Comment protéger ses communications mieux que Patrick Lagacé

Vous êtes assis dans un café et vous travaillez sur votre laptop, en ayant pris soin de vous mettre dos au mur pour éviter les regards des petits curieux. Vous êtes connectés au réseau sans fil du café et n’avez pas peur que personne regarde les sites que vous consultez : allez, « pumpkinspice_latte_wifi », y’a pas plus inoffensif comme réseau!

Vous avez sûrement raison : les propriétaires de cafés indépendants ne sont pas reconnus pour fouiner dans la vie informatique de leurs clients (ni pour savoir comment le faire, d’ailleurs).

MAIS. Mais disons qu’une personne venait s’installer dans le café et qu’elle utilisait comme il faut un logiciel du genre de Wireshark (gratuit et légal). Eh bien elle pourrait voir les sites que vous visitez, les recherches que vous faites… ou encore vos noms d’utilisateurs et mots de passe lorsque vous visitez des sites non sécurisés (qui ne commencent pas par https).

La plupart des sites sérieux ont une authentification HTTPS avec cryptage. Mais mettons que, fier de votre cœur d’enfant, vous alliez vous logguer sur Neopets (simple http), et que, fier de votre insouciance, vous utilisiez le même username/mot de passe pour d’autres sites plus importants ?

:O

On parle évidemment pas mal de surveillance des communications ces jours-ci à cause de l’affaire Lagacé, qui a ramené de l’avant la question de la protection des sources journalistiques.

Pierrot Péladeau, dans une chronique au Journal de Montréal, amène pour sa part un point fort intéressant (et très bien étayé), à savoir que le problème va au-delà de la protection des journalistes et concerne tout le monde. « Les journalistes doivent canaliser leur juste indignation à enquêter non seulement sur les attaques à la protection de leurs sources, mais sur comment ces attaques révèlent toute forme de surveillance de communications de toute personne sur laquelle ne repose aucun soupçon.

« Quant aux députés de l’Assemblée nationale, ils ne doivent accepter qu’une commission d’enquête publique dont le mandat explorerait et résoudrait, par-delà la protection des journalistes et députés, ce contexte qui permet en pratique la surveillance des télécommunications de tous les citoyens sur lesquels ne repose pourtant aucun soupçon. »

Je suis bien d’accord avec lui et je crois qu’en plus de soutenir une commission d’enquête publique, les citoyens auraient avantage à se renseigner et à faire un peu plus attention à la sécurité de leurs communications.

Là, on a parlé de Wireshark, un outil comme tant d’autres qui sont relativement simples à utiliser et qui permettent d’avoir quand même un paquet d’informations que vous préféreriez garder pour vous. (Je suis certaine que la moitié, au minimum, des personnes qui lisent ceci ont au moins un truc vaguement embarrassant dans leur historique de navigation du jour.)

Heureusement, il y a aussi des façons simples de se protéger!

Le collègue Philippe Côté-Giguère a essayé pour vous il y a quelque jours l’outil Signal Private Messenger, mais il y en a d’autres.

Lors de sa présentation Outils pour être un « citoyen hacker » (au Forum social mondial 2016), Jean-Hugues Roy, enseignant en journalisme à l’École des médias de l’UQÀM, a présenté quelques moyens simples et gratuits de protection valant la peine d’être connus.

• HTTPS Everywhere, une extension à votre navigateur (Firefox/Chrome/Opera/Android), qui permet de rendre vos navigations plus difficiles à épier;
• Telegram, une application de messagerie sécurisée (créée par deux frères opposants à Vladimir Poutine!);
• Peerio, un genre de Dropbox sécurisé;
• GPG Tools, pour encrypter des fichiers que l’on envoie.

Et le moyen le plus simple? Un petit pansement ou simplement un morceau de papier pour couvrir votre webcam, si vous préférez qu’on ne vous filme pas à votre insu. Oui, je trouvais ça intense moi aussi, mais si jamais vous voulez être convaincus…

Lors de sa présentation au Forum social mondial, Jean-Hugues Roy soulevait un enjeu intéressant : est-ce que cela ne pourrait pas être un devoir de citoyen, de chiffrer ses communications?

C’est-à-dire : dans la masse d’échanges d’information qui se font, les communications qui sont chiffrées sont plus facilement considérées comme suspectes. Pour protéger ceux qui veulent chiffrer et passer inaperçus ce faisant, devrait-on tous le faire?

La réflexion est très certainement intéressante, et soulève l’éternel dilemme sécurité/liberté.

En effet, le cryptage sous toutes ses formes fait la vie dure aux enquêteurs, comme on l’a vu dans la récente saga San Bernardino, où le FBI poursuivait Apple pour avoir accès au iPhone de l’un des auteurs d’un attentat terroriste (spoiler : Apple a refusé, le FBI a lancé sa poursuite, des pirates ont approché le FBI et les ont aidé à cracker l’appareil, le FBI a abandonné sa poursuite).

Et même si on n’est ni un journaliste ni un terroriste, la question de la sécurité se pose. Avec les appareils mobiles, on est connectés au réseau 24 heures sur 24, et Jean-Hugues Roy soulignait par ailleurs que le Centre de sécurité des télécommunications du Canada avait un budget de 538 M$ en 2015-2016, et 2200 employés. Il faut bien que quelque chose soit fait avec cet argent-là.

Enfin. La première étape, c’est de ne pas devenir parano non plus, de commencer par être conscient de tout cela et de prendre les précautions qui s’imposent quand on effectue des communications qui pourraient être surveillées.

Et aussi, de toujours se rappeler de ceci :

Vous saviez que la devise de Google, qui était jusqu’à l’an passé Don’t be evil, est maintenant Do the right thing?

On vous laisse le soin d’interpréter ça comme vous voulez.