Pourquoi les courriels ne peuvent pas être protégés de la surveillance gouvernementale
“Si vous saviez ce que je sais sur le courrier électronique, vous ne l'utiliserez peut-être pas non plus.,” a déclaré le propriétaire du service de messagerie sécurisé Lavabit lors de sa fermeture récente. “Il n'y a aucun moyen de faire du courrier électronique crypté dont le contenu est protégé,” dit Phil Zimmermann en fermant subitement le service de messagerie sécurisé de Silent Circle. En réalité, le courrier électronique est fondamentalement peu sécurisé et ne peut jamais être protégé de la surveillance gouvernementale de la même manière que d'autres communications..
Bien sûr, vous utilisez peut-être un autre crypté et “garantir” service de messagerie qui n'a pas encore fermé. Mais ils sont vulnérables à la même pression exercée par le gouvernement américain auquel Lavabit a été confrontée - c'est pourquoi Silent Circle a fermé ses portes avant que le gouvernement ne le contacte. Certains services moins conformes aux principes choisiront de coopérer avec les gouvernements plutôt que de fermer leurs portes. Nous ne savons pas exactement à quelles demandes Lavabit a été confrontée, car il leur est interdit de divulguer quoi que ce soit qui leur ait été donné suite à des ordres déguisés du tribunal de surveillance américain secret autorisant PRISM et d'autres programmes de surveillance de la NSA. Qu'est-ce que PRISM? Tout ce que vous devez savoir Qu'est-ce que PRISM? Tout ce que vous devez savoir Aux États-Unis, la National Security Agency a accès à toutes les données que vous stockez auprès de fournisseurs de services américains tels que Google, Microsoft, Yahoo et Facebook. Ils surveillent également la majeure partie du trafic qui circule dans les… Read More .
Voyons maintenant pourquoi le courrier électronique est un mauvais choix pour des communications sécurisées et comment il constitue une cible facile pour le gouvernement qui surveille.
Les métadonnées ne peuvent pas être cryptées et XKEYSCORE peut les intercepter
Un email n'est pas vraiment une simple donnée. Il s'agit de plusieurs éléments de données: le corps du message, la ligne d'objet, le champ De, les champs À / CC / Cci et d'autres métadonnées incluant l'emplacement à partir duquel vous envoyez le courrier électronique..
Même si vous utilisez la meilleure technologie de chiffrement possible, vous ne pouvez chiffrer que le corps du message. Toute personne surveillant la connexion que vous utilisez peut afficher le sujet de l'e-mail, les personnes avec lesquelles vous communiquez et d'où vous envoyez les emails. En vertu du programme XKEYSCORE, qui permet essentiellement au gouvernement américain de capturer la plupart du trafic Internet, en l'interceptant au moyen de routeurs et de passerelles de grande taille, le gouvernement peut se faire une idée précise de la personne avec laquelle vous communiquez, lorsque vous communiquez avec vous. communiquer avec eux, d'où vous communiquez chacun et quels sont les sujets de vos courriels, ce qui leur donne une idée de ce dont vous parlez. Ils peuvent trouver suspect le fait de chiffrer le contenu de vos courriels et vous cibler pour une surveillance plus approfondie et plus approfondie de tout ce que vous faites..
Le gouvernement américain a collecté en masse les enregistrements de courrier électronique américains jusqu'en 2011. Selon la NSA, ce programme a été arrêté car il n'était pas efficace - mais ils collectent toujours des métadonnées sous XKEYSCORE, de sorte qu'ils interceptent probablement toutes les métadonnées de courrier électronique qu'ils peuvent. mettre la main dessus. Ils recevront beaucoup d'informations de votre part même si vous chiffrez vos emails.
Pour plus d'informations, lisez ce que vous pouvez apprendre d'un courrier électronique. “entête”, ou métadonnées Que pouvez-vous apprendre d'un en-tête d'e-mail (métadonnées)? Que pouvez-vous apprendre d'un en-tête d'e-mail (métadonnées)? Avez-vous déjà reçu un e-mail et vous vous êtes vraiment demandé d'où venait ce message? Qui l'a envoyé? Comment ont-ils pu savoir qui vous êtes? Étonnamment, beaucoup de ces informations peuvent provenir de… Read More .
Beaucoup “Garantir” Les fournisseurs de messagerie ont les clés de cryptage pour plus de commodité
Le cryptage et le décryptage des emails sont compliqués. En théorie, vous utiliseriez quelque chose comme PGP ou GPG sur votre ordinateur local pour déchiffrer les courriers électroniques. Comment envoyer des courriers électroniques signés et chiffrés avec Evolution [Linux] Comment envoyer des courriers électroniques signés et chiffrés avec Evolution [Linux] Dans le monde technologique d'aujourd'hui, l'envoi chiffré les messages entre les personnes sont devenus une norme croissante. Afin de sécuriser vos communications par courrier électronique, vous devez signer et / ou chiffrer vos courriels. Sous Linux, c’est simple… Lire la suite. En pratique, la configuration peut être compliquée et déroutante, même pour les utilisateurs plus férus de technologie. Cela rend également impossible l'accès aux courriels cryptés via un navigateur ou un client mobile léger.
En pratique, de nombreux fournisseurs de messagerie sécurisés ont résolu ce problème en conservant les clés de cryptage à leur extrémité et en décryptant les e-mails lorsque vous y accédez. C’est ainsi que fonctionnait le service de messagerie électronique sécurisé de Silent Circle: ils disposaient des clés de cryptage pour pouvoir facilement décrypter les e-mails et offrir une bonne expérience utilisateur. En pratique, cela signifie que le gouvernement peut exiger toutes les clés de cryptage - ou seulement celles dont il a besoin - et décrypter tous les courriels qu’il souhaite. Si le fournisseur a les clés, il peut les remettre. Le logiciel de bureau complexe est le seul moyen de chiffrer et de déchiffrer en toute sécurité les corps des courriers électroniques. Même tout cet effort laisse les métadonnées exposées.
Le gouvernement peut exiger des arrière-plans: voir Hushmail
Hushmail, basé au Canada, est l’un des services de messagerie chiffrés les plus populaires et les plus connus. En 2007, les tribunaux canadiens ont obligé Hushmail à remettre les courriels de l'un de leurs utilisateurs. Les courriels ont ensuite été transmis à des tribunaux américains dans le cadre d’un traité d’entraide judiciaire conclu entre le Canada et les États-Unis..
Hushmail ne pouvait théoriquement pas faire cela. Ils ne gardaient pas les clés de chiffrement des utilisateurs sur leurs serveurs. Ils ont recommandé aux utilisateurs d’utiliser PGP ou un logiciel similaire pour déchiffrer les courriels de leur ordinateur pour une confidentialité maximale. Cependant, beaucoup de gens ont pensé que c'était trop peu pratique, c'est pourquoi Hushmail a également proposé un applet Java téléchargeable situé sur une page Web qui vous permettait d'accéder à votre courrier électronique. Lorsque vous accédez à la page Web, la dernière version de l'applet Java est téléchargée sur votre ordinateur, vous saisissez votre clé de cryptage. L'applet télécharge et décrypte localement votre courrier électronique sans que Hushmail ne puisse accéder à votre clé de cryptage..
Hushmail a été obligé de servir une version de Java. Java est-il dangereux et doit-il être désactivé? Java est-il dangereux et devrait-il être désactivé? Le plug-in Java d'Oracle est devenu de moins en moins répandu sur le Web, mais il est devenu de plus en plus courant dans les actualités. Si Java autorise l'infection de plus de 600 000 Mac ou Oracle… Lire la suite applet avec une porte dérobée intégrée à l'utilisateur en question. L'applet Java modifié a envoyé la clé de chiffrement de l'utilisateur à Hushmail après sa saisie. Hushmail a ainsi pu accéder aux courriels de l'utilisateur, qui ont été remis aux tribunaux..
Si vous utilisez une messagerie sécurisée, le fournisseur peut être obligé d’acquérir votre clé de toutes les manières possibles. Même s’ils ne pouvaient pas accéder à votre clé, le fournisseur pourrait vous remettre vos courriels cryptés, ce qui indiquerait au gouvernement avec qui vous communiquez, quand et à propos de quoi (via l’objet du courrier électronique).
Les messages électroniques sont stockés sur un serveur, les messages instantanés ne le sont pas
Même si le gouvernement ne peut pas obtenir ou intercepter la clé de chiffrement, il peut quand même pouvoir déchiffrer vos courriels. Vos e-mails cryptés sont stockés sur un serveur - c’est ainsi que fonctionne le courrier électronique. Si le gouvernement exigeait ces données, le fournisseur d'hébergement devrait les transmettre sous forme cryptée. Le gouvernement pourrait alors essayer de casser le cryptage - le nouveau matériel informatique affaiblit régulièrement les mécanismes de cryptage actuels et le gouvernement américain peut stocker ces communications cryptées dans l'espoir de les interrompre à l'avenir..
En revanche, les communications de type messagerie instantanée sont plus difficiles à archiver. Un message crypté peut être envoyé directement au destinataire et ne pas être stocké sur un serveur où il pourra être consulté ultérieurement. Le gouvernement devrait installer un appareil de surveillance et capturer toutes les communications en temps réel. S'ils ne le faisaient pas et ne disposaient pas de toutes les données cryptées, ils ne pourraient pas le récupérer des années plus tard - mais ils peuvent souvent le faire avec un courrier électronique..
D'autres types de communication peuvent être sécurisés
Le courrier électronique n'a tout simplement pas été conçu avec le cryptage à l'esprit. Il a été verrouillé après le fait, et ça se voit. Même les plus prudents des utilisateurs de services de messagerie sécurisés ne peuvent pas cacher avec qui ils communiquent et quand. Si vous voulez vraiment éviter la surveillance du gouvernement, vous feriez mieux d'utiliser différents services de messagerie sécurisée plutôt que de compter sur la messagerie électronique..
C'est pourquoi Silent Circle propose toujours un service de messagerie sécurisé. 3 façons de sécuriser davantage les communications de votre smartphone. 3 manières de sécuriser davantage les communications de votre smartphone. Confidentialité totale! Ou alors, pensons-nous, alors que nos mots et nos informations volaient dans les airs. Ce n'est pas le cas: il s'agit d'abord d'écoutes téléphoniques sans mandat, puis de journaux, d'avocats, d'assureurs et d'autres personnes qui piratent votre… Lire la suite qu'ils ont confiance dans la sécurité de. Ce n'est pas la seule option non plus - Cryptocat en est un autre. Cryptocat a récemment publié une vulnérabilité et d'autres services ont peut-être leurs propres problèmes dont nous entendrons parler à l'avenir, mais ces services sont sur la bonne voie - ils ne sont pas fondamentalement sécurisés de la même manière que le courrier électronique.
Bien sûr, les courriers électroniques cryptés ne sont pas nécessairement sans valeur. Par exemple, si vous souhaitez sécuriser des communications professionnelles importantes contre l’écoute, cela peut être utile. Mais le courrier électronique crypté ne ralentira pas beaucoup le gouvernement - ce n'est pas l'outil de communication idéal lorsque vous essayez de parler sans audience de la NSA..
Êtes-vous d'accord avec les principes qui sous-tendent la fermeture de Lavabit et Silent Circle? Utilisez-vous un service de messagerie sécurisé pour communiquer sans que vos conversations ne soient stockées dans une base de données gouvernementale volumineuse? Laissez un commentaire et laissez-nous savoir quelle alternative email vous préférez.
Crédits d'image: Détecteur de métaux via Shutterstock
Pour en savoir plus sur: les conseils sur les courriels, le cryptage, la confidentialité en ligne, la sécurité en ligne, la surveillance.