Introduction

La nature des communications numériques modernes est telle que nous interagissons rarement directement avec les destinataires. Il peut sembler que vous et vos interlocuteurs échangez des messages en privé, mais en réalité les messages sont transmis via un serveur central et peuvent y être stockés.

Bien entendu, vous ne voudriez pas que vos messages soient lus par le serveur chargé de les transmettre entre vous et le destinataire. Alors le chiffrement de bout en bout (ou E2EE) peut être la solution pour vous.

Le chiffrement de bout en bout est une méthode de chiffrement des messages entre le destinataire et l'expéditeur afin qu'eux seuls puissent déchiffrer les données. Cela remonte aux années 90, lorsque Phil Zimmerman a introduit Pretty Good Privacy (mieux connu sous le nom de PGP).

Avant d'expliquer pourquoi vous pourriez avoir besoin d'E2EE et comment il fonctionne, examinons comment les messages non cryptés sont transmis.


Comment les messages non cryptés sont-ils envoyés ?

Jetons un coup d'œil au fonctionnement d'une plate-forme de messagerie pour smartphone typique. Vous installez l'application et créez un compte, qui vous permet de communiquer avec d'autres utilisateurs qui ont fait de même. Vous écrivez un texte et saisissez le pseudo du destinataire, puis envoyez le message au serveur central. Le serveur voit à qui vous avez adressé le message et le transmet au destinataire.


Взаимодействие пользователей А и В. Чтобы обмениваться сообщениями друг с другом, они должны передавать данные через сервер (S).

Interaction entre les utilisateurs A et B. Pour échanger des messages entre eux, ils doivent transférer des données via le serveur (S).


Vous connaissez probablement le modèle client-serveur. Le client (votre téléphone) a des fonctionnalités limitées : les principaux calculs sont effectués sur le serveur. Cela signifie également que le serveur est un intermédiaire entre vous et le destinataire.

Dans la plupart des cas, les données entre A<>S et S<>B dans le circuit sont cryptées. Un exemple d’un tel cryptage est le protocole cryptographique Transport Layer Security (TLS), largement utilisé pour sécuriser les connexions entre un client et un serveur.

TLS et les solutions de sécurité similaires empêchent l'interception des messages lors de leur passage entre le client et le serveur. Ces mesures empêchent les attaques de l'homme du milieu, mais le message peut toujours être lu par le serveur. C’est là qu’intervient la nécessité d’un chiffrement de bout en bout. Si les données de A étaient cryptées avec une clé cryptographique appartenant à B, alors le serveur ne pourrait pas les lire ni y accéder.

S'il n'y a pas de cryptage de bout en bout, le serveur peut stocker vos messages dans une base de données avec des millions d'autres. Avec des violations de données à grande échelle qui se produisent constamment, un manque de chiffrement peut avoir des conséquences désastreuses pour les utilisateurs finaux.


Comment fonctionne le chiffrement de bout en bout ?

Le cryptage de bout en bout garantit que personne – pas même le serveur qui vous connecte aux autres utilisateurs – ne peut accéder à vos données. Nous parlons de tout, du texte brut et des e-mails aux fichiers et appels vidéo.

Le cryptage de bout en bout protège les données dans des applications comme Whatsapp, Signal et (probablement) Google Duo afin que seuls les expéditeurs et les destinataires prévus puissent les déchiffrer. Le chiffrement de bout en bout commence par ce qu’on appelle un échange de clés.


Comment fonctionne l'échange de clés dans le protocole Diffie-Hellman ?

L'idée d'un échange de clés Diffie-Hellman a été proposée par les cryptographes Whitfield Diffie, Martin Hellman et Ralph Merkle. Il s'agit d'un protocole cryptographique révolutionnaire qui permet aux parties de générer une clé secrète partagée dans un environnement ouvert et vulnérable.

En d'autres termes, la génération de clés peut avoir lieu sur des ressources non sécurisées (même avec la possibilité d'une écoute clandestine sur le canal) sans affecter les messages ultérieurs. À l’ère de l’information, cela est particulièrement précieux car les parties n’ont pas besoin d’échanger physiquement leurs clés pour communiquer.

L’échange lui-même implique l’utilisation de grands nombres aléatoires et de magie cryptographique. Nous n'entrerons pas dans les détails. Utilisons plutôt l’analogie populaire de la peinture. Disons qu'Alice et Bob se trouvent dans des chambres d'hôtel différentes aux extrémités opposées du couloir et souhaitent utiliser ensemble une certaine couleur de peinture. Ils ne veulent pas que quiconque sache de quoi il s’agit.

Malheureusement, l'étage est surveillé par des espions. Supposons qu'Alice et Bob ne puissent pas entrer dans la chambre de l'autre, ils ne peuvent donc interagir que dans le couloir. Dans le couloir, ils peuvent choisir une couleur de peinture générale, comme le jaune. Ensuite, ils prennent un pot de peinture jaune, s'en moulent un morceau et retournent dans leur chambre.

Dans leurs chambres, ils doivent mélanger une couleur secrète à la peinture jaune, une couleur que personne ne connaît. Alice utilise du bleu et Bob utilise du rouge. Il est important que les espions ne connaissent pas ces couleurs secrètes. Alice et Bob quittent désormais les pièces avec leurs mélanges bleu-jaune et rouge-jaune - le résultat du mélange est connu des espions.

Alice et Bob échangent ouvertement des mélanges. Peu importe que les espions le voient, ils ne peuvent pas déterminer la nuance exacte des couleurs ajoutées. N'oubliez pas qu'il ne s'agit que d'une analogie : les calculs réels derrière ce système rendent encore plus difficile la détermination de la « couleur » secrète.

Alice prend le mélange de Bob, Bob prend le mélange d'Alice et ils retournent dans les chambres. Maintenant, ils mélangent à nouveau leurs couleurs secrètes.

  • Alice mélange sa teinture bleue secrète avec le mélange rouge-jaune de Bob, créant une couleur rouge-jaune-bleu.

  • Bob mélange son colorant rouge secret avec le mélange bleu-jaune d'Alice, créant une couleur bleu-jaune-rouge.

Les deux combinaisons ont les mêmes couleurs, elles se ressemblent donc. Alice et Bob ont réussi à obtenir une couleur unique inconnue des espions.


В обеих комбинациях одинаковые цвета, поэтому они выглядят одинаково. Алиса и Боб успешно получили уникальный цвет, неизвестный шпионам.


Il s'agit du schéma permettant de créer un secret partagé dans un environnement ouvert. La différence est qu’en réalité nous n’avons pas affaire à des couloirs et à des peintures, mais à des canaux de transmission non sécurisés, des clés publiques et privées.


Échange de messages

Les parties peuvent utiliser le secret partagé qui en résulte comme base pour un cryptage asymétrique. Les implémentations populaires incluent généralement des méthodes supplémentaires pour une sécurité plus robuste, mais ce sont toutes des abstractions pour l'utilisateur. Une fois que vous avez établi une connexion dans l'application avec E2EE, le cryptage et le déchiffrement ne peuvent être effectués que sur vos appareils (sauf vulnérabilités logicielles graves).

Peu importe que vous soyez un hacker, un opérateur télécom ou même un agent des forces de l'ordre. Si l’application utilise effectivement un chiffrement de bout en bout, tout message intercepté apparaîtra comme un fouillis incompréhensible d’octets.


➟ Voulez-vous commencer à utiliser la crypto-monnaie ? Achetez du Bitcoin sur Binance !


Avantages et inconvénients du chiffrement de bout en bout

Inconvénients du chiffrement de bout en bout

Il n’y a qu’un seul inconvénient au chiffrement de bout en bout, et le fait que ce soit un inconvénient dépend entièrement de votre point de vue. Pour certains, la valeur d’E2EE n’est pas pertinente précisément parce que les messages ne sont pas accessibles sans la clé appropriée.

Les opposants soutiennent que E2EE peut être utilisé par des criminels sachant que les gouvernements et les entreprises technologiques ne seront pas en mesure de décrypter leurs messages. Ils estiment que les personnes respectueuses de la loi n’ont pas besoin de garder secrets leur correspondance et leurs appels téléphoniques. Cette opinion est partagée par de nombreux hommes politiques qui font pression en faveur d'une législation qui permettrait d'utiliser des portes dérobées pour accéder aux communications des citoyens. Bien entendu, cela va à l’encontre de l’objectif du chiffrement de bout en bout.

Il convient de noter que les applications utilisant E2EE ne sont pas sécurisées à 100 %. Les messages sont chiffrés lors du transit entre les appareils, mais sont accessibles sur des points finaux tels qu'un ordinateur portable ou un smartphone. Cela ne constitue pas en soi un inconvénient du chiffrement de bout en bout, mais il convient de le garder à l’esprit.


Сообщение находится в открытом виде до и после расшифровки.

Le message est en texte clair avant et après décryptage.


E2EE garantit que personne ne peut lire vos données pendant la transmission. Mais d’autres menaces sont toujours d’actualité :

  • Votre appareil pourrait être volé : si vous n'avez pas défini de code de sécurité ou si un attaquant le contourne, il peut accéder à vos messages.

  • Votre appareil peut être compromis et contenir des logiciels malveillants ayant accès aux messages avant et après leur envoi.

Un autre risque est que quelqu'un puisse accéder au canal entre vous et votre interlocuteur en utilisant une attaque de l'homme du milieu. Cela peut se produire au début d'une conversation : lorsque vous échangez des clés, vous ne pouvez pas être sûr de l'authenticité de l'autre partie. Ainsi, sans le savoir, vous pouvez partager un secret avec un attaquant. L'attaquant reçoit vos messages et dispose de la clé pour les déchiffrer. Il peut de même tromper votre interlocuteur, ce qui signifie qu'il pourra transmettre des messages, les lire et les modifier à sa discrétion.

Pour éviter une telle attaque, de nombreuses applications implémentent différents codes de sécurité. Il s'agit d'une chaîne de chiffres ou d'un code QR que vous pouvez partager avec vos contacts via un canal sécurisé (idéalement hors ligne). Si les chiffres correspondent, vous pouvez être sûr qu'un tiers ne suit pas vos interactions.


Les avantages du chiffrement de bout en bout

Lorsqu’il est utilisé sans aucune des vulnérabilités mentionnées précédemment, E2EE constitue sans aucun doute un moyen très précieux d’améliorer la confidentialité et la sécurité. Comme le routage en oignon, il s'agit d'une technologie promue par les défenseurs de la vie privée du monde entier. Le cryptage de bout en bout est facilement intégré aux applications auxquelles nous sommes habitués, ce qui signifie qu'il est disponible pour toute personne pouvant utiliser un téléphone mobile.

Il est faux de considérer E2EE comme un outil utile uniquement aux criminels et aux lanceurs d’alerte. Il a été prouvé que même les entreprises apparemment les plus sécurisées sont vulnérables aux cyberattaques, ce qui rend les informations utilisateur non cryptées accessibles aux attaquants. L'accès aux données des utilisateurs, telles que les messages sensibles ou les documents d'identité, peut avoir des conséquences désastreuses sur la vie des personnes.

Si une entreprise dont les utilisateurs sont protégés par E2EE est piratée, les pirates ne pourront pas extraire d'informations utiles sur le contenu des messages (si la mise en œuvre du cryptage de bout en bout est forte). Au mieux, ils peuvent obtenir les métadonnées. Cela reste préoccupant du point de vue de la vie privée, mais il est important que le contenu des messages reste inconnu.


Conclusion

En plus des commentaires ci-dessus, il convient de dire qu'il existe un nombre croissant d'outils de bout en bout distribués gratuitement. iMessage et Google Duo d'Apple sont respectivement fournis avec les systèmes d'exploitation iOS et Android, tandis que des logiciels davantage axés sur la confidentialité et la sécurité deviennent disponibles.

Soulignons encore une fois : le chiffrement de bout en bout n’est pas une barrière magique contre toutes les formes de cyberattaques. Cependant, avec relativement peu d’efforts, vous pouvez l’utiliser activement pour réduire considérablement les risques auxquels vous vous exposez en ligne. En plus de Tor, des VPN et des crypto-monnaies, les messageries instantanées E2EE peuvent constituer un ajout précieux à votre arsenal de confidentialité numérique.

➟ Vous avez encore des questions sur le chiffrement de bout en bout ? Rendez-vous sur Ask Academy pour en discuter avec la communauté !