Hier, un utilisateur de notre forum a ouvert un fil de discussion sur les différences entre les messageries sécurisées. Plutôt que d'énumérer des tas de messageries différentes et leurs caractéristiques, j'ai pensé que je devrais commencer par définir "sécurisé", et d'autres termes clés dans le contexte de la messagerie instantanée. C'est parce qu'une messagerie qui est "sécurisé" pour moi, ne signifie pas automatiquement qu'il est "sécurisé" pour quelqu'un d'autre.
Tout d'abord, nous devons déconstruire le sens de la sécurité, commençons par l'acronyme CID (ndrl : CIA en anglais : confidentiality, integrity, and availability) : confidentialité, intégrité et disponibilité. La confidentialité signifie que seules les parties visées ont pu lire le message. L'intégrité signifie être sûr que votre message n'est pas modifié avant qu'il n'arrive, c'est quelque chose que la plupart des gens tiennent pour acquis. Enfin, la disponibilité, c'est s'assurer que toutes les parties ont un accès adéquat à vos messages. Vous pouvez en savoir plus à ce sujet ici si vous êtes intéressé.
Nous voulons donc une messagerie " sécurisé ", que devrions-nous regarder ?
La réponse à cela est quatre aspects : la sécurité, la confidentialité, l'anonymat et la convivialité.
* La sécurité : Souvenez-vous de CID. En résumé, la sécurité signifie que seuls les destinataires visés ont reçu votre message, qu'ils y ont un accès approprié et que le message n'a pas été modifié par des tiers.
* L'intimité : La protection de la vie privée consiste à protéger le contenu des communications contre les parties externes, mais pas nécessairement l'identité des personnes qui communiquent. Par exemple, deux collègues de travail se rendent dans une autre pièce pour se parler : vous savez qui est là et qu'ils parlent, mais pas ce qu'ils disent ; la conversation est privée.
* L'anonymat : L'anonymat consiste à protéger l'identité des parties qui communiquent, mais pas nécessairement le contenu. Un exemple ici est un informateur anonyme qui divulgue un document au public ; le contenu de la fuite est connu et n'est plus privé, mais vous ne savez pas qui l'a divulgué ; ils sont anonymes.
* La facilité d'utilisation : La convivialité est la facilité d'utilisation ; c'est souvent l'élément le plus négligé de la messagerie sécurisée. Si une application est trop difficile ou frustrante à utiliser, de nombreuses personnes se contenteront d'alternatives moins sûres et plus utilisables. La mauvaise convivialité est la raison pour laquelle le courrier électronique chiffré PGP n'a jamais décollé pour les masses : c'est un casse-tête de l'utiliser. Roger Dingledine du projet Tor a écrit un bel article sur l'importance de la convivialité dans les systèmes sécurisés.
Maintenant que nous comprenons les facettes les plus importantes de la messagerie sécurisée, nous devons parler de modélisation des menaces.
La modélisation des menaces est quelque chose que vous devez réaliser avant de choisir votre messagerie ; c'est parce qu'il n'y a pas une seule messagerie ultime qui fonctionne universellement pour tous. Peu de gens semblent bien comprendre leur modèle de menace. Pour commencer à modéliser les menaces, il y a quelques questions que vous pouvez vous poser :
* Qu'est-ce que je protège ? Protégez-vous le contenu de vos messages ? Votre identité ? Les métadonnées ? Votre position ? Peut-être une combinaison de tout cela ?
* Contre qui dois-je me protéger ? Vous protégez-vous contre les agences de publicité ? Les gouvernements ? un conjoint violent ? Des hackers ? Chacun d'entre eux a ses propres faiblesses et forces ; un gouvernement a plus de fonds, mais un pirate informatique peut enfreindre la loi. On les appelle souvent des ennemis.
* Quel est l'impact si la chose que je protège est à la disposition de mon adversaire ? Les messagers qui protègent le mieux le contenu et les métadonnées de vos messages sont souvent les moins pratiques à utiliser, alors considérez le degré de convivialité auquel vous êtes prêt à renoncer pour le protéger. Est-ce parce que tu caches ta passion secrète pour les lampes de poche, ou est-ce une question de vie ou de mort ?
D'accord, j'ai réfléchi à mon modèle de menace ; que faire ensuite ?
Une fois que vous aurez modélisé la menace et que vous saurez de quoi vous vous protégez, nous pourrons commencer à examiner certaines des messageries qui s'y trouvent. Prenons deux exemples :
Signal : Signal est un service de messagerie privée de bout en bout, chiffré et open source. Elle est très facile à utiliser et n'exige pas que les utilisateurs connaissent le chiffrement ou la sécurité en général. Elle assure la confidentialité en chiffrant de bout en bout les messages et les appels, et parce qu'elle est si facile à utiliser, elle rendra la tâche de déplacer vos contacts vers une nouvelle messagerie un peu plus facile. Cependant, comme Signal a besoin d'un numéro de téléphone pour s'inscrire, Signal n'est pas anonyme et n'a jamais prétendu l'être.
Briar : Briar est une messagerie chiffrée de bout en bout qui utilise le réseau Tor pour rester anonyme. Briar fonctionne comme un service peer-to-peer (ce qui signifie qu'il n'y a pas de serveur de transfert de messages entre utilisateurs) dans Tor, vos métadonnées et le contenu des messages sont protégés. L'inconvénient de la nature peer-to-peer de Briar est que les deux parties doivent être en ligne en même temps pour envoyer des messages, ce qui nuit à la convivialité.
Maintenant, si vous ou un contact croyez que vous pourriez être la cible d'organismes gouvernementaux, Briar serait un meilleur choix pour protéger votre identité. En effet, bien que Briar ne soit pas le service le plus pratique, il n'exposera pas les métadonnées qui pourraient révéler qui, quand ou même si vous avez interagi avec un autre utilisateur.
Toutefois, si vous êtes un citoyen moyen qui discute avec des amis ou des membres de sa famille sur des sujets non sensibles, Signal sera probablement plus approprié. Les conversations dans Signal sont chiffrées de bout en bout et privées, mais grâce à l'utilisation de numéros de téléphone, il est possible d'identifier les contacts des utilisateurs et autres métadonnées. Le principal avantage de Signal est qu'il est extrêmement facile à utiliser, c'est presque la même utilisation que WhatsApp, de sorte que les utilisateurs moins soucieux de la confidentialité et de la sécurité sont plus susceptibles de l'adopter.
Nous avons donc un modèle de menace et nous connaissons la différence entre la sécurité, la confidentialité, l'anonymat et la convivialité. Maintenant, comment puis-je savoir quelle messagerie me fournit quoi ?
Bonne question ! Il y a quelques points à prendre en compte lors du choix d'une messagerie :
* Chiffrement de bout en bout : cela signifie que seuls vous et la personne à qui vous envoyez votre message pouvez lire le contenu du message.
* Open Source : Cela signifie que le code source de l'application est disponible pour lecture, ce qui permet à ceux qui ont le temps et les connaissances nécessaires de vérifier qu'il est aussi sûr qu'annoncée. (Points bonus si des versions dupliquées sont disponibles. Cela signifie que vous pouvez copier le code source, suivre les instructions de compilation et obtenir une copie exacte de l'application distribuée par les développeurs. Cela nous permet de nous assurer que l'application utilisée est bien la même que le code source.)
* P2P : P2P (également connu sous le nom de peer-to-peer) signifie que vos messages vont directement à votre appareil de contacts, et qu'il n'y a aucune tierce partie impliquée. Attention : bien qu'aucune entité centrale ne collecte vos métadonnées et vos messages sur son serveur, sans protection IP, quiconque surveille votre connexion pourra voir qui vous envoyez un message et pendant combien de temps, ce qui pourrait porter atteinte à votre anonymat. Comme mentionné ci-dessus, Briar y parvient en utilisant le réseau Tor.
* Métadonnées : Les métadonnées sont toutes les informations concernant un message, à l'exception de son contenu. Voici quelques exemples de métadonnées : expéditeur, destinataire, heure d'envoi et emplacement de l'expéditeur. On pourrait décrire les métadonnées comme des "enregistrements d'activités". Selon votre modèle de menace, il peut être important de vous assurer que certaines métadonnées ne sont pas disponibles pour votre ennemi.
* Informations fournies lors de l'inscription : De quelles informations le service a-t-il besoin avant que vous puissiez l'utiliser ? Lorsqu'un numéro de téléphone est requis, comme Signal, il sera difficile d'obtenir l'anonymat parce que le numéro de téléphone est habituellement lié à votre véritable identité, donc si l'anonymat fait partie de votre modèle de menace, recherchez une messagerie avec des exigences minimales pour vous inscrire.
N'oubliez pas qu'il est parfois préférable de se contenter d'une solution moins que parfaite, si elle offre une facilité d'utilisation supérieure qui vous aidera à garder vos contacts loin des alternatives moins sûres. Par exemple, amener votre famille à rejoindre Signal, ou même WhatsApp est une énorme amélioration par rapport aux SMS, c'est parce que les SMS sont envoyés en clair. Bien sûr, ce n'est pas anonyme. Bien sûr, vous divulguerez des métadonnées, mais c'est déjà un grand pas en avant en matière de sécurité, et c'est mieux que d'essayer de leur faire utiliser votre ultime messagerie privée anonyme sécurisée qui est un casse-tête, et les voir utiliser de nouveau le SMS à la place. Comme l'a dit Voltaire : La perfection est l'ennemi du bien.
Eh bien, ce poste s'est avéré plus long que je ne le pensais ! Quoi qu'il en soit, j'espère que vous avez maintenant une idée plus claire du fonctionnement de la messagerie sécurisée, des différences et de la façon dont vous pouvez choisir une messagerie sécurisée en fonction de vos besoins. Oh et si vous voulez vous joindre à la discussion sur ce sujet et les sujets futurs, vous pouvez me trouver sur notre instance Mastodon ou sur notre nouveau forum.
C'est tout pour aujourd'hui, à plus tard !
Par blacklight447
sauce :
https://write.privacytools.io/my-thoughts-on-security/how-to-choose-a-secure-messenger