Le collectif « Fight for the Future » lance aujourd’hui une vaste campagne de communication baptisée « Reset the Net ». Sa mission est de sensibiliser les développeurs autant que les internautes aux questions de sécurité information et de respect de la vie privée. Recommandations, outils, support des protocoles de sécurité : la tâche est vaste.

Une mobilisation à la veille du premier anniversaire des révélations de Prism

Il y a presque un an, un document dérobé par Edward Snowden dévoilait les liens unissant la NSA (National security agency) à l’opérateur américain de téléphonie Verizon. Le même jour, le monde découvrait l’existence du programme de collecte Prism et les premiers éléments du réseau de collecte mis en place par l’agence. À la veille de ce premier anniversaire, l’initiative « Reset the Net » se propose de faire évoluer les mentalités.

L’objectif global est d’informer tous les internautes qu’il existe des moyens de sécuriser au maximum leurs communications. Reset the Net (RtN) propose par exemple une page recensant des applications mobiles et fixes pour chiffrer les communications, Tor apparaissant également comme un moyen d’augmenter encore la sûreté des échanges, même si l’on sait que cette solution n’est pas parfaite. Et même si des produits tiers existent, RtN rappelle que chaque plateforme dispose d’outils qui peuvent aider, comme FileVault sous OS X. Mêmes les plateformes mobiles sont à l’honneur, mais uniquement Android et iOS qui, s’ils sont majoritaires, ne sont pas les seuls systèmes.

Les développeurs invités à entrer dans la danse

Mais RtN ne s’adresse pas qu’aux internautes et utilisateurs de smartphones. Sur le site officiel, dans la section « Comment redémarrer le Net », le « plan » prévoit de sensibiliser les développeurs de sites et d’applications à la sécurité pour leur faire utiliser, autant que possible, des mécanismes de sécurité tels que SSL (Secure Socket Layer), HSTS (HTTP Strict Transport Security) et PFS (Perfect Forward Secrecy) lorsqu’ils peuvent être mis en place.

« Internet est ce que nous en faisons »

L’initiative attire en outre bon nombre de soutiens. Plusieurs ONG sont de la partie, comme Greenpeace et Amnesty International, mais on trouve également des formations politiques, telles que le Parti Pirate, ainsi que des sociétés civiles de défenses des libertés, en particulier l’ACLU (American Civil Liberties Union) et La Quadrature du Net, dont les voix se sont fait souvent entendre suite aux révélations d’Edward Snowden. Plusieurs entreprises connues sont également présentes, comme Mozilla, Reddit, imgur, Google, DuckDuckGo ou encore BoingBoing. Évidemment, l’Electronic Frontier Foundation est sur le front. Signalons que les Français du moteur de recherche Qwant font aussi partie du lot.

Edward Snowden soutient directement l'initiative

Le lanceur d’alertes soutient d’ailleurs lui-même Reset the Net, et le site de Fight for the Future en fournit la déclaration à cette occasion :

« Il y a un an, nous apprenions qu’Internet était sous surveillance et que nos activités étaient analysées pour créer des enregistrements permanents de nos vies privées […]. Aujourd’hui, nous pouvons commencer le travail pour arrêter efficacement la collecte nos communications en ligne, même si le Congrès américain n’a pas réussi à le faire. C’est pourquoi je vous demande de me rejoindre le 5 juin pour Reset the Net, où les gens et les entreprises à travers le monde vont s’unir pour intégrer les solutions techniques qui peuvent mettre un terme aux programmes de surveillance de masse de n’importe quel gouvernement. (...)

Nous avons la technologie et adopter le chiffrement est la première mesure efficace que chacun peut prendre pour arrêter la surveillance de masse. C’est la raison pour laquelle je suis enthousiaste pour Reset the Net – [l’initiative] marquera le moment où nous avons transformé le message politique en action concrète et où nous nous sommes protégés nous-mêmes à une large échelle. Rejoignez-nous le 5 juin et ne réclamez plus le respect de votre vie privée. Reprenez-la. »

Aucune sécurité n'est parfaite, mais...

Reset the Net rappelle également plusieurs éléments importants qui sont à la source de cette initiative qui se veut globale. La collecte des données personnelles est l’élément déclencheur, mais d’autres révélations étaient toutes aussi importantes. L’exploitation des failles de sécurité par la NSA est ainsi un point capital puisqu’elle faisait craindre à des chercheurs et experts en sécurité un affaiblissement considérable des bases d’Internet. Le chercheur Matthew Green avait ainsi indiqué en septembre de l’année dernière : « C’est le risque quand vous introduisez une porte dérobée dans les systèmes, vous n’êtes pas le seul à l’exploiter. Ces portes pourraient aussi agir contre les communications américaines ». Des portes dérobées qui étaient une nouvelle fois au cœur de l’actualité quand de nouveaux documents de Snowden ont révélé que la NSA modifiait parfois des équipements réseaux avant qu’ils reprennent leur route vers des clients étrangers.

Il existe en fait une part d’ombre importante entre ce que la NSA est effectivement capable de faire et l’état exact de la sécurité, à cause justement d’éventuelles failles exploitables et portes dérobées. De fait, Reset the Net rappelle quand même qu’il « n’y a aucun moyen de dire exactement à quel point HTTPS avec HSTS et PFS limitent la capacité de la NSA à espionner sur le web ». L’initiative insiste cependant sur un point désormais familier : si aucun mécanisme de sécurité n’est absolu, ces outils participeront à élever considérablement le niveau moyen des communications.

Conséquence : la NSA devra soit s’adapter et augmenter drastiquement la puissance disponible pour déchiffrer les communications, soit, à puissance égale, elle ne pourra lire qu’une petite partie des communications. L’effort général revient donc, dans les grandes lignes, à rendre la tâche de l’agence nettement plus compliquée : en chiffrant les communications et en bouchant les failles de sécurité, la NSA se retrouvera dans « une situation précaire ».

Démocratiser les solutions existantes et créer le besoin

Mais tout ceci ne sera peut-être pas suffisant si l’on en croit Laurent Chemla, cofondateur du registraire Gandi, pour qui « revenir à une société un peu moins folle ne se fera pas en un jour ». Plusieurs points selon lui doivent être assimilés, comme la nécessité d’imaginer « des outils qui créent le besoin », pratiques à utiliser, agréables, voire même « sexy », afin « d’augmenter la sécurité globale pour rendre la surveillance de masse plus chère ». Il faut également prendre « conscience de l’impossibilité d’augmenter la sécurité sans rendre plus complexe l’expérience utilisateur », un point sur lequel nous avons-nous-mêmes insisté à plusieurs reprises. Enfin, il convient de « cesser d’imaginer des services centralisés » puisque chacun d’eux, lorsqu’il rencontre le succès « ouvre un boulevard à la surveillance généralisée ».

Pour Laurent Chemla, il s’agit finalement d’un combat « long, difficile » et « presque perdu d’avance », mais qui « en vaut la peine ».