Introduction
Dans les communications numériques d'aujourd'hui, l'expéditeur et le destinataire d'un message sont rarement en contact direct. Lorsque vous communiquez avec un ami, l’échange d’informations est en apparence privé, mais les informations pertinentes sont enregistrées et stockées sur un serveur central.
Vous ne souhaitez probablement pas que le serveur qui transmet le message lise le message privé. Dans ce cas, le chiffrement de bout en bout (en abrégé « E2EE ») est une solution réalisable.
Le chiffrement de bout en bout est un moyen technique permettant de chiffrer la communication entre le destinataire et l'expéditeur afin que seules les deux parties puissent déchiffrer les données. Les origines du chiffrement de bout en bout remontent aux années 1990, lorsque Phil Zimmerman a introduit le « Pretty Good Privacy » (connu sous le nom de PGP).
Avant de présenter pourquoi E2EE est utilisé et comment il fonctionne, comprenons d'abord comment fonctionnent les messages non cryptés.
Comment fonctionnent les messages non cryptés
Cette section décrit le fonctionnement des plateformes de messagerie classiques pour smartphone. Commencez par installer l'application et créez un compte, qui vous permettra de communiquer avec d'autres utilisateurs effectuant les mêmes actions. Vous modifiez un message et entrez le nom d'utilisateur de votre ami, en le publiant sur un serveur central. Le serveur transmet le message à votre ami et transmet avec succès le message à la destination.
L'utilisateur A communique avec B. Les deux doivent transmettre des données via le(s) serveur(s) pour établir le contact.
Vous pouvez appeler cela le « modèle client-serveur ». Le client (votre téléphone) effectue très peu d'opérations et tous les traitements informatiques lourds sont effectués par le serveur. Le prestataire agit donc comme intermédiaire entre vous et le destinataire.
Dans la plupart des cas, les données entre A<>S et S<>B sont déjà cryptées. Un exemple est Transport Layer Security (TLS), qui est largement utilisé pour protéger les connexions entre les clients et les serveurs.
TLS et les solutions de sécurité similaires empêchent l'interception des messages lors de leur transmission du client au serveur. Bien que ces mesures empêchent les personnes extérieures d'accéder aux données, le serveur central est responsable du cryptage des informations et a donc toujours accès pour lire les données. Si les données de A sont cryptées à l’aide de la clé de cryptage de B, elles ne peuvent pas être lues ni accessibles par le serveur.
Si E2EE n'est pas utilisé, le serveur stockera ces informations dans la base de données avec des millions d'autres informations. Les violations de données à grande échelle ont prouvé à plusieurs reprises que ce mécanisme vulnérable peut entraîner un désastre pour les utilisateurs.
Comment fonctionne le chiffrement de bout en bout
Le cryptage de bout en bout garantit que personne, pas même le serveur, n'a accès à vos communications. Le contenu de la communication peut prendre n’importe quelle forme : texte brut, courrier électronique, fichier, appel vidéo, etc.
Les données sont cryptées (en théorie) dans des applications telles que Whatsapp, Signal ou Google Duo, et seuls l'expéditeur et le destinataire peuvent les décrypter. Dans un schéma de chiffrement de bout en bout, vous démarrez le processus à l'aide d'une méthode appelée échange de clés.
Qu’est-ce que l’échange de clés Diffie-Hellman ?
L'échange de clés Diffie-Hellman est le fruit de l'idée originale des cryptographes Whitfield Diffie, Martin Herman et Ralf Merkel. Cette technologie puissante aide les parties à générer et à partager des secrets dans des environnements potentiellement dangereux.
En d’autres termes, même si la clé est créée sur un forum non sécurisé (même en présence de spectateurs), cela n’affectera pas la confidentialité des communications futures. Ce mécanisme est extrêmement précieux à l’ère de l’information, car il permet à deux parties de communiquer sans échanger physiquement leurs clés.
L’échange lui-même implique un grand nombre de nombres et de merveilleuses techniques de cryptographie, qui ne seront pas présentées en détail dans cet article. Utilisons plutôt l'analogie avec les couleurs de peinture courantes : supposons qu'Alice et Bob réservent des chambres aux extrémités opposées d'un couloir d'hôtel et qu'ils souhaitent partager une couleur de peinture spécifique, mais ne veulent pas révéler cette couleur spécifique.
Malheureusement, les étages sont remplis d'espions. Supposons qu'Alice et Bob ne puissent pas entrer dans la chambre de l'autre et ne puissent communiquer et interagir que dans le couloir. Les deux étaient dans le couloir et décidèrent de peindre la pièce en jaune. Ils ont divisé la peinture jaune qu'ils avaient récupérée en deux et sont retournés dans leurs chambres.
Dans la pièce, ils mélangent une autre couleur secrète que personne ne connaît. Alice a utilisé du bleu foncé et Bob du rouge foncé. La clé est que l'espion n'a pas accès aux couleurs secrètes qu'ils ont utilisées, mais peut voir le mélange résultant car Alice et Bob quittent maintenant la pièce avec un mélange de bleu-jaune et de rouge-jaune.
Les deux hommes échangèrent ouvertement ledit mélange. Peu importe si les espions le voyaient, ils n'avaient aucune idée à quoi les tons sombres étaient ajoutés. Ceci n’est qu’une analogie, les systèmes mathématiques réels sont très complexes et deviner la « couleur » secrète n’est pas une tâche facile.
Alice et Bob prennent chacun leur mélange et retournent dans la pièce, puis ajoutent leurs propres couleurs secrètes au mélange.
Alice mélange la couleur secrète « bleu foncé » avec le rouge et le jaune de Bob pour former un mélange rouge-jaune-bleu.
Bob mélange la couleur secrète « rouge foncé » avec le bleu-jaune d'Alice pour former un mélange bleu-jaune-rouge.
Les deux combinaisons sont de la même couleur et semblent tout aussi cohérentes. Alice et Bob réussissent à créer une couleur unique inconnue de l'espion.
C'est ainsi que nous créons des secrets partagés dans un environnement ouvert. La différence est qu'au lieu de s'occuper des couloirs et de la peinture, nous avons affaire à des canaux non sécurisés, des clés publiques et privées.
échange d'informations
Une fois que les autres parties disposent de leur secret partagé, elles peuvent l’utiliser comme base pour un système de chiffrement symétrique. Les solutions de chiffrement grand public actuelles utilisent généralement plusieurs technologies pour améliorer la sécurité, mais ces solutions sont toutes « élaborées à huis clos », sans lien avec les besoins réels, et ont donc peu d'effet. Une fois connecté à un ami via l'application E2EE, le cryptage et le déchiffrement ne peuvent être effectués qu'au sein de votre appareil, sauf en cas de vulnérabilité logicielle majeure.
Qu’il s’agisse de hackers, de prestataires de services ou de forces de l’ordre, il n’y a pas d’exception. Si le service bénéficiait d’un véritable cryptage de bout en bout, tous les messages interceptés seraient tronqués.
➟ Vous voulez commencer votre voyage avec la monnaie numérique ? Achetez du Bitcoin sur Binance dès aujourd'hui !
Avantages et inconvénients du chiffrement de bout en bout
Inconvénients du chiffrement de bout en bout
Il n’y a en réalité qu’un seul inconvénient au chiffrement de bout en bout, et le fait qu’il soit considéré comme un inconvénient varie d’une personne à l’autre. Aux yeux de certains, la proposition de valeur d’E2EE en elle-même est problématique, puisque personne ne peut accéder à vos messages sans la clé correspondante.
Les opposants soutiennent que cela crée une opportunité pour les criminels car ils savent que les gouvernements et les entreprises technologiques ne peuvent pas décrypter les communications E2EE. Il n’est pas nécessaire que les personnes respectueuses de la loi maintiennent la confidentialité des messages et des appels. De nombreux hommes politiques sont d’accord. Ils réclament une législation qui permettrait aux régulateurs d'intervenir dans les communications publiques lorsque cela est nécessaire. Bien entendu, cela va à l’encontre de l’objectif initial du chiffrement de bout en bout.
Il convient de noter que les applications utilisant E2EE sont également confrontées à des risques de sécurité. Lorsque deux appareils communiquent, les messages peuvent être mélangés, mais ils apparaîtront normalement à leurs points de terminaison respectifs (c'est-à-dire des ordinateurs portables ou des smartphones aux deux extrémités). Ceci n’est pas considéré en soi comme un inconvénient du chiffrement de bout en bout, mais il faut en être conscient.
Avant et après le décryptage, le message apparaît en texte brut.
La technologie E2EE garantit que personne ne peut lire vos données pendant la transmission, mais d'autres menaces subsistent :
L'appareil peut être volé : si vous n'avez pas de code PIN ou si un attaquant contourne la protection par code PIN, il peut consulter vos messages.
L'appareil peut être compromis : votre ordinateur peut être équipé d'un logiciel malveillant qui surveille vos messages avant et après leur envoi.
Un autre risque majeur est que des criminels puissent intervenir de force dans les communications entre les deux parties par le biais d'attaques de l'homme du milieu. Cela se produit généralement au début de la communication. Si un échange de clés est en cours, il sera difficile d'être certain que la personne avec qui vous échangez les clés est bien l'ami. Vous avez peut-être établi une connexion secrète avec un attaquant sans le savoir. Une fois que l'attaquant a reçu votre message et dispose de la clé de déchiffrement, il peut tromper vos amis de la même manière et intercepter le message pour consulter ou falsifier le contenu concerné selon les besoins.
Pour résoudre ce problème, de nombreuses applications intègrent des fonctions de code de sécurité correspondantes, qui peuvent prendre la forme d'une chaîne de chiffres ou d'un code QR, que vous pouvez partager avec vos contacts via des canaux sécurisés (hors ligne recommandé). Si les chiffres correspondent, vous êtes sûr qu’un tiers n’écoute pas vos communications.
Avantages du chiffrement de bout en bout
Dans les contextes ne présentant aucune des vulnérabilités ci-dessus, E2EE constitue sans aucun doute un moyen efficace d’améliorer la confidentialité et la sécurité. Semblable au routage en oignon, E2EE a conquis les défenseurs de la vie privée du monde entier. Cette technologie peut être facilement intégrée aux applications existantes pour servir tous les utilisateurs de téléphones mobiles.
E2EE est bien plus qu’un simple mécanisme permettant de lutter contre les criminels et les lanceurs d’alerte. Il s’avère que des entreprises apparemment imprenables sont également vulnérables aux cyberattaques, entraînant la fuite d’informations utilisateur non cryptées vers des acteurs malveillants. L'exposition des données des utilisateurs telles que les communications sensibles, les documents d'identité, etc. peut porter un coup dur à la vie personnelle.
Si une entreprise utilisant le mécanisme E2EE est compromise, tant que le système de cryptage est solide et fiable, le pirate informatique ne pourra voler aucune information significative. Dans le pire des cas, ils ne disposent que de métadonnées. Du point de vue de la vie privée, ce risque ne peut être ignoré, mais la sécurité des messages cryptés a effectivement été améliorée.
Résumer
En plus des applications mentionnées ci-dessus, divers outils E2EE gratuits ont été lancés et promus. Apple et Google ont personnalisé iMessage et Duo respectivement pour les systèmes d'exploitation iOS et Android, et des logiciels axés sur la confidentialité et la sécurité sont également constamment publiés.
Il faut rappeler que le chiffrement de bout en bout ne constitue pas un bouclier universel contre toutes les cyberattaques. Cependant, avec quelques réglages et opérations simples, cette technologie peut réduire considérablement le risque de fuite d'informations et créer un environnement de communication réseau sécurisé. Outre Tor, VPN et crypto-monnaies, le programme de communication E2EE est également un outil puissant pour protéger la confidentialité numérique.