Discussion :

[Patrick Ruiz]

Un document du FBI montre quelles données le Bureau peut obtenir des applications de messagerie chiffrées
Lequel des services de messagerie assure le plus la sécurité de ses utilisateurs ?

Lequel des services de messagerie assure le plus la sécurité de ses utilisateurs ? Lequel est le plus susceptible de conforter quant à la primauté de l’aspect vie privée des tiers qui ont fait son choix ? Signal ? Telegram ? WhatsApp ? Le FBI vient de publier une espèce de bilan des possibilités dont il dispose d’obtenir des informations d’une série d’applications de messagerie dans le cadre de ses enquêtes. Peut-on s’y fier de façon totale quant à ce qui est de la capacité d’infiltration du Bureau ?

La publication du document fait suite à une requête d’accès à l’information de l’association à but non lucratif dénommée Property of the People. C’est un support qui contient des indications à l’intention des agents sur le type de données qu’ils peuvent obtenir des services de messagerie chiffrés. Grosso modo, c’est le Bureau fédéral d’investigations qui déclare qu’il dispose d’un accès limité au contenu des messages chiffrés qui circulent sur les plateformes de iMessage, Line, WhatsApp, Telegram et autres Signal.

D’un service à l’autre un dénominateur commun apparaît : le FBI déclare avoir accès non pas au contenu des conversations, mais à des métadonnées. Dans le cas de Telegram, le Bureau peut obtenir l’adresse IP et le numéro de téléphone d’un utilisateur pour des investigations sur des cas de terrorisme, selon la politique de confidentialité de l’application. Signal pour sa part ne laisse filtrer d’informations en fournissant la date et l’heure de création d’un compte ainsi que la dernière date d’activité d’un utilisateur sur le service.

En sus de ces possibilités, le FBI met à contribution des leviers légaux du type mandats de perquisition. WhatsApp et iMessage d’Apple sont parmi les services de cette liste qui offrent ces formules additionnelles au FBI.

C’est sur la question du chiffrement que la publication du FBI est à prendre avec des pincettes, car même si le Bureau doit répondre à une requête d’accès à l’information, il n’est pas tenu de publier des informations classifiées. Sur les smartphones, il est possible d’avoir des fuites au niveau matériel, du système d’exploitation, des applications, du réseau, etc. Ce sont ces diverses failles que les forces de l’ordre sont susceptibles de mettre à profit sous silence.

Le cas du moteur d’administration Intel sur les cartes mères de PC en est une illustration. Le microcontrôleur contenu dans le pont sud (PCH) des PC modernes (dès 2008) ouvre la porte au contrôle d’ordinateurs via des réseaux d’entreprise. C’est avec la publication, en 2017, par un groupe de chercheurs en sécurité de la méthode de désactivation de ce microcontrôleur qu’une information de taille avait fait surface : Intel aurait réservé la possibilité de désactiver le module à des agences gouvernementales. En d’autres termes, celles-ci pouvaient s’en servir pour espionner et se prémunir d’intrusions par le même vecteur.


Source : POP

Et vous ?

Quel est votre avis sur le sujet ? A quel point peut-on se fier à la réponse du FBI suite à cette requête d’accès à l’information ?
Quel est de votre point de vue le service de messagerie le plus rassurant des points de vue vie privée et sécurité ?

Voir aussi :


L'entreprise israélienne Cellebrite serait la «*partie tierce*» évoquée par le FBI, pour déverrouiller l'iPhone de l'auteur de l'attentat de S.B

Cellebrite a annoncé publiquement qu'il peut maintenant débloquer n'importe quel iPhone pour les autorités, grâce à son nouvel outil UFED

Une entreprise israélienne annonce sa capacité à déverrouiller tous les dispositifs Apple, qui tournent sous iOS 5 à 11

[Invité]

Signal, c'est très bien pour contourner la loi française sur la préservation des données de communication (1 an minimum). Par contre, ce n'est pas la bonne solution pour ceux clairement engagés pour des activités illégales ou dissidentes.

[Forge]

Signal, c'est très bien pour contourner la loi française sur la préservation des données de communication (1 an minimum). Par contre, ce n'est pas la bonne solution pour ceux clairement engagés pour des activités illégales ou dissidentes.

C'est pourtant l'application que recommandait Edward Snowden, justement pour toutes les personnes qui souhaiteraient la plus haute sécurité.
https://www.lesechos.fr/2016/11/vie-...snowden-213813

[Invité]

Jeff_67, c'est pourtant l'application que recommandait Edward Snowden, justement pour toutes les personnes qui souhaiteraient la plus haute sécurité.
https://www.lesechos.fr/2016/11/vie-...snowden-213813

La recommandation d'Edward Snowden est sensée : plus de personnes utiliseront Signal, et plus il sera compliqué pour les agences de renseignement d'espionner massivement les communications.

Il n'empêche que si vous êtes une Person of Interest de part vos activités ou votre positionnement politique, vous ne devriez pas utiliser l'application.

En effet, autant le client Signal est open-source, autant on ne sait pas grand-chose des serveurs sur lesquels transitent les messages. Si on peut a priori se fier au chiffrement des données, on ne sait pas grand-chose du traitement des métadonnées. Signal étant basé aux USA, il peut être légalement contraint d'installer des mouchards sur ses serveurs permettant à la NSA d'extraire et d'exploiter les dites métadonnées, le tout en étant contraint au secret.

On rappelle que, lors des frappes de drones américaines au Pakistan, les cibles ont été désignées grâce à un algorithme exploitant les métadonnées des réseaux GSM. Donc non, les métadonnées c'est pas rien. Vous pouvez avoir de sérieux ennuis si vous communiquez avec un fiché S, peu importe que ce soit pour parler bombes artisanales ou philatélie.

[Hanoi85]

Depuis le début de leurs création, les smartphones sont des passoires , qui ne sécurisent en rien vos données, vos communications, vos déplacement et tout les éléments de vie privée que vous lui soumettez.

On ne peut que limiter les dégâts en utilisant les applications les moins dispendieuses d'informations , mais cela reste notoirement insuffisant.

Le seul moyen serait d'utiliser son propre codage, mais pour le citoyen "lambda", dont je suis, c'est beaucoup trop lourd et compliqué au quotidien.

Cela veut dire que tout citoyen activiste, syndiqué, politiquement impliqué ou nécessitant une discrétion dans ces activités ne peut utiliser l'outil smartphone sans risques très importants.

Quels sont les autres moyens à notre disposition ? Je n'en sais rien, je n'ai pas réfléchi à la question :-)

[Forge]

Quels sont les autres moyens à notre disposition ? Je n'en sais rien, je n'ai pas réfléchi à la question :-)

On les connaît : OS sécurisé (et open-source) + VPN + TOR. Non ?