Standblog

C’est l’affaire qui agite le monde de la crypto et de la technologie ces derniers temps. J’ai fait une chronique dans le cadre du 56Kast, l’émission de la chaîne Nolife (associée à Libération)… et je me suis dit que si vous vouliez comprendre les tenants et aboutissants de cette histoire en quelques minutes, ce billet serait le bienvenu.

Voici donc la vidéo de l’émission :

56Kast #67 : Apple vs FBI au bord du lac rouillé par liberation

Et mes notes, rapidement mises en forme :

Les faits et les dates

• 2/12/2015 : Attentat à San Bernardino (14 morts) par Syed Rizwan Farook et sa femme. L’iPhone professionnel du terroriste est retrouvé (les deux téléphones personnels des terroristes ont été détruits par eux). Le FBI, chargé de l’enquête, veut accéder aux données contenus dans l’iPhone. Pour cela, ils évoquent une loi de 1789 ! Il est à noter que le FBI a déjà plein de données :
  • Celles fournies par l’opérateur qui sait où chaque téléphone se trouve et quels sont les numéros appelés.
  • Celles fournies par Apple qui a une copie de sauvegarde « dans le Cloud » de l’iPhone en question. Mais son utilisateur a désactivé cette sauvegarde 6 semaines plus tôt. Donc Apple et le FBI n’ont accès qu’à des données de plus de 6 semaines.
• 16/2/2016 : Apple publie une lettre ouverte à ce propos. « Le FBI nous demande de créer une version d’iOS qui contiendrait une porte dérobée. C’est trop dangereux, nous refusons. ».
• Dans la foulée, Google joint (mollement) Apple sur ce sujet. Facebook et Twitter les rejoignent.

Un peu de technologie…

l’iPhone 5c est protégé par un code secret à 4 ou 6 chiffres. On pourrait imaginer qu’on mette quelqu’un à taper toutes les combinaisons possibles. C’est ce qu’on appelle les attaques en « brute force » / Force brute. Pour éviter de telles attaques, il y a deux mécanismes dans les iPhones :

1. Au fur et à mesure que le nombre d’essais infructueux augmente, l’iPhone tarde de plus en plus à répondre
2. En plus, les iPhones peuvent être programmés pour effacer leur contenu au bout de 10 essais infructueux. Mise à jour : pour tout savoir du mécanisme de protection de l’iPhone, Numerama a fait un très bon papier.

Donc le FBI demande à Apple de faire une version d’iOS qui n’ait pas ces comportements (et qui en plus permette d’entrer les codes dans l’iphone sans passer par le clavier, juste par une connexion Wifi ou Bluetooth). Il suffirait d’installer cette version sur l’iPhone, et ça rendrait possible l’attaque en force brute.

On notera que le problème serait différent avec un modèle plus récent d’iPhone car depuis le 5S ils disposent d’un lecteur d’empreinte digitale et d’un système de sécurité avancé dit « Secure Enclave » qui améliore le chiffrement. En clair, il aurait suffit d’utiliser les doigts du meurtrier pour déverrouiller l’iPhone s’il avait été un peu plus récent…

Pourquoi c’est un problème ?

C’est une porte dérobée, ni plus ni moins : ça affaiblit la sécurité de l’iPhone.

Les gouvernements du monde entier n’attendent que ça : une fois ce système connu publiquement, tous les gouvernements, y compris les régimes oppressifs, vont demander à l’avoir. Et un jour où l’autre ça va finir par fuiter et ça sera utilisé par des personnes mal intentionnées.

Les postures

On se croirait au théâtre, avec cette histoire. Reflets.info titre très justement le choc des pipeaux !

Bataille marketing pour Apple

C’est une société qui protège le mieux ses utilisateurs par rapport aux autres GAFAs. Ils ont déjà communiqué sur ce sujet. Pour eux, c’est un différentiateur important. Ils le répètent : « vos données sont vos affaires, nous n’avons pas à les connaitre ». Alors que chez les concurrents, Google, pour ne pas les nommer, le business model de Google est de tout savoir sur tout le monde pour offrir un service sur mesure et surtout, vendre de la publicité ciblée.

Cynisme pour le FBI

C’est une opportunité médiatique pour le FBI qui n’attendait que ça en utilisant l’émotion de l’opinion publique. Ca fait un bout de temps qu’ils sont en embuscade en attendant l’événement qui leur permettra de porter un coup à la vie privée et au chiffrement en profitant de l’émotion du public. C’est arrivé le 11 septembre 2001, où on a vu arriver le PATRIOT act sorti de nulle part et prêt en quelques jours… parce qu’il avait déjà été rédigé, on attendait l’occasion de le sortir. En France, pareil avec la loi Renseignement, qui a débarqué en urgence après les attentats de janvier 2015. On apprend par la bande qu’en fait le FBI a déjà une douzaine d’iPhones dont il veut voir le contenu^[1]… Il n’y a plus aucun doute, le FBI nous prend pour des quiches et cherche à créer un précédent, une brèche dans laquelle il pourra s’engouffrer.

Soutien gêné pour les GAFAs

Les grands acteurs de la Silicon Valley suivent et soutiennent Apple. Ils sont eux aussi contre les interférences du FBI, de la CIA et de la NSA, parce qu’ils savent bien que ça mine la confiance des utilisateurs, et donc c’est pas bon pour les affaires. Mais bon, contrairement à Apple, le métier de Google, de Facebook & co, c’est de tout savoir et tout analyser sur chacun de nous… Comme la NSA !

Conclusion

Je suis résolument du coté d’Apple. La question n’est pas de protéger la vie privée des meurtriers (ils sont morts de toutes façons), mais bien de protéger la vie privée de tout le reste du monde. C’est d’autant plus important qu’on ignore de quoi est fait le futur, qui sera président(e) des USA ou de la France dans les années à venir.

En substance, il faut penser la crypto comme si Donald Trump était au gouvernement. Et accepter de ne pas tout savoir sur tout le monde.

Résumé des épisodes précédents : voici un nouveau chapitre de mon livre (nom de code Flicage-Brouillon) portant sur la centralisation d’Internet, la vie privée et la surveillance de masse.

J’ai déjà publié trois parties :

1. Pourquoi perdre le contrôle de notre informatique et de nos données personnelles est un vrai problème
2. Par quels mécanismes perd-on le contrôle de nos données et de notre vie privée ?
3. SIRCUS - 7 principes pour reprendre le contrôle.

Voici donc venu le temps de la quatrième et dernière partie, comment agir pour protéger nos données, notre vie privée, et limiter l’impact de la surveillance de masse.

Dans cette quatrième partie, ont déjà été publiés :

1. Chapitre 27, partir sur de bonnes bases
2. Chapitre 28, Choisir et personnaliser son navigateur
3. Chapitre 29, Coté messagerie
4. Chapitre 30, Paramétrer Google
5. Chapitre 31, Choisir son smartphone

Chapitre 32 - Les réseaux sociaux

Utiliser les réseaux sociaux sans pour autant voir ses données personnelles être collectées est un défi, à la limite un défi impossible, du moins avec les réseaux comme Facebook, dont le patron, Mark Zuckerberg, a déclaré à plusieurs reprises que la vie privée était une chose d’un passé qu’il considérait comme révolu. De fait, Facebook a une politique d’accumulation et de rétention des données particulièrement agressive.

Même les conversations dites « privées » sont en fait susceptibles d’être communiqués par Facebook aux autorités. Deux récents faits divers semblent le prouver, comme l’arrestation et la condamnation de Jean-Luc Lahaye, dénoncé par Facebook pour avoir eu des conversations sur webcam avec des jeunes filles dénudées, ou cette jeune allemande refoulée à la frontière américaine pour avoir proposé de garder l’enfant de sa cousine habitant les USA (on ignore comment les autorités américaines ont eu accès aux message. Peut-être tout simplement en regardant dans le smartphone de la jeune femme ?). Il faut dire que les services américains d’immigration sont particulièrement chatouilleux : ils ont refusé leur entrée sur le territoire à un couple d’Anglais en voyage en Californie car ils avaient publié sur Twitter leur volonté de faire « une fête à tout casser » une fois arrivés.

Voici tout de même quelques conseils pour les principaux réseaux sociaux

Facebook

Il peut être utile de paramétrer Facebook pour protéger notre intimité numérique vis à vis des autres utilisateurs^[1], mais soyons clairs, tout ce que l’ont fait sur Facebook est enregistré et bien souvent analysé par le réseau social. Toute tentative pour éviter cela est futile. Il pourrait être tentant d’utiliser un pseudonyme, mais c’est actuellement contraire aux conditions générales de Facebook, qui a déjà supprimé des comptes dans de tels cas. Ceci est susceptible d’évoluer car Facebook semble assouplir sa lutte contre les pseudonymes, mais le risque de perdre nos messages, nos photos et nos interactions n’en vaut probablement pas la chandelle.

Twitter

Twitter semble être beaucoup moins agressif en termes de collecte de données personnelles, c’est pourquoi je suis plus à l’aise à titre personnel avec lui qu’avec Facebook, mais le type d’usage n’est pas le même car il est moins intuitif. Lorsqu’on utilise Twitter, plusieurs paramètres peuvent être modifiés. Pour cela, depuis l’interface Web de Twitter.com :

1. Une fois connecté, cliquer sur son avatar en haut à droite (par défaut, il représente un oeuf).
2. Cliquer sur « paramètres »
3. Dans la colonne de gauche, cliquer sur « Sécurité et confidentialité »
4. Vérifier que la case « Ajouter une localisation à mes Tweets » n’est pas cochée
5. Chercher la partie « Contenu sponsorisé » et décocher la case « Personnaliser les publicités en fonction des informations partagées par les partenaires annonceurs. »
6. Cliquer « Enregistrer les modifications »

Twitter propose à ses utilisateurs d’honorer le système « Do Not Track », aussi nous allons l’activer. Pour cela, dans Firefox :

1. Aller dans les préférences
2. Sélectionner l’onglet « Vie privée »
3. Cocher la case « Pistage / Indiquer aux sites que je ne souhaite pas être pisté ».

Aller plus loin

Pour continuer à utiliser des réseaux sociaux sans sacrifier sa vie privée, il reste plusieurs approches :

1. chiffrer ses communications au sein du réseau social
2. utiliser d’autres réseaux sociaux plus respectueux de la vie privée

Datarmine

Datarmine est une initiative intéressante, dans la mesure où elle vise à continuer à utiliser les réseaux sociaux existants, mais en chiffrant le contenu des messages, qui fait que le contenu n’est lisible que par les destinataires autorisés. Attention toutefois : le réseau social ne peut certes pas lire le contenu du message, mais il connait ses méta-données (qui écrit à qui, et quand), ce qui peut en dire presque autant que le message lui-même). Pour essayer Datarmine, visiter le site https://datarmine.com/fr/ et installer dans votre navigateur l’extension proposée sur la page d’accueil. C’est elle qui va chiffrer / déchiffrer les messages publiés sur les réseaux sociaux. Pirouette amusante : sur Facebook, les personnes ne disposant pas de la clé qui permet de déchiffrer le message voient à la place un encart publicitaire pour une association partenaire de Datarmine !

Réseaux sociaux alternatifs

Il existe plusieurs réseaux sociaux alternatifs qui sont souvent bien plus respectueux de la vie privée de leurs utilisateurs. J’ai choisi d’en détailler deux : Diaspora* et Movim.

1. L’exemple de Diaspora*. Diaspora* (oui, l’astérisque fait partie du nom !) est un logiciel libre qui fonctionne de façon décentralisée, autrement dit, il est possible de monter son propre serveur faisant tourner Diaspora*, ce qui d’un part permet de choisir un serveur géré par une organisation de confiance et d’autre part évite les problèmes de censure courants sur Facebook. Par ailleurs, Diaspora* est paramétré par défaut de façon à limiter de disperser trop de données personnelles. Par exemple, les méta-données des photos publiées (comprenant la date, l’heure et parfois la position GPS), sont supprimées avant publication, à moins que l’utilisateur ne spécifie le contraire. Il existe plusieurs centaines de « noeuds » Diaspora* (c’est ainsi qu’on appelle les serveurs), à vous de choisir celui dont les conditions générales d’utilisation vous conviennent. Parmi les plus populaires en France, on peut citer Framasphère, opéré par l’association Framasoft, très active dans la lutte contre la centralisation de l’Internet avec sa campagne « Degooglisons Internet ».
2. Une autre solution, Movim. Movim (qu’on peut utiliser sur [http://movim.eu/|http://movim.eu/) est lui aussi un réseau social libre et décentralisé. Il repose de plus sur un protocole standardisé (XMPP) et les communications sont chiffrées…

Il faut garder à l’esprit que les réseaux sociaux alternatifs font face à une bataille difficile, et ce pour deux raisons. D’une part, Facebook et les autres réseaux sociaux ont des moyens financiers qui permettent d’investir massivement et de développer sans cesse de nouvelles fonctionnalités pour peaufiner l’expérience utilisateur. D’autre part, il y a un effet réseau dans les réseaux sociaux : un réseau ne vaut que parce qu’on y trouve des gens à qui on veut parler. Cela favorise les gros réseaux aux dépends des petits et empêche de ce fait les petits de percer, quand bien même offriraient-ils des avantages inédits comme le respect de la vie privée.