Loi Renseignement : Comment s’en protéger ?

16
215

Maintenant que la loi Renseignement est votée, et en attendant la suite du processus législatif, il serait judicieux d’apprendre (ou de réviser) les techniques permettant de résister à la surveillance. Gros récapitulatif en vue !

Tout d’abord, sachez que tout le monde, chaque citoyen, a le droit de disposer d’une vie privée. Pour cela, il existe pas mal d’outils cryptographiques à disposition, des gratuits, des payants, des simples et des plus avancés, mais tous efficaces et légaux. La loi Renseignement qui a été voté en France peut s’avérer dangereuse et extrêmement liberticide si elle tombait dans de mauvaises main à l’avenir, et la responsabilité incombe dorénavant aux politiques actuels, dont la France se souviendra surement bien longtemps…

Comme l’explique judicieusement Pierre Col chez ZDNet dans un billet de blog sur le sujet, même si cette loi doit encore passer devant le Sénat puis peut-être revenir en seconde lecture à l’Assemblée Nationale, et même si une saisine du Conseil Constitutionnel va être déposée par une soixantaine de courageux députés en complément de celle déjà annoncée par François Hollande, mieux vaut se préparer au pire, en imaginant que cette loi sera un jour promulguée.

Se protéger et s’opposer à la loi Renseignement

Dès lors, à titre préventif et sans préjuger de l’avenir, il semble important d’apprendre (ou de rappeler) comment protéger sa vie privée en ligne. Ceci passe bien entendu par le chiffrement de ses communications, qu’il s’agisse d’échanges sur Internet ou via réseau téléphonique mobile, et cela peut se faire au moyen de différents outils à la fois efficaces et légaux (il est important de le rappeler vu le contexte).

Bien évidemment, et vous vous en douterez bien, les véritables cibles (hors la loi, terroristes, djihadistes, criminels, trafiquants, etc) connaissent et utilisent déjà ces outils. Ils n’allaient tout de même pas attendre mai 2015 ou la publication d’un manuel pour en user !

Comment protéger sa vie privée en ligne ?

Anonymat et chiffrement des données

Nous avons regroupé volontairement ces deux axes car ils se rapprochent inéluctablement : souvent sur Internet, l’anonymat passe par le chiffrement et ce sont deux points qui ne se séparent pas aisément ! Prenons par exemple le plus “extrême” de ce qui se fait actuellement : les réseaux d’anonymisation décentralisés tels que TOR et I2P. Ils donnent accès à ce que l’on appelle couramment le Deep Web. En utilisant ce type de système, vous ne laissez que d’infime traces derrière vous, voir pas du tout. Notez aussi que des boites mails basées sur ces technologies existent et sont une bonne alternative à celles des géants du Web. Seul point négatif, de telle solutions peuvent rebuter pas mal d’utilisateurs, et implique pas mal de compromis.

Les VPN (Virtual Private Network en réseau privé virtuel en français) quand à eux, sont une très bonne alternative. De plus, ils peuvent être combinés à ces réseaux si besoin. Plus facile à appréhender et bon marché, ils représentent une solution incontournable aujourd’hui. Vous trouverez votre bonheur (selon vos exigences et votre usage d’Internet) sur notre grand comparatif VPN.

Le cas des mails et de l’authentification

Dans le domaine, GPG, acronyme de GNU Privacy Guard, fait souvent figure de référence incontestable, GPG est l’implémentation GNU du standard OpenPGP. Cet outil permet de transmettre des messages signés et/ou chiffrés, ce qui vous  garantit à la fois l’authenticité et la confidentialité de vos échanges par courriels. Des modules complémentaires existe pour maximiser la compatibilité sous Linux, Windows, MacOS X et Android.

De plus, on peut aussi noter la solution française et Open Source PEPS, issue d’un projet mené par la DGA, la Direction générale de l’armement, et à partir duquel a été créée la société MLState.

Les messageries instantanées sécurisées

OTR pour “Off The Record”, est un plugin à greffer à un client de messagerie instantanée. Le logiciel de messagerie instantanée Jitsi, qui repose sur le protocole SIP de la voix sur IP, intègre l’outil de chiffrement ZRTP.

On peut aussi ajouté de nombreuses solutions, dont certaines encore expérimentales telles que : MegaChat, Bleep ou encore BitTorrent Chat.

Protection des communications mobiles

A défaut de protéger les métadonnées de vos communications mobiles, qu’il s’agisse de voix ou de SMS, vous pouvez au moins chiffrer les données en elles-mêmes, à savoir le contenu de vos échanges. Pour cela, des solutions existent :

RedPhon est une application de chiffrement des communications vocales sous Android capable de communiquer avec Signal qui est une application du même fournisseur destinée aux iPhone sous iOS.

TextSecure est une application dédiée pour l’échange sécurisé de SMS, disponible pour Android et compatible avec la dernière version de l’application Signal. Plus d’information à ce sujet sur le blog de Stéphane Bortzmeyer.

APG Android quand à lui, est une application pour Android permettant de chiffrer ses SMS par le biais de ses clés GPG.

Les boîtes noires à l’épreuve des VPN

C’est précisément le point qui inquiète le plus les internautes concernant la loi sur le renseignement. De nombreuses interrogations en découlent. En effet, ces fameuses « boîtes noires » seront installées chez les opérateurs nationaux et seront en charge d’enregistrer et de surveiller les faits et gestes des internautes français à partir d’un algorithme secret capable de déceler une suite de comportements suspects sur internet.

On imagine facilement que les mots-clés tapés (recherches y compris), les sites consultés et les correspondances numériques seront utilisés pour ce faire. Ensuite un profil est créé pour lutter contre une menace terroriste :

” Le gouvernement pourra demander aux opérateurs de communication et aux fournisseurs d’accès internet de mettre en place un algorithme (un programme informatique capable de détecter une suite d’opérations définies) pouvant déceler « une menace terroriste » par une suite de comportements sur internet, comme des mots clés tapés et des sites consultés. En cas de menace détectée, l’anonymat de ces métadonnées pourra être levé. “

Mais qui peux prétendre aujourd’hui à un algorithme “parfait”, sous-entendu qui aurait un taux zéro de faux positifs ? La réponse est simple : personne. D’ailleurs, des experts reconnu se sont exprimés sur le sujet ces derniers jours et leur conclusion est toute identique…

Tout le monde est d’accord que le risque de dérives est élevé et que le système s’apparente à de la surveillance de masse. Tout comme les lois de filtrage et de surveillance numérique précédentes, la loi Renseignement risque bien de démultiplier l’usage des outils de chiffrement et en particulier des VPN, qui sont abordables financièrement et facile d’utilisation. Ils représentent en effet un bon moyen de protéger sa vie privée en ligne s’il sont utilisés correctement.

Les fuites inutiles à prendre en compte

Gardez bien en tête que même l’usage de toutes ces solutions au quotidien ne vous garantira pas une protection efficace au cas où vous utilisez Internet d’une façon insouciante. Par exemple, oubliez les réseaux sociaux et n’étalez pas votre vie privée ! Il faudra aussi éviter en règle général de s’inscrire avec ses précieuses données personnelles sur n’importe quel site : ce faisant, vous remplissez des bases de données potentiellement commerciales et vos données seront alors souvent enregistrées de manière définitive.

 

Crédits image : Arnaud Velten aka @Bizcom
Source : ZDNet

16 Commentaires

  1. Les VPN combinent en effet les avantages des services proxy avec la sécurité (tunnel de connexion sécurisé) et la vitesse en plus, représentant donc la meilleure alternative. Des VPN gratuits existes mais les VPN payants vous permettent d’avoir à votre disposition un service haut de gamme garanti avec des milliers d’adresse IP réparties sur plusieurs serveurs dans le monde et de naviguer sans perte de vitesse le tout pour quelques euros mensuels d’abonnement.

  2. merci Henry, je note Obsproxy por TOR et l’ajoute a ma panoplie du petit troublion

    Bonnne journee.

  3. La loi sur le renseignement n’est pas hadopi. La recherche de comportement suspect déclenche une enquête de la part des services généraux dès lors qu’est détecté le besoin de crypter et anonymiser d’un individu. En conséquence, toute utilisation des outils cités dans votre article déclenche une procédure de surveillance. L’autre nom des services de renseignement, ou services généraux, ou services secrets, c’est DGSE.
    Il est illusoire de croire qu’anonymiser et crypter ses échanges nous auverait: Le budget alloué n’est pas celui d’hadopi mais de la Défense. La surveillance de masse n’est que le point de départ déclenchant des surveillances sur des individus, des enquêtes de police, et autres procédés militaires bien plus intrusifs dans votre vie que ladite boite noire.
    La démocratie bascule dans l’état policier, et à terme dans le totalitarisme. Car les démocraties sont fragiles et éphémères.
    Il n’y a pas de moyen de se protéger de cette loi, et tout article qui vous fait croire qu’on le peut n’est pas sérieux.

    • C’est tout à fait ça “OUI MAIS NON”!

      Non seulement l’utilisation des outils cités risquent d’attirer inutilement l’attention de la DGSE mais EN PLUS ils sont quasiment inefficaces…

      Les VPN en particulier sont inefficaces vu que les fameuses boites noires seront installées à la source chez le FAI! ( je ne parle même pas du fait qu’ils gardent tous leurs logs de connexion et les mettent sans problème a disposition des différentes justices des différents pays)

      Quand aux outils de chiffrement c’est pas mieux, les fournisseur de ces services sont tenus de livrer les clés, je cite:

      “…de remettre « sans délai » aux agents des services de renseignement les clés de chiffrement des données transformées au moyen des prestations qu’ils ont fournies.”

      Alors beaucoup disent, oui, ça ne concernent que les sociétés Françaises blabla…Mes c..lles! C’est la DGSE la! Française ou étrangère ils s’en foutent, ils sont déjà couvert, je cite encore:

      “Exonération de poursuites pénales pour les agents habilités de certains services spécialisés de renseignement lorsqu’ils portent atteinte, pour des motifs d’intérêt public limitativement énumérés, à des systèmes d’information situés hors du territoire national.”

      Comprenne qui pourra…

      • La question n’est pas de rechercher une liberté qu’on est en train de nous voler en tablant sur notre manque de reactivite (ce qu’encourage d’ailleurs ce mail, qui voudrait nous faire croire qu’on ne peut rien faire ….) mais de tous ensemble rendre cette violation de nos droits inneficace…

        Comment ?

        je ne suis pas un specialiste mais d’autres pourront repondre a ce fil de discussion, poster des idees, d’autres relaieront les informations.

        Je propose deux grains de sable pour enrayer la machine (surtout si on s&y met tous)
        1) Telecharger TOR et utiliser ce navigateur comme navigateur principal (vous pourrez revenir a Firefox pour utiliser des services GOOGLE ou autres…)

        2)Poster dans tous vos mails une phrase (crypte ou qui ressemble a une phrase cryptee

        • (suite du message precedent)

          2)Poster dans tous vos mails une phrase (cryptee ou qui ressemble a une phrase cryptée) que vous pouvez même rendre invisible avec une couleur de caractères blanche.

          Voila 2 idées pour faire surchauffer les ordinateurs qui vont nous espionner mais bon je rêve un peu, ce n’est pas nous, tous, qui seront surveillés.. mais les autres…. les vrais méchants…..

          Sinon, un petit dernier pour la route : un site pour obtenir une adresse email jetable pour interagir sur les forums (fait a partir de TOR ca doit etre assez anonyme… ) : http://www.yopmail.com/

          • Ave cybercitoyen,

            En cherchant un peu on trouve des sites pour coder les messages a cacher : http://crypo.in.ua/tools/eng_atom128c.php ou ici http://www.crypo.com/ (large choix de techniques) comme ci-dessous :

            DiuJLjQVLjb6S4/6Af6JKiuJQfPqLIg6S41q+oHtQfPqLiN6S41q+oHtQfPqnmHs0xHB+Iq6Af56S5S6S413LjS6S41k0I63MjTX0IHknyS6S41q+mHsnxhBLiuJQfPqnlg6S41J+mHs+xHsQfPq0xHsnsgsSoHVQfPq+xck0xH3QfPqLjTqKiT6QfPqLIg6S413MiQ6nyb6Af56S416+YgsSIrBLlu6Qf11AiN6S41tKjLaMjP6S41q+oHtQfPqnmHsQfPqMoAJn2gtbDwa0m0mOxr6nlH4MIctOxLsOmA6KlW9+iH5MihtOlXBLlXJLiTzOt/sSfGkS8WtefnkOjLBLDkqnx6lLig9LiN9+I6y+xg9Ljb9nl590IcsOiHJKi6JOir6Oiua0jL6+2kB+yA6nxu602kq+m1k+IhBnxg9SfGrS4brSDuqMo/6SJLoTxL6blr6L5Q8DmgmHxTSO45uQfPtioAanYgtAGhGOfKqS8/C

            …. que tu pourras decrypter avec le le premier lien
            :http://crypo.in.ua/tools/eng_atom128c.php mais pour rendre les choses plus amusantes je vous suggere de changer des tas de lettres et de chiffres pour creer votre propre systeme de cryptage : rappelons que le but n’est pas de communiquer mais de se proteger de grand(faux)Frere, exemple :

            DiuJLjQVLjb6S4/6Af6JKiuJQfPqLIg6S31q+oHtQfPqLiN6S41q+oHtQfPqnmHs0xHB+Iq6Af56S5S6S413LjS6S41k0I63MjTX0IHkntS6S41q+mHsnxhBLiuJQfPqnlg6S41J+mHs+xHsQfPq0xHsnsgsSoHVQfPq+xck0xH6QfPqLjTqKiT6QfPqLIg6S413MiQ6nyb6Af56S416+YgsSIrBLlu6Qf18AiN6S41tKjLaMjP6S41q+oHtQfPqnmHsQfPqMoAJn2gtbDwa0m0mOxr6nlH4MIctOxLsOmA6KlW9+iH5MihtOlXBLlXJLiTzOt/sSfGkS8WtefnkOjLBLDkqnx6lLig9LiN9+I6y+xg9Ljb9el790IcsOiHJKi6JOir6Oiua0jL6+2kB+yA6nxu602kq+m1k+IhBnxg0SfGrS4brSwuqMo/6SJLoTxL6blr6L5Q8DmgmHxkSO45uQfPtioAanYgtAGhGZfKqS8/C

            … qui donne au decrytptage….

            Internet étant de%2Àplus en plus surveillé, les utilisateus3 pourraient se tourner vers un nouvee espace de liberté en ligneEn savoir plus sur http://www.lesechos.fr/tech-medias/hightech/02115083975-vie-privee-en-ligne-et-;j­tor-etait-le-nouvel-internet-populaire1112413Îphp?G6feClefBCKu7VmL.99#Xtor=ADé6000

            Sinon Yopmail fonctionne bien mais il vaudrait mieux utiliser l’email alias que tu trouveras en verifiant ta boite mails juste apres la generation aleatoire de ton adresse email.

            Serviteur

      • Bonjour,

        Avez vous seulement une connaissance du sujet dont vous parlez ? Les VPN resteront efficaces que les boîtes soient installées au niveau des FAI ou non. Quand aux logs et aux pays il existe des VPN qui prennent l’anonymat très au sérieux comme AirVPN ( des activistes avec une équipe d’avocats et gros chiffrement ). Mullvad aussi.

        Quand au chiffrement, je vois que vous n’en avez aucune notion. Retournez vous renseigner sur PGP qui est très répandu et sécurisé et sur les sites qui proposent un chiffrement en local sans connaissance des clés de l’utilisateur . Enfin TOR et I2P sont de bonnes alternatives.

        On lit de ces inepties ici

    • Voyons tres cher ami, on peut se protéger de cette loi en certaine mesure. Tails, Whonix, chiffrement et autres réseaux parallelles ne sont pas assez efficace à votre goût ? Il s’agit apres de savoir si vous voulez vraiment cacher des choses ou non.
      Mais qu’on arrête d’ecrire sur ce blog que le chiffrement est inefficace et que TOR et I2P sont inutiles. Il suffit juste d’un petit peu de méthode et de l’utilisation des bons outils.

      Mais revient la question si tout ce dispositif est utile pour ceux qui surfent normalement sur la toile, personnellement j’en doute. Cette loi espionnera le citoyen bancal, pas le hacker ou terroriste qui a bonne connaissance des techniques d’anonymat.

      • Aux naîfs qui croient saturer la DGSE n’ont pas compris que ses moyens d’investigation sont illimités.
        A ceux qui soulignent les excellentes performances de TOR et des outils de cryptage, sachez que personne n’en doute.
        j’ai écris “La surveillance de masse n’est que le point de départ déclenchant des surveillances sur des individus, des enquêtes de police, et autres procédés militaires bien plus intrusifs dans votre vie que ladite boite noire.”
        En clair, peu importe que la boite noire ne sache pas décrypter l’échange: Elle détecte une tentative d’échapper à la surveillance par l’usage de ces outils et déclenchera des investigations autrement plus intrusives que la simple boite noire: Enquête policière, analyse de vos comptes bançaires, et administratifs, éventuelles filatures et mises sur écoute….
        Car ce n’est pas hadopi.
        Enfin, si vous me taxez de quelque crétinerie, c’est que vous manquez d’instruction, en particulier en Histoire. Je pose la question: Qu’est-ce qui rend un état totalitaire ?

        • Je ne crois pas qu’il vous insultait de crétin, il répondait à l’autre qui disait que les VPN et le chiffrement étaient inutiles. Vos sources dans ce que vous dites ? Vous savez vous même ce qu’est un état totalitaire monsieur ? Même si cette loi va dans ce sens, n’allez pas trop loin et faites preuve de parcimonie.

          Et je crois que vous ne comprenez pas ce que votre précédent interlocuteur disait. Peut importe pour nous si rien n’est top secret qu’à la limite il passe dans la boite noire. Ce qui en ressort, c’est que ceux qui doivent envoyer des mail ou partager des informations sensibles le feront dans des réseaux parallèles. Et d’ici, comment les identifier ? Voir les comptes bancaires e.t.c c’est bien mais pour cela il faut déjà remonter par tout ces réseaux d’anonymat parallèle ce qui n’est pas aisé. Encore une fois comme les grands journaux de sécurité informatique l’on dit, ceux qui auront des choses sensibles pourront continuer à le faire car ces boites noires ne pourront en déchiffrer le contenu. Et si vous me sortez les metadata ou les métadonnées comme excuse, sachez que sur des réseaux comme I2P ou TOR la faille vient de l’humain ou de javascript, et je doute que la DGSE ait de meilleurs compétences que la NSA dans ce domaine.

          Cordialement, Henri

          • Meilleures, non. Similaires, probablement. Par ailleurs, oui, je sais ce qu’est un état totalitaire. Je sais également qu’une démocratie peut glisser progressivement vers le totalitarisme. Faire preuve de parcimonie ? Je suis quelqu’un de très raisonnable. Mais je ne suis pas naïf au point de croire que la France sera toujours une démocratie.
            Enfin, comprenez vous-même que ce n’est pas le décryptage des réseaux parallèles qui déclenchera des mesures de surveillance poussées, mais la simple détection de leur usage. Et là, ils seront identifiables.
            Alors certes, la police n’accédera pas à ces contenus cryptés, ou du moins pas tout de suite, car ils y travaillent. Mais je ne parle pas de l’efficacité de la lutte anti-terroriste. Ce dont je parle, c’est bien d’un sérieux rétrécissement des libertés individuelles. Mais dit comme cela, c’est abstrait. Or comprenez que c’est du concret et que de nombreux citoyens feront l’objet d’enquêtes très inquisitrices. Je parle aussi du geek qui utilisera une messagerie cryptée parce que numerama ou pcimpact auront dit que c’est bien. Je parle aussi du citoyen qui télécharge des torrents avec un VPN ou TOR. Je parle de tous ces gens qui ne sont pas des terroristes et qui feront l’objet d’enquêtes très policières.
            Là dedans, “les failles javascript” ou autres sont dérisoires.

          • Je suis d’accord avec vous monsieur, et je rejoins votre point de vue. Cependant mon avis diffère sur un point, l’identification de ces supposés terroristes. Il est presque impossible de remonter à un utilisateur sur des forums hébergés sur les réseaux parallèles comme I2P ou TOR. De plus, vous ne pouvez pas identifier qui utilise précisement Tor car les paquets passent par plusieurs serveurs, et de nombreuses solutions existent pour passer justement les pare-feu filtrants, comme Obsproxy pour Tor. Quand au VPN, de nombreuses personnes les utilisent. Moi de même, avec un situé aux Pays-Bas. Si le gouvernement veut dès lors me ficher, qu’il creuse dans son budget. Cependant les vrais dangereux continueront à utiliser des ordinateurs achetés cash d’occasion, sur des réseaux publics ou piratés, en échangeant sur des réseaux parallèles à l’aide d’outil de chiffrement comme PGP e.t.c Et à un tel niveau, notre cher gouvernement ne peut qu’arreter que les petits poissons, ceux qui cliquent sur des pages djihadites sur Facebook.

            Cordialement, Henri

Les commentaires sont fermés.