Depuis les révélations d’Edward Snowden, le grand public, mais aussi, et c’est plus inquiétant, les hommes politiques et des entreprises, découvrent que toutes les communications sont sur écoute.

Pour schématiser, les grandes oreilles de la NSA (National Security Agency – Agence nationale de sécurité américaine), et des autres services du renseignement peuvent intercepter toute sorte de données dès lors qu’elles transitent par un « tuyau ».

Pourtant, « l’espionnage généralisé a commencé en 1941 avec le traité UKUSA associant les USA, le Canada, le Royaume-Uni, l’Australie et la Nouvelle-Zélande (les 5 yeux), élargi un peu plus tard à d’autres pays incluant la France. Avant PRISM (actif depuis 2007 et révélé en 2013 par Snowden), plus d’une vingtaine de programmes d’espionnage majeurs ont été mis en œuvre depuis 1945 », rappelle Éric Filiol, Directeur du laboratoire de virologie et de cryptologie opérationnelles (ESIEA Ouest).

Sans devenir paranoïaque, il convient de prendre de bonnes habitudes et d’installer certains logiciels pour limiter les fuites de données sensibles et réduire les risques d’être surveillé, voire espionné. Dans un entretien accordé à The Intercept (site cofondé par le journaliste Glenn Greenwald, à l’origine des premières révélations sur l’écoute de la NSA), Edward Snowden délivre ses conseils pour utiliser Internet et son smartphone de façon plus sûre.

À propos des SMS, le lanceur d’alerte indique qu’il ne faut pas hésiter à chiffrer (d’aucuns parlant à tord de « crypter ») ses SMS car cette parade est simple à utiliser avec une application gratuite comme Signal Private Messenger, fruit de la fusion entre TextSecure et RedPhone, deux applications spécialisées dans le chiffrement respectivement des SMS et des appels mobiles. Disponible gratuitement sous iOS et Android, elle permet d’envoyer différents types de contenus chiffrés (texte, images, vidéos…) entre vos contacts ayant installé cette même application.

En matière de communication, il est également conseillé de délaisser Skype au profit de Jitsi (anciennement SIP Communicator), un logiciel libre de communication instantanée, d’appel audio et vidéo et de partage d’écran. De plus, il permet de chiffrer les communications.

Des données sensibles étant de plus en plus accessibles depuis les smartphones, Snowden recommande également d’utiliser un gestionnaire de mot de passe. À l’instar de KeePassX, un logiciel Open source et multiplate-forme, ce logiciel protège vos différents de mots de passe grâce à un « super mot de passe » que vous aurez créé en mélangeant des lettres, des chiffres et des signes de ponctuation. Ainsi, vous ne retenez qu’un seul mot de passe.

Toujours à propos des informations confidentielles, il est nécessaire de les mettre à l’abri dans un volume chiffré sur votre ordinateur ou une clé USB. Depuis les doutes émis à l’encontre de TrueCrypt, il existe une alternative française, Gostcrypt. Ce projet présente la particularité de s’appuyer sur du chiffrement russe appelé GOST (qui provient de GOsudarstvennyi STandard et qui signifie « standard gouvernemental »).

Toujours à propos de chiffrement, Snowden conseille d’utiliser Thunderbird (au détriment d’Outlook, Gmail, Yahoo…) et son module Enigmail. Ce dernier requiert GnuPG (GNU Privacy Guard) pour ses fonctions cryptographiques, mais il est déjà installé par défaut sur les distributions GNU/Linux.

Cette solution s’appuie sur la cryptographie à double clé. Chaque contact possède deux clés qui sont associées à son adresse email : une clé privée et une clé publique.

La première doit être mise à l’abri des curieux (et être protégée par un mot de passe complexe) et ne pas être communiquée à qui que ce soit, car elle a une double fonction : décrypter les messages reçus et signer ceux qui sont envoyés.

La seconde (la clé publique) peut être communiquée à vos contacts qui pourront ainsi vous adresser des messages que vous serez le seul à pouvoir les lire. Elle permet aussi de vérifier que vous êtes bien l’auteur des messages envoyés.

Enfin, il recommande l’authentification à deux facteurs. Cette solution n’est pas généralisée. Elle est pourtant efficace pour réduire les risques d’usurpation d’identité et de vol de données. Son principe est simple : en plus d’un mot de passe, il faut retaper un code reçu par SMS pour authentifier une identité et ensuite accéder à un compte.

Tous ces conseils s’appuyant sur des logiciels ne sont pas suffisants. « Si vous pensez que la technologie peut résoudre vos problèmes de sécurité alors vous n’avez rien compris aux problèmes ni à la technologie », déclarait l’expert en sécurité Bruce Schneier. La vigilance reste prioritaire.

Par Philippe Richard