Tous les ans depuis 1984 se tient fin décembre à Hambourg, en Allemagne, un congrès international de hackers (pirates informatiques), le Chaos Communication Congress. Il a pour origine la principale organisation européenne de hackers, le Chaos Computer Club, fondé en 1981, c’est-à-dire bien avant Internet.

Le 31e congrès a eu lieu la semaine dernière et, parmi les temps forts, il y a eu une conférence suivie par 3500 personnes, donnée par la journaliste Laura Poitras et le hacker Jacob Appelbaum qui ont révélé tout un tas de nouveaux documents d’Edward Snowden, le transfuge de la NSA. Le Spiegel s’en est fait l’écho, publiant sur son site plusieurs dizaines de ces documents. Les informations essentielles ont été reprises en France, en particulier par Rue89 qui vient d’y consacrer deux excellents articles sur lesquels cette note de blog est largement basée (ici et là).

Rappelons avant d’aller plus loin que l’immense majorité des gens en général et des Français en particulier ne sont pas des terroristes, des narcotrafiquants ou des pédophiles et qu’ils ont le droit élémentaire d’avoir une vie privée. En tant que simples citoyens, nous voulons juste pouvoir nous exprimer et échanger des idées librement sans être nécessairement observés, écoutés, lus, enregistrés par des services gouvernementaux qui n’ont aucun droit d’épier nos choix politiques ou sociétaux.

De ce point de vue, les révélations les plus intéressantes du congrès qui vient de s’achever ont été celles relatives aux capacités réelles qu’ont la NSA et ses alliés d’autres pays (dont la France) de décrypter les données circulant sur Internet.

Et là, il y a de très bonnes nouvelles : loin de la paranoïa généralisée qui a soufflé lorsque le programme mondial d’écoute PRISM a été révélé par Snowden, il existe encore et toujours des systèmes de communication que même les méga-ordinateurs et les plus brillants experts en cryptage de la NSA n’arrivent pas à pénétrer, avec ou sans la collaboration forcée des multinationales américaines que sont Google, Yahoo, Apple, Microsoft ou Facebook.

Les solutions qui résistent à la NSA (et autres services d’écoute)

Voici la classification utilisée par les big brothers américains et leurs équivalents européens face à différents types de données qui peuvent être interceptées :

– « Simple » : le trajet d’un document quelconque sur le Web.
– « Difficulté mineure » :  l’enregistrement d’un tchat Facebook.
– « Difficulté modérée » : le décryptage d’e-mails provenant par exemple d’une boîte mail de la société mail.ru.
– « Difficulté majeure » : le réseau TOR qui permet de naviguer sur Internet sans être localisé, le logiciel de chiffrement Truecrypt ou encore le chiffrement de tchats avec OTR. Seules des bribes de données secondaires peuvent être décodées.
– « Catastrophique » : la combinaison de TOR avec un tchat chiffré tel que CSpace, ou les applications pour smartphones Redphone (Android) et Signal (iOs).

Quatre points qui ont leur importance :

• Ces outils qui sont des écueils « majeurs » ou « catastrophiques » pour la NSA et les autres services d’écoute sont 100% gratuits.
• Leur code source est disponible publiquement, ce qui permet à des dizaines de milliers d’informaticiens de vérifier en permanence qu’ils ne cachent aucun piège ou possibilité de décodage et qui ne se priveraient pas de le faire savoir largement si cela venait à se produire.
• Ils sont hyper simples à installer et à utiliser. D’autres techniques de cryptage existent depuis des années mais la plupart sont complexes à mettre en oeuvre pour le grand public. De tels freins à leur utilisation ont disparu avec les nouvelles solutions décrites plus bas.
• Ces logiciels sont parfaitement légaux.

Sécuriser votre smartphone en quelques secondes

Si vous avez un smartphone Android (Samsung, HTC, etc.), allez sur Google Play Store et téléchargez Redphone pour pouvoir passer vos coups de fils de façon sécurisée, ainsi que TextSecure pour avoir l’équivalent de SMS impossibles à lire pour qui que ce soit d’autre que vous et la personne à qui vous écrivez. La seule information que vous devez donner pour configurer l’application est votre numéro de portable.

Si vous avez un iPhone, l’équivalent de Redphone s’appelle Signal et vous le trouverez sur iTunes (le téléchargement n’est disponible que depuis les USA pour le moment, cela devrait être étendu rapidement à d’autres pays) ; un équivalent de TextSecure est également  sur le point d’être diffusé.

Redphone et Signal sont développés par la même organisation, OpenWhisper, et sont mutuellement compatibles.

Inutile de modifier quoi que ce soit d’autre sur votre portable. Il vous suffit d’appeler vos correspondants comme avant. Si l’un d’entre eux est également utilisateur de Redphone ou de Signal, il est automatiquement détecté et un message s’affiche sur votre écran pour vous proposer de continuer l’appel en mode sécurisé ou pas, à votre choix.

Ces logiciels de sécurisation des appels sont désormais couramment utilisés par les journalistes, que ce soit au quotidien pour protéger leurs sources ou lorsqu’ils sont envoyés dans des zones de conflit. Ils ont joué un rôle majeur pour les populations concernées lors des différents printemps arabes et autres mouvements de soulèvement contre des pouvoirs autocratiques. Ils sont de plus en plus utilisés dans des parties du monde où la liberté d’expression est très loin d’être respectée.

Sans aller jusqu’à envisager un contexte aussi dramatique, n’importe quel citoyen peut désormais passer un coup de fil même banal sans qu’aucun intrus ne puisse s’arroger le droit de l’espionner. C’est la moindre des choses dans notre pays où la liberté d’expression est garantie par la Constitution.