Il fut un temps où un hacker, n’importe lequel, pouvait rentrer dans un smartphone ou un ordinateur et lire ainsi tous les journaux logs des discussions échangées par le détenteur de l’équipement. Certains logiciels de grande notoriété, comme Live Messenger, créaient même des dossiers et des fichiers en clair qui renfermaient non seulement les textes, mais également les images et les vidéos échangées avec des amis, sans aucune forme de protection.
Suite au Datagate, scandale sur les données personnelles, ainsi qu’à toutes les autres questions au sujet de la confidentialité numérique, les principaux développeurs de plateformes de messagerie ont œuvré dans le but de sécuriser leurs écosystèmes. Aujourd’hui, ils se servent presque tous de la méthode dénommée chiffrement de bout en bout, qui rend l’espionnage des conversations difficile pour les tiers, en minimisant ainsi le danger de hacking à distance. Le risque d’être intercepté physiquement demeure, mais il s’agit là d’une toute autre histoire.
Le moment fondamental
À leurs débuts, des applications largement utilisées, telles que WhatsApp et Facebook Messenger, n’avaient pas bâti leur technologie de communication sur des structures réellement sûres. La situation a bien changé avec l’adoption du chiffrement de bout en bout, devenu populaire avec l’essor de Telegram, la première application de chat qui a véritablement pris soin de la confidentialité.
Discussions privées
Le chiffrement de bout en bout est une fonctionnalité très puissante dont l’action consiste fondamentalement à chiffrer les messages transmis et reçus par deux utilisateurs d’un même service. Lorsqu’on envoie un texte à un ami, il est codifié (et donc chiffrer) et ne peut donc être traduit que sur l’équipement du destinataire. Le même algorithme, car c’est bien de ce dont il s’agit – une séquence informatique rendant les logs illisibles – est appliqué au partage de fichiers et aux appels VoIP, transmis par Internet. L’avantage de cette technique réside dans le fait qu’elle garde les discussions et les appels téléphoniques protégés, à l’abri des regards indiscrets des hackers, mais également des services de police ou des gouvernements espions. Sur le plan technique, la conversation échangée ne peut être lue que par le smartphone qui a expédié le message et par celui qui l’a reçu, sans aucune possibilité de captation extérieure, même de la part du fournisseur lui-même, le WhatsApp de service.
Le jeu des clés
Le but du chiffrement de bout en bout est celui de codifier les renseignements qui concernent l’expéditeur. Cet objectif est atteint en fournissant à l’équipement du destinataire seulement les clés pouvant déchiffrer un message précis, celui qui lui a été envoyé par son interlocuteur. Et c’est à ce point qu’interviennent deux types de clés : la clé publique et la clé privée.
Lorsqu’on s’enregistre pour la première fois sur Whatsapp, en installant l’application sur son portable, des groupes de clés publiques, univoques pour ce portable, sont générées et mémorisées sur le serveur de la société. Ce sont ces clés qui sont ensuite utilisées pour chiffrer les textes, les photos et les vidéos envoyés. Toute application supportant le chiffrement de bout en bout peut utiliser des nombres différents de clés publiques. Par exemple, pour Whatsapp il en existe trois : la clé d’identité, la clé signée et la clé provisoire (ou one-time key), utilisée uniquement à la première lecture d’un nouveau message.
Voici la manière dont le passage entre les trois clés est réalisé : Georges adresse un message à Laure. L’appareil de Georges utilise les clés publiques du téléphone de Laure pour chiffrer le message et le transmettre. Le système doit cependant s’assurer que la communication ne puisse être lue que par Laure (soit le destinataire prévu) et par personne d’autre, pas même par le serveur qui est en train d’acheminer la conversation. C’est là qu’intervient la clé privée.
Tout dispositif est doté d’une clé privée univoque, mémorisée sur le smartphone et nulle part ailleurs. Par conséquent, quand Georges envoie un message à Laure, ce message est chiffré et transmis en utilisant les clés publiques de Laure, mais il ne peut être traduit qu’en utilisant la clé privée détenue par cette dernière.
À l’instar du courrier
Pour se livrer à une illustration simple par analogie, il suffit de penser au fonctionnement des boîtes aux lettres situées à côté des bureaux de poste et déployées dans les villes (comme s’il s’agissait des serveurs). N’importe qui peut y introduire des lettres ou des cartes postales à travers la fente disponible (la clé publique), mais seulement le facteur, dépositaire de l’accès (la clé privée), est en mesure d’ouvrir la boîte, d’en retirer tous les courriers et de les remettre aux destinataires. La différence réside dans le fait que l’homme peut commettre des erreurs ou avoir du retard, mais pas le chiffrement.