais ils auraient essayé. Si on ne se bat pas, c’est perdu d’avance.
Est-ce légal… certains le pensent et disent qu’en soi, il n’est pas interdit de rechercher des termes spécifiques car ce n’est pas espionner quelqu’un, c’est rechercher une chaîne de caractères. La justification est assez borderline mais elle peut tenir la route, d’autant plus que le programme « upstream » de la NSA, qui recherchait du contenu chez les fournisseurs de téléphonie, a été déclaré légal à un moment… le même raisonnement pourrait s’appliquer ici.
Ce n’est pas l’avis de l’ACLU, qui juge la chose inconstitutionnelle :
ACLU comment on Yahoo!’s secret surveillance of its users’ emails: unconstitutional pic.twitter.com/SMjyErvnvb
— Joseph Cox (@josephfcox) 4 octobre 2016
Réaction similaire pour Amnesty International, qui déclare « les citoyens ne peuvent pas faire confiance à leurs gouvernements pour protéger leur vie privée :
Amnesty International comment on Yahoo!’s secret surveillance of its users’ emails: people cannot trust their governments to respect privacy pic.twitter.com/3uqbgxbX0J
— Joseph Cox (@josephfcox) 4 octobre 2016
A mon humble avis, la réponse risqué d’être plus compliquée qu’un simple « c’est légal » ou « ce n’est pas légal ».
Est-ce que les autres font pareil ?
C’est une question qu’on peut se poser. Pourquoi avoir demandé à Yahoo de faire ça et pas aux autres ?
Peut-être la demande a-t-elle été faite auprès des autres fournisseurs, comme Google ou Microsoft, mais ces derniers ont déjà communiqué dessus :
« Nous n’avons jamais reçu une telle requête, mais si c’était le cas, notre réponse serait simple : pas question » – Google
« Nous ne nous sommes jamais livrés dans le scan secret du trafic email tel que celui qui a été rapporté au sujet de Yahoo aujourd’hui » – Microsoft
Si la déclaration de Google est très claire, celle de Microsoft l’est beaucoup moins. Est-ce que Microsoft aurait accepté une partie de la requête ? Ou accepté de mettre quelque chose en place sans pour autant aller jusqu’au niveau de Yahoo ? Je ne sais pas, mais la réponse est, disons, étrange. Elle laisse penser qu’il y a effectivement quelque chose côté Microsoft, sans vraiment dire quoi.
Après, même pour Google, ce sont des déclarations… rien ne dit que c’est vrai, ces fournisseurs ont très bien pu mettre quelque chose en place et le nier, ou pire, ne pas être au courant qu’un tel programme existe chez eux, même si cela semble improbable.
D’accord, on fait quoi ?
C’est aussi une bonne question. Dans un monde idéal j’aurais répondu : basculez sur des messageries alternatives, indépendantes, chiffrez absolument tout, de bout en bout….
Dans la pratique, plus de la moitié des personnes se moqueront de cette nouvelle et diront qu’ils n’ont rien à cacher. Une autre partie sera outrée sans vraiment savoir quoi faire et une autre partie se dira « rien à foutre, je chiffre déjà et c’est bien fait pour eux, fallait pas utiliser des services centralisés ».
Au passage, la dernière catégorie devrait simplement fermer sa gueule. Le savoir c’est fait pour être partagé avec tout le monde. Bisous.
Donc que faire… je ne sais pas, fermer son compte Yahoo me semble être un bon début, pour basculer sur … je vous laisse terminer cette phrase dans les commentaires, en proposant des alternatives aux lecteurs qui passeront par là.
Donc.Pour un webmail chiffré de bout en bout vous pouvez tester tutanota.de ou tutanota.com.
Si votre correspondant n’a pas d’adresse @tutanota il est quand même possible de chiffrer en ayant convenu d’un mot passe qu’il devra saisir pour déchiffrer.
Vous pouvez utiliser ProtonMail, c’est vraiment un service excellent.
Il existe également mailden.net mais payant par contre.
J’ai récemment fait un peu de recherche à ce sujet et j’ai fini par choisir mailfence (http://www.mailfence.com) parce que leurs serveurs se trouvent chez nos voisins belge (ce qui fait que nos emails ne sont pas obligatoirement soumis à un contrôle comme aux US et UK). De plus et contrairement à ses autres concurrents, il semble que Mailfence n’utilise pas les données de ses utilisateurs à des fins commerciales (zero knowledge service). J’ai trouvé ces deux comparateurs sur internet, j’espère qu’ils vous seront utile pour faire votre décision! http://www.emailquestions.com/encrypted-email-service-providers/ & https://www.vegard.net/archives/11906/
C’est clair que que en France c’est une atteinte au secret de la correspondance.
Il n’y a que un juge qui puisse ordonner l’ouverture d’un courrier dans le cadre d’une affaire.
Or dans le cas présent il y a des mails interceptés et bloqués quand le destinataire se trouve chez yahoo parce qu’ils contiennent un lien d’une vidéo qui ne plait pas à yahoo. C’est inadmissible. Voici ce que dit la loi française :
En France, la violation du secret de la correspondance, qu’elles circulent par voie postale ou par télécommunication, est actuellement réprimée par les articles 226-15 [archive] et 432-9 [archive] du code pénal et par l’article L 33-1 [archive] du code des postes et des communications électroniques.
Art. 226-15 [archive]. — Le fait, commis de mauvaise foi, d’ouvrir, de supprimer, de retarder ou de détourner des correspondances arrivées ou non à destination et adressées à des tiers, ou d’en prendre frauduleusement connaissance, est puni d’un an d’emprisonnement et de 45 000 euros d’amende. Est puni des mêmes peines le fait, commis de mauvaise foi, d’intercepter, de détourner, d’utiliser ou de divulguer des correspondances émises, transmises ou reçues par la voie des télécommunications ou de procéder à l’installation d’appareils conçus pour réaliser de telles interceptions.
Art. 432-9 [archive]. — Le fait, par une personne dépositaire de l’autorité publique ou chargée d’une mission de service public, agissant dans l’exercice ou à l’occasion de l’exercice de ses fonctions ou de sa mission, d’ordonner, de commettre ou de faciliter, hors les cas prévus par la loi, le détournement, la suppression ou l’ouverture de correspondances ou la révélation du contenu de ces correspondances, est puni de trois ans d’emprisonnement et de 45 000 euros d’amende. Est puni des mêmes peines le fait, par une personne visée à l’alinéa précédent ou un agent d’un exploitant de réseau ouvert au public de communications électroniques ou d’un fournisseur de services de télécommunications, agissant dans l’exercice de ses fonctions, d’ordonner, de commettre ou de faciliter, hors les cas prévus par la loi, l’interception ou le détournement des correspondances émises, transmises ou reçues par la voie des télécommunications, l’utilisation ou la divulgation de leur contenu.