J’en ai marre. Marre de ceux qui assimilent l’utilisation de la crypto à de la parano. Marre d’entendre n’importe quoi sur ça, marre d’entendre des gens qui ne s’en sont jamais servis gloser sur la difficulté qu’il y a à l’utiliser, marre de l’inconscience de ceux qui font tout pour que l’on ne s’en serve pas : oui, il faut se mettre à la crypto, non, ce n’est pas de la parano ! A la base, c’est une question de Droits de l’Homme, "appliqués à l’ère digitale"...
« Quoi que vous fassiez, ce sera insignifiant, mais il est très important que vous le fassiez. » - Mahatma Gandhi
C’est personnel, c’est privé
« C’est personnel. C’est privé. Et cela ne regarde personne d’autre que vous. Vous pouvez être en train de préparer une campagne électorale, de discuter de vos impôts, ou d’avoir une romance secrète. Ou vous pouvez être en train de communiquer avec un dissident politique dans un pays répressif. Quoi qu’il en soit, vous ne voulez pas que votre courrier électronique (e-mail) ou vos documents confidentiels soient lus par quelqu’un d’autre. Il n’y a rien de mal dans la défense de votre intimité.
Souriez, vous êtes surveillés
« Vous pensez peut-être que le cryptage de vos e-mails ne se justifie pas. Si vous êtes réellement un citoyen respectueux de la loi et n’ayant rien à cacher, pourquoi ne pas envoyer systématiquement votre courrier écrit sur carte postale ? Cherchez-vous à cacher quelque chose ? Si vous dissimulez votre courrier dans des enveloppes, cela signifie-t-il que vous êtes un esprit subversif, un trafiquant de drogue ou même un paranoïaque ?
Ferme ton enveloppe !
« Que se passerait-il si nous pensions tous que les citoyens en règle devaient utiliser des cartes postales pour leur courrier ? Si une personne non conformiste faisait valoir le droit à la protection de la vie privée en utilisant une enveloppe pour son courrier, cela éveillerait les soupçons. Les autorités pourraient ouvrir son courrier afin de découvrir ce qu’elle cherche à dissimuler.
Faites un bon geste
« Heureusement, nous ne vivons pas dans ce type d’univers et nous cachons presque toutes nos missives à l’aide d’enveloppes. Aussi, personne n’attire de soupçons en protégeant sa vie privée de cette manière. C’est la vérité du plus grand nombre. De la même manière, il serait bien commode que chacun prenne l’habitude de crypter l’ensemble de ses e-mails, innocents ou non, car le recours à une telle pratique n’éveillerait pas les soupçons. Vous pouvez considérer cette démarche comme une forme de solidarité. »
Confession d’un voleur
Ce qui précède n’est pas de moi (à l’exception des intertitres, confesse-je), mais de Philippe Zimmermann, auteur de PGP ("Pretty Good Privacy", "relativement bonne intimité"), le logiciel le plus populaire de cryptage des messages électroniques. Si je me permets de le copier/coller de la sorte, c’est que je n’ai jamais trouvé quelque chose de plus convaincant que ce texte, intitulé « Pourquoi j’ai créé PGP ? » et dont vous pouvez lire l’intégralité sur l’excellent site OpenPGP en Français, référence francophone en la matière.
Aide-toi l’e-mail t’aidera
Ceux qui connaissent un peu l’histoire d’OpenPGP peuvent sauter le paragraphe qui suit, encore que... : PGP est un logiciel créé en 1991 par Philip Zimmermann, un informaticien américain féru de cryptologie, la science qui sert, depuis des siècles, à protéger la confidentialité des communications. Pendant des siècles, donc, la crypto fut utilisée par les espions, les militaires, les gouvernants, bref : tous ceux qui voulaient être sûrs de pouvoir s’exprimer en toute confidentialité. Sauf qu’avec l’informatique, et l’internet, tout a changé. La crypto ne concerne plus les seuls « services secrets », mais tout le monde. Je répète : « tout le monde ». La preuve : la crypto est même devenue la pierre angulaire du commerce électronique, seule méthode à même de pouvoir garantir la sécurisation des transactions. Et si le commerce électronique s’y met, c’est dire que ça concerne bien « tout le monde » ! Entendez par là que je n’ai guère d’affection particulière pour ce genre de chose-là, mais que cela montre bien à quel point la crypto est devenue l’alpha et l’oméga de l’« internet pour tous ».
De fait, le standard de PGP, OpenPGP, est aujourd’hui utilisé par de plus en plus d’applications, à commencer par GnuPG (GPG), la version "libre" de PGP qui tend de plus en plus à le supplanter, à mesure que Philipp Zimmermann, en désaccord avec la société (Network Associates) qui avait racheté PGP, s’en est allé vers d’autres terrains d’aventures et que le développement de PGP a de plus été stoppé (ce qui n’empêche pas de s’en servir, quand bien même on conseillera plutôt de passer à GPG).
La parano de ma maman et des impôts
Donc, à ceux qui parlent de « parano » dès que l’on parle de « crypto », répondons tous en chœur et à tout va : blahblahblah... Comme s’il était possible d’effectuer quelque transaction électronique que ce soit (qu’il s’agisse d’un achat, ou bien d’un e-mail) sans avoir à recourir à la crypto. Enfin si, c’est possible : mais c’est un peu comme si l’on laissait traîner n’importe comment sa carte bleue et ses courriers de telle sorte que n’importe quel fouineur puisse les récupérer les doigts dans l’nez. Un peu comme si on ne fermait jamais à clef la porte de son appartement, de sa voiture ou bien que l’on laissait n’importe qui fouiller dans son ordi : un e-mail passe en effet par une dizaine de serveurs différents, en moyenne, avant d’atteindre son correspondant, offrant autant de possibilités d’être intercepté, lu ou encore enregistré dans une base de données. Je ne sais pas pour vous, mais je n’ai pas l’impression de faire dans la parano quand je scelle les enveloppes que j’envoie (aux impôts, à mes potes ou à maman). C’est pas tant que j’aie quelque chose à cacher, mais bon, j’fais gaffe, c’est tout. Normal, quoi.
Dis, tonton, qui c’est qui cause ?
Sauf qu’OpenPGP n’est pas vraiment perçu comme « normal », justement. Philip Zimmermann fut d’ailleurs fort embêté à l’époque par le gouvernement américain, qui l’accusa de « trafic d’armes ». Pourquoi ? Parce que la cryptographie, sur laquelle repose PGP, était alors considérée comme une arme de guerre interdite à l’exportation... Aujourd’hui, Phil a été disculpé et des dizaines de milliers d’internautes du monde entier utilisent quotidiennement la crypto en vue de protéger la confidentialité, et l’authentification, de leurs emails. PGP/GPG permet en effet tout autant de se protéger des écoutes indiscrètes que de l’usurpation de son identité : d’une part il garantit que seul vous et votre correspondant seront à même de lire le contenu du message, d’autre part il garantit que c’est bien XX@YY.ZZ, et pas un avatar, qui vous écrit. Et comme l’usurpation d’identité est l’un des sports favoris des scripts kiddies (p’tits jeunes qui se prennent pour des hackers), que c’est même devenu l’une des valeurs montantes de la cybercriminalité aux USA, alors que le gouvernement français vient de se fendre d’une « consultation nationale » sur la signature électronique (en plein été... mais bon, ceci est encore une autre histoire), histoire de pouvoir certifier que c’est bien vous qui signez, là, et pas quelqu’un d’autre.
Bon, passons aux questions « pratiques » qui reviennent souvent.
PGP, GPG, c’est trop compliqué. Faux : l’installation du logiciel réclame moins de clics que celle d’Outlook, par exemple (et au hasard). Son utilisation, ensuite, est on ne peut plus simple : d’un simple clic sur votre logiciel de courrier électronique, il vous sera possible de crypter vos messages en ouvrant une fenêtre pop up et en y tapant votre phrase de passe (ben oui, PGP est sécurisé, alors c’est pas un " mot de passe ", mais carrément une phrase qu’il vous faudra mémoriser).
PGP est buggué : stop la rumeur ! Jamais personne n’a pu amener ne serait-ce que l’once d’un début de bit de preuves pour étayer le fait que PGP aurait été « révisé », revu et corrigé par les services secrets ricains, ou autres. Si l’on a bien découvert un bug récemment, il n’affectait que les versions commerciales, et la nouvelle version 6.5.8, freeware, corrige le problème. Quant aux paranos, ils n’ont qu’à utiliser la version 2.63i, elle est imparable !
PGP et GPG ne servent à rien : d’aucuns rétorquent en effet que cela ne revient à se compliquer l’internet pour pas grand chose. Z’avez pas lu ou quoi ? Outre que ça sert à populariser le fait qu’il est tout aussi important de crypter ses e-mails que de fermer l’enveloppe de ses courriers papiers, outre le fait que cela authentifie l’auteur de l’e-mail, outre le fait que cela sert aussi à éviter les écoutes furtives, PGP sert aussi à familiariser ceux qui s’en servent avec quelques notions de sécurité informatique. S’il n’est pas obligatoire de savoir comment fonctionne un moteur pour savoir conduire une voiture, c’est parfois préférable. De même, il est préférable d’avoir quelques notions de sécurité informatique quand on surfe sur le net, et qu’on se sert d’un ordi.
Last but not least, se servir régulièrement (sinon quotidiennement) de PGP/GPG sert aussi à bien mémoriser la phrase de passe, ce qui n’est pas forcément une mince affaire... et vous laisserait dans le besoin, et fort emmerdé, le jour où vous en auriez vraiment besoin.