Étiquette : Vie privée

Le GranitePhone, top, flop ?

J’ai pu découvrir chez les amis de NextInpact un article sur le GranitePhone. Ce mobile « est le premier vrai smartphone conçu autour de la protection des communications et des données de ses utilisateurs », pour reprendre la présentation d’Archos, entreprise française engagée dans la production de ce GranitePhone.

Passons sur le discours commercial et le prix et intéressons-nous à ce que devrait permettre ce téléphone : protection des données, des appels, des messages, des contacts et de tout ce qui s’approche, de près ou de loin, à une donnée personnelle. Archos déclare que le stockage sur l’appareil sera entièrement chiffré et qu’il n’existera aucune porte dérobée (ndlr : les backdoors).

Personnellement, je n’irai jamais déclarer qu’un système est inviolable, c’est une promesse parfaitement impossible à tenir et l’histoire nous a déjà montré qu’il fallait éviter d’avoir ces propos, histoire de ne pas perdre toute sa crédibilité le jour où la première faille est découverte.

Qui plus est, le communiqué de presse [PDF] dit « les données stockées sur le smartphone sont également encryptées dans le cloud pour que les utilisateurs du « GranitePhone » puissent accéder à leurs données à tout moment ».

Si je résume donc, les données des utilisateurs seront stockées dans « le cloud », donc sur l’ordinateur de quelqu’un d’autre, pour parler plus clairement. Je ne suis pas certain que cela soit une bonne nouvelle, j’ai du mal à mettre « aucune faille » et « cloud » dans la même phrase.

Imaginons tout de même que ce téléphone soit réellement inviolable pour la suite. Archos explique que les utilisateurs du GranitePhone pourront « accéder à leurs données depuis un ordinateur et depuis d’autres mobiles Android ou iOS, ce qui leur garantit une grande flexibilité sans compromettre la sécurité. »

A nouveau, j’ai l’impression de faire face à un enfumage du service marketing d’Archos, je ne peux pas concevoir qu’un accès à des données ultra sécurisées depuis un Android ou un iOS ou un ordinateur ne représente pas un potentiel vecteur d’attaque ou une faille de sécurité.

Dernier point, et pas des moindres : qu’est-ce qui fait tourner ce téléphone ?

Dans ma conception de la sécurité informatique, un concept est essentiel : l’ouverture du code source. Cela permet à de nombreuses personnes de s’assurer que le code qui fait tourner le système est propre et sain.

Cela crée une relation de confiance, de transparence : « je sais que mon revendeur ne me ment pas lorsqu’il dit que c’est sécurisé, parce que le code ou les expert.e.s en capacité de le lire l’ont confirmé. »

Ici… rien. Aucune information sur le système d’exploitation du GranitePhone, nous savons simplement que ce n’est ni du Android, ni du iOS.

Est-ce que le code source du système sera libre, ouvert, modifiable ?

Qui a la main sur ce code ?

Est-ce le système de chiffrement du mobile est réellement solide ?

Sur quoi repose-t-il ?

Est-ce qu’il est géré par Archos ou Sikur ? Si oui, sur quels éléments je dois faire reposer ma confiance ?

Le seul site où le GranitePhone est mentionné ne donne aucune indication quant au système embarqué… il se sert des polices d’écriture de Google, se sert d’Analytics et de quelques trackers… rassurant quand on sait que la société est censée me protéger et protéger mes données personnelles.

Bref, à voir lorsque le mobile sera sorti.

MyFord App, une application pour déverrouiller votre voiture.

L’application MyFord App permet aux propriétaires des voitures du même constructeur d’interagir avec leur véhicule, dans une certaine mesure.

La dernière mise à jour de l’application, disponible sous iOS et Android, va un peu plus loin encore que ce qu’elle proposait avant : il est possible de verrouiller et déverrouiller sa voiture via l’application.

Continuer la lecture de MyFord App, une application pour déverrouiller votre voiture.

Snapchat, saison 42 épisode 1337 : revoir les snaps ?!

Aujourd’hui, Snapchat a annoncé qu’il serait bientôt possible de payer pour revoir les messages reçus à travers l’application.

Dans un article que j’ai pu consulter sur Le Monde, la firme explique que de nombreux utilisateurs sont parfois frustrés de ne pouvoir revoir un « snap ». Continuer la lecture de Snapchat, saison 42 épisode 1337 : revoir les snaps ?!

[MAJ] Bloquer les sites pornos par défaut, bonne ou mauvaise idée ?

Mise à jour du 15 septembre 2015 :

Dans une réponse écrite,  le gouvernement envoie aux oubliettes la proposition du député Candelier, qui souhaitait instaurer un code d’accès aux sites pornographiques ou, à défaut, bloquer les sites pornographiques.

Continuer la lecture de [MAJ] Bloquer les sites pornos par défaut, bonne ou mauvaise idée ?

TextSecure ou SMSSecure ?

Récemment, de nombreux échanges au sein de la communauté du Libre et dans les scènes hacktivistes tournent autour de la même question :

Faut-il utiliser TextSecure ou SMSSecure ?

Et une chose est sure, la réponse n’est pas simple. J’ai décidé de faire le point, en partant « de la base ».

TextSecure, SMSSecure, c’est quoi ?

Ces deux applications, disponibles sous Android, permettent de chiffrer les messages, SMS ou MMS, envoyés depuis l’appareil.

Les deux applications sont pensées pour s’intégrer parfaitement à votre utilisation quotidienne, remplaçant sans le moindre problème le logiciel SMS « par défaut » d’Android. Si vous préférez, vous n’avez pas besoin d’être un expert en informatique pour utiliser ces applications, elles sont pensées pour être utilisées par tout le monde.

TextSecure dispose d’un équivalent sous iOS : Signal. SMSSecure, quant à lui, n’existe que sous Android.

SMSSecure est ce qu’on appelle un « fork » de TextSecure, c’est-à-dire qu’il a été créé à partir du code source de TextSecure. Si son ambition est équivalente à celle de TextSecure, les deux applications fonctionnent différemment.

Comment ça fonctionne ?

TextSecure et SMSSecure ont deux fonctions : ils chiffrent la base de SMS stockée dans votre appareil et, par défaut, la protègent par un mot de passe que vous définissez. Ce mot de passe permet également d’accéder à l’application, sans ce dernier, impossible d’envoyer des messages.

Leur seconde fonction est l’envoi de messages sécurisés : les SMS sont chiffrés de l’expéditeur au destinataire, on appelle ça du « end-to-end encryption ». Avec ce mode d’envoi, seul le destinataire du SMS est capable de déchiffrer le message. Même si votre message passe par un serveur intermédiaire, ce dernier ne pourra pas le lire.

Je ne rentrerai pas dans le détail du chiffrement, sauf si vous le souhaitez, cela fera alors l’objet d’un article spécifique.

La grande différence réside dans le transport des messages : TextSecure fait transiter les messages par Internet, via ses serveurs, alors que SMSSecure fait transiter les messages par le réseau mobile, sans passer par Internet.

Et alors ?

Afin de tenir la charge pour l’envoi des messages, TextSecure a fait le choix suivant : utiliser GCM, Google Cloud Messaging, seul outil capable de gérer les millions d’utilisateurs TextSecure à travers le monde.

Si une alternative est en cours de développement, il faut pour l’instant composer avec cette forte dépendance à Google, renforcée par le fait que GCM demande impérativement l’installation du Google Play.

SMSSecure, lui, ne fait pas passer les messages par Internet, ces derniers passent sur le réseau mobile, comme n’importe quel autre SMS. Il gère donc le chiffrement mais pas le transport des messages.

Pour faire plus clair : TextSecure gère le chiffrement et le transport des messages, SMSSecure ne gère que le chiffrement. TextSecure est dépéndant de Google pour acheminer les messages, SMSSecure non, il n’est dépendant que du réseau mobile.

Avantages, inconvénients …

Chaque solution a un certain nombre d’avantages… et certains inconvénients :

  • TextSecure et SMSSecure chiffrent les messages, avec des protocoles considérés comme solides, les deux offrent donc un niveau de sécurité parfaitement acceptable. Il faut en revanche que le destinataire de votre message dispose de la même application pour que le message puisse être chiffré. Si votre destinataire ne dispose pas de TextSecure ou SMSSecure, le message envoyé sera un « simple » SMS, l’échange ne sera ni chiffré, ni protégé.
  • TextSecure fait transiter ses messages par Internet, ce qui est à la fois un avantage et un inconvénient.
  • L’avantage : votre message ne passe pas par le réseau mobile, votre opérateur n’a donc aucun trace de votre message, ne sait pas avec qui vous communiquez, quand, comment, combien de fois… il est aveugle et ne peut plus récupérer de métadonnées sur vos messages.
  • L’inconvénient : vous devez passer par Internet, il faut donc avoir un forfait data, être sous couverture data, il y a une dépendance à Google. Si vous n’avez plus de data où que vous êtes dans un pays sans data, vous serez complètement paralysé.

Sur ces avantages et inconvénients, SMSSecure est l’exact opposé de TextSecure :

  • L’avantage : vous passez par le réseau mobile, votre message arrivera, avec ou sans data. Où que vous soyez, tant que vous avez du réseau, votre message arrivera et vous pourrez en recevoir.
  • Inconvénient : vous passez par le réseau mobile, votre opérateur sait donc que vous envoyez des messages, à qui vous les envoyez, quand, il peut savoir avec qui vous communiquez le plus et, pour résumer, est capable d’accéder à toutes les métadonnées liées à un SMS.

Une question de choix…

Choisir SMSSecure, c’est s’assurer une complète indépendance vis-à-vis de Google, c’est aussi s’assurer que cela fonctionnera dans de nombreuses situations, puisqu’il suffit d’avoir du réseau. Hélas, c’est aussi choisir de laisser trainer ses métadonnées dans la nature

Si vous êtes journaliste par exemple, il sera possible de savoir avec qui vous communiquez et donc, d’identifier vos sources assez rapidement.

Choisir TextSecure, c’est s’assurer que vos échanges seront invisibles pour votre opérateur. Si vous êtes journaliste, il devient très compliqué voire impossible de savoir avec qui vous échangez des messages.

En revanche, c’est être dépendant d’un accès à Internet et être dépendant d’un outil mis en ligne par Google, un monstre bien trop curieux.

Au final, le choix entre TextSecure ou SMSSecure se résume donc à une question de protection et de sécurité.

Pour conclure, afin de choisir, il faut bien définir votre besoin, bien définir les menaces auxquelles vous êtes exposés selon vos activités ou votre profession…

Si vous souhaitez de plus amples explications ou apporter des corrections, les commentaires sont là pour ça.

[A froid, n°2] Le Conseil constitutionnel a parlé. #PJLRenseignement

Dans le précédent billet, j’ai tenté de faire une analyse des décisions prises par le Conseil constitutionnel, je vais maintenant les commenter. J’ai choisi de scinder mon analyse en deux parties, en trois même, pour être exact :

La première chose qui me frappe, c’est la très faible censure du Conseil constitutionnel :

  • le fonctionnement du budget de la CNCTR (L. 832-4),
  • la surveillance internationale (L. 854-1),
  • la surveillance en situation d’urgence liée à une menace imminente (L. 821-7).

Bien sûr, le Conseil émet quelques réserves d’interprétation mais, dans sa vaste majorité, la loi sur le renseignement est validée, les éléments permettant de la faire fonctionner sont déclarés conformes à la constitution.

Vient ensuite mon interrogation quant à la surveillance internationale.

Le Conseil a déclaré que l’article L. 854-1 du Code de la Sécurité Intérieure ne respectait pas la constitution. Cela signifie, en d’autres termes plus compréhensibles, que la loi sur le renseignement n’offre pas un cadre légal à la surveillance internationale. On peut légitimement s’interroger quant aux implications de cette décision.

Soit aucun cadre légal ne sera créé et on sera dans une situation dite « alégale », une situation où il n’existe pas de cadre légal défini si vous préférez, soit les services du renseignement ne mettront aucune surveillance internationale en place mais, sincèrement, permettez-moi d’en douter.

Doit-on considérer que les « services » n’iront pas fouiller dans des serveurs ailleurs que sur le sol français ?

D’ailleurs, dans son commentaire, le Conseil constitutionnel se « contente » de déclarer : « des mesures de surveillance internationales, codifiées au nouvel article L. 854-1 du CSI, en raison d’une méconnaissance de l’étendue de sa compétence par le législateur. » C’est donc une censure certes, mais pas un désaccord sur le fond.

Le même doute m’envahit quant à la conformité des finalités de la loi relative au renseignement (L. 811-3), mais ces doutes ne sont pas partagés par le Conseil constitutionnel.

De nombreuses personnes, des organisations, des experts, des avocats et, plus récemment, un organe au sein de l’ONU s’accordent à considérer ces finalités comme trop vastes, vagues, floues.

Le Conseil constitutionnel, quant à lui, considère que ces finalités apparaissent suffisamment précises et restrictives pour « respecter le caractère exceptionnel des raisons qui peuvent justifier le recours à des techniques de renseignement ».

Bien, message noté, la centaine d’avis d’experts et l’avis d’un organe de l’ONU n’aura rien changé, ces finalités sont assez précises et restrictives, « il n’y a rien à voir, circulez ! ».

Le Conseil a également déclaré conforme l’article L. 821-7, qui concerne les « professions protégées », parlementaires, magistrats, avocats ou encore journalistes.

Pour lui, il existe assez de garanties quant à la protection de ces professions : la procédure d’urgence absolue ne peut être invoquée, un avis de la CNCTR doit être rendu en séance plénière, l’encadrement strict de l’invocation de l’urgence, la descente d’informations à la CNCTR sont autant de points qui mènent le Conseil à considérer qu’il n’y a pas d’inconstitutionnalité.

Dans son considérant 35, enfin, le Conseil rappelle que la révélation d’une information à caractère secret est punie par le code pénal, donc tout est bon, il y a assez de garanties…

Ce point est difficile à accepter, il revient à considérer que ces professions n’auront pas de problèmes alors que mon côté « expert » hurle que si, justement.

Si je comprends les arguments du Conseil, j’aurais aimé qu’il prenne le temps de réfléchir sur l’impact des « boites noires » pour un journaliste. Si ces professionnel(le)s sont mis sous surveillance, même sans récupérer le contenu des échanges, il sera possible de savoir qui communique avec qui, quand, où, de quelle façon et j’estime que ces éléments mettent en danger la source ou les échanges entre le journaliste et ladite source d’information, ils vont à l’encontre du secret professionnel.

Je ne détaillerai pas l’ensemble des décisions du Conseil, simplement quelques-unes que j’estime « étranges », la prochaine remporte haut la main le titre de bizarrerie en chef.

La validation des « boites noires » (L. 851-3) est confirmée et, je dois l’avouer, j’ai pris une très, très très grosse claque sur ce point.

Dans son considérant 51 puis le 60 par la suite, le Conseil estime que les boites noires ne portent pas atteinte au droit au respect de la vie privée, pour les mêmes raisons que celles citées précédemment : le contrôle est suffisant pour garantir le droit au respect à la vie privée, l’utilisation des boites noires n’a lieu que dans une finalité du projet de loi, la lutte contre le terrorisme.

Ce qui me parait être évident n’est pourtant pas accepté par le Conseil constitutionnel. Pour moi, les métadonnées collectées par ces boites noires, dans, me dit-on, l’unique lutte contre le terrorisme, est un réel danger.

Il me parait aberrant de croire qu’il existe assez de garanties, assez d’éléments, pour garantir le bon fonctionnement du système. Je ne peux me résoudre à accepter la décision du Conseil quant aux boites noires, ils font preuve d’une méconnaissance totale du fonctionnement d’Internet et des données qui y circulent.

En même temps, est-ce bien leur rôle que de connaître ce fonctionnement ? Non. Ils auraient pu, en revanche, se servir intelligemment des données transmises par les nombreux « Amicus curiae » envoyés au Conseil, pour l’éclairer dans sa prise de décision.

Je ne comprends pas une telle décision, je la comprends encore moins lorsque j’observe le commentaire du Conseil Constitutionnel qui, tout au plus, se contente de parler de ce qui est écrit, sans ajouts, sans explications, sans son commentaire.

Quels sont les fondements d’une telle décision ? Pourquoi le Conseil ne s’explique pas sur ce point, pourtant si important ?

Je cherche encore à comprendre, sans succès.

Point positif, le Conseil a donc censuré les dispositions de surveillance internationale et son avis est assez éclairé ici.

Le Conseil considère que la surveillance internationale s’applique également à des échanges du national vers l’international ou de l’international vers le national et, raison de la censure du Conseil, que la législateur n’a pas « déterminé les règles concernant les garanties fondamentales accordées aux citoyens pour l’exercice des libertés publiques. »

Par manque de temps, je ne détaille pas plus pour l’instant. C’est un peu prétentieux mais n’hésitez pas à commenter ce billet si vous souhaitez que je détaille un point du billet précédent.

Quelles sont les suites à donner ?

Pour l’instant, accuser le coup et réfléchir me semble être un bon départ. Ensuite, il faut aller plus que l’autorité la plus élevée du droit français, à savoir le Conseil constitutionnel. S’il y a des suites, cela sera plus tourné vers la Cour de Justice de l’Union Européenne (CJUE) ou la Cour Européenne des Droits de l’Homme (CEDH), cela demande du temps, des moyens et surtout beaucoup de motivation et de patience.

Je reste quand même confiant, de nombreux éléments me permettent de penser que tout n’est pas encore perdu, principalement dans les instances européennes.

La suite plus tard…