Responsable cybersécurité au sein de l’Electronic Frontier Foundation, Eva Galperin nous explique pourquoi il faut craindre les lois sur les backdoors. Et pourquoi Protonmail n’est pas la panacée pour communiquer en toute sécurité.
Rédaction de guides de sécurité, analyse de logiciels espions, organisation d’un concours de création de nœuds Tor… Quand il s’agit de lutter contre la surveillance étatique et de promouvoir la sécurité des données, Eva Galperin ne ménage pas ses efforts. C’est pourquoi elle occupe aujourd’hui le poste de directrice de la cybersécurité au sein de l’Electronic Frontier Foundation (EFF), la célèbre association américaine de défense des droits civiques et numériques.
Quand elle parle, elle adopte forcément un ton très militant, à la fois péremptoire et nonchalant. Un curieux mélange qui peut surprendre au début. Mais quand on aborde le sujet des backdoors logicielles, le visage s’assombrit sensiblement. « C’est clairement l’une des plus grandes menaces pour la sécurité et la protection des données personnelles aujourd’hui », nous explique-t-elle, de passage à Barcelone pour une conférence organisée par Kasperky Labs.
L’idée des backdoors fait son chemin
Il faut dire que cette idée continue de faire son chemin et engrange ses premiers succès. « La Russie a déjà adopté une loi sur les backdoors. L’Australie est en train d’en examiner une. Le Brésil s’y intéresse aussi. Aux Etats-Unis, les FBI n’arrête pas de pousser en ce sens. Ce sujet n’est pas l’apanage des pays autoritaires. C’est une menace réelle partout dans le monde. Le jour où il y aura des backdoors dans les logiciels, il n’y aura plus de vie privée et de sécurité des données », estime-t-elle.
Certes, il y aura toujours une poignée d’informaticiens barbus qui pourront se bricoler des outils de communication sans porte dérobée, à coup de logiciels open source par exemple. Mais pour la masse des gens, la partie sera perdue. « Je ne me bats pas pour les adeptes de la ligne de commande, mais pour tous les gens. Evidemment, vous pouvez toujours avoir une confiance aveugle en votre gouvernement, pourquoi pas, mais qu’en est-il des autres gouvernements qui pourront également accéder à vos conversations ? Ou des cybercriminels qui pourraient mettre la main sur la porte dérobée ? », souligne-t-elle.
L’e-mail, un outil de communication obsolète
Pour autant, Eva Galderin n’est pas contre tout de forme de surveillance. « Certaines formes de surveillance ciblée sont légitimes, quand il s’agit d’observer une organisation criminelle par exemple. Mais cela doit se faire de manière justifiée et proportionnée. A ce titre, nous avons établi en 2013 une liste de 13 principes que les gouvernements devraient respecter pour ce type de surveillance », indique-t-elle. Aux personnes qui veulent communiquer de manière sécurisée, elle recommande de laisser tomber une bonne fois pour toute l’e-mail classique et d’utiliser des messageries avec chiffrement de bout en bout telles que Signal, WhatsApp ou Keybase. « On peut presque tout faire au travers de ces nouveaux services de messagerie. Aujourd’hui, il n’y a plus vraiment de raison valable d’utiliser l’e-mail qui, pour être sécurisé, nécessite l’utilisation de PGP. Mais c’est très compliqué en raison de la gestion des clés », explique-t-elle.
Même Protonmail, qui revendique pourtant un chiffrement de bout en bout en PGP, ne trouve aucune grâce à ses yeux. « Le problème, c’est que Protonmail stocke votre clé privée. Même si cette clé est d’abord chiffrée en local par l’application web de Protonmail avant d’arriver sur leurs serveurs, il est toujours possible que cet éditeur soit contraint par les forces de l’ordre de modifier son code pour quand même accéder à votre clé privée. Pour avoir un bon niveau de protection, il faut que le clé privée reste sur le terminal. Certes, Protonmail est meilleur que Gmail au niveau de la protection des données personnelles, mais ce service donne une fausse impression de sécurité », souligne-t-elle.
Le RGPD est une loi imparfaite
Sur les sujets politiques, Eva Galperin a également des idées bien arrêtées, en particulier sur les récents processus législatifs européens. Le RGPD « va dans le bonne direction car il faut une certaine régulation, mais cette loi est trop vague et contient trop de failles juridiques. Au final, les entreprises ne savent pas à quoi s’en tenir. Aucune d’entre elles ne sait vraiment si elle respecte le RGPD ou non. Quant aux utilisateurs, ils ne voient qu’un seul changement : la répétition d’alertes de consentement », poursuit-t-elle.
Elle montre par ailleurs une opposition ferme à la nouvelle directive sur le droit d’auteur, en particulier l’article 11, qui crée un droit voisin pour les éditeurs de presse, et l’article 13, qui peut contraindre les grandes plates-formes à mettre en place des dispositif de filtrage. Sur ce sujet, l’EFF s’est paradoxalement retrouvé dans le même camp que Google. « C’est vrai, nous nous retrouvons sur ce combat, mais pas pour les mêmes raisons. En ce qui nous concerne, nous pensons que les dispositifs de filtrage sont une très mauvaise idée. Une loi ne devrait pas introduire des outils de surveillance sous prétexte d’une protection des auteurs car il y a le risque d’une dérive au détriment de la liberté d’expression. Il serait plus judicieux de créer des accords de licence entre les plateformes et les ayant-droits », estime-t-elle.
Vaincre le « capitalisme de la surveillance »
Enfin, Eva Galperin espère que le glas sonnera bientôt pour les modèles économiques basés sur la collecte de données personnelles. Un système qu’elle appelle le « capitalisme de la surveillance » et qui n’est pas loin de l’arnaque dans la mesure où ces produits attirent les utilisateurs avec la gratuité sans vraiment montrer le commerce sous-jacent. « Les choses sont en train de changer. De nouveaux modèles se mettent en place, à commencer par le moteur de recherche Bing. C’est une alternative à Google qui n’est pas dans le capitalisme de la surveillance. Microsoft vend des logiciels, pas des publicités. Le navigateur Brave est un autre exemple. Ce n’est pas la fin des expériences. Il y aura toujours des opportunités tant qu’il y aura une demande de la part d’utilisateurs prêts à payer pour garder le contrôle sur leurs données », ajoute-elle. Car au final, la protection des données personnelles est avant tout une démarche individuelle. « Chacun a une perception différente et des besoins différents. L’essentiel, c’est que les utilisateurs puissent agir en connaissance de cause et en parfaite liberté. »