PrivacyTools.io

Décortiquer un service de confidentialité : qu'y a-t-il vraiment sous le tapis ?

Décortiquer un service de confidentialité : qu'y a-t-il vraiment sous le tapis ?

À ce stade, on espère que vous avez vraiment commencé à examiner les services que vous utilisez au quotidien. Vous avez peut-être lancé quelques tests SSL sur les sites où vous vous connectez, ou consulté quelques politiques de confidentialité pour voir comment ils traitent vos informations, ou même été jusqu’à les contacter pour obtenir des détails sur les standards de chiffrement qu’ils emploient. Quoi qu’il en soit, vous commencez à décortiquer les services que vous utilisez pour voir ce qu’il y a vraiment sous le tapis. Une autre façon vraiment excellente de procéder est de ne pas s’adresser directement à l’entreprise, mais à d’autres sources sur internet. En général, et à juste titre, elles seront biaisées en faveur de leur propre service ; surtout si cela signifie qu’elles pourraient vous soutirer de l’argent. Ces entreprises ne sont donc peut-être pas totalement honnêtes. Un petit mensonge par-ci par-là n’a jamais fait de mal à personne, n’est-ce pas ? Faux ! Cela vous fait du mal, à vous. Adressez-vous donc aux entreprises pour les petits détails, mais allez ensuite sur internet pour vous faire une idée plus grande et plus large de ce qu’il y a vraiment sous le tapis. Tapez “is [ENTREPRISE/SERVICE ICI] safe” dans Google et regardez ce qui apparaît. En voici un en exemple : https://www.google.com/search?q=is+bitlocker+safe. Le tout premier lien qui apparaît quand je clique dessus s’intitule “Can the NSA Break Microsoft’s BitLocker ?”.

Toutes les entreprises que vous utilisez ne seront pas à 100 % irréprochables quand il s’agit de sécuriser votre identité en ligne, de garder vos informations, vos données et vos communications privées, ou de vous offrir un bouclier d’anonymat complet. Mais vous devriez tout de même vous intéresser aux entreprises qui prétendent le faire. Prenez Wickr et Signal par exemple. Ce sont des exemples parfaits d’entreprises très proactives dans la protection de notre droit à la vie privée en ligne, mais qui ont quelques “défauts” que l’on ne voit vraiment qu’en soulevant le tapis. Pour commencer, Wickr n’est pas open source. Ce qui, en soi, est le plus gros défaut de l’entreprise. Vous ne pouvez pas vérifier qu’ils n’ont pas installé de porte dérobée pour un tiers. Vous ne pouvez pas confirmer que le chiffrement qu’ils utilisent est aussi solide qu’ils l’affirment. Et vous ne pouvez pas vous porter garant de leurs motivations au même niveau qu’avec une entreprise comme Open Whisper Systems, qui gère et développe Signal. Mais d’un autre côté, Signal n’est pas non plus un produit miracle. Il franchit tous les obstacles et déplace des montagnes pour garder nos communications sécurisées et privées, dispose d’une colonne vertébrale de chiffrement redoutable, ET s’engage sur un modèle d’entreprise open source. Pourtant, malgré toute cette confidentialité et cette sécurité, l’anonymat dont nous avons besoin disparaît à la seconde où nous devons saisir notre numéro de téléphone et l’utiliser comme moyen pour que d’autres nous contactent de façon sécurisée. Cela veut dire que je devrais publier mon numéro de portable de façon publique, par exemple sur mon site web ou dans ma bio Twitter, pour que quelqu’un me contacte sur Signal. Ça n’arrivera jamais. Mon numéro de portable n’est pas quelque chose qui devrait être de notoriété publique. S’il l’était, mon identité en ligne et ma sécurité personnelle seraient réduites à néant.

La confidentialité par conception, par choix, ou les deux ?

Une fois que vous commencez à décortiquer les entreprises que vous utilisez ou celles que vous envisagez d’utiliser à l’avenir, vous devriez commencer à vous faire une idée : quelles entreprises conçoivent leurs produits pour être sécurisés, privés et anonymes par conception, quelles entreprises les conçoivent pour être sécurisés, privés et anonymes mais sur la base de leur choix de ne pas divulguer d’informations, et lesquelles font les deux. Wickr serait une entreprise qui le fait par choix, car elle semble entièrement dévouée à défendre notre droit à la vie privée mais ne peut pas le prouver à 100 % faute de produit open source. ProtonMail serait une entreprise qui fait les deux. Elle a conçu un service sécurisé par conception et choisit de défendre des valeurs et des convictions qui protègent notre vie privée dans le monde numérique.

Idéalement, choisir des produits et des services qui font les deux est la bonne approche. Les gens en coulisses doivent dès maintenant fabriquer des produits sécurisés par conception. J’aime bien le terme utilisé lors du récent bras de fer entre le FBI et Apple à propos du téléphone de San Bernardino :

Je ne peux pas dire avec certitude de qui il s’agissait, mais sur mon fil Twitter, le terme “Warrant Proof” a fait surface et bon sang, j’adore. L’idée derrière cette expression est qu’une entreprise développe quelque chose que même un mandat ne pourra pas briser. Ce qui est vraiment génial, car cela montre à la fois l’engagement de l’entreprise à construire un appareil dans lequel même elle ne peut pas entrer, et son dévouement à défendre de bons principes qui cherchent à protéger ses clients et ses utilisateurs.