Dans mon précédent article j’ai posées les bases historiques, sémantiques et … politiques du chiffrement. Les crypto wars ont été à l’origine des certains outils actuels, dont les messageries chiffrées. Et aujourd’hui, “l’affaire Telegram” rappelle que la loi reste un cadre dans lequel les états peuvent poursuivre cette quête de contrôle.
Une petite histoire des messageries et du chiffrement
Avec les réseaux sont apparus les outils de communication. Avant même internet. Parce qu’au delà d’être un espace d’information, les réseaux sont aussi des espaces de communication et plus les modes de connexion se sont développés, plus les messageries se sont multipliées. Et d’un strict point de vue personnel, les débuts d’internet pour moi ont aussi été mes premiers usages de messageries.
Car les messageries sont rapidement devenues un incontournable de nos usages numériques et même les sons de certaines d’entre elles font partie de ces expériences sensibles que nous avons connues. Ceux qui se rappellent d’ICQ ou de MSN messenger savent de quoi je parle.
Et j’ai même trouvée une vidéo qui vous les rappelle…
Ok fin de la parenthèse je suis un ancien…
Les messageries sur réseaux commencent avant l’invention d’internet ave le logiciel Talk sur Unix, dès les années 1970 en même temps que les emails et les newsgroups. Et juste avant l’invention du web ce sera l’invention d’IRC (Internet Relay Chat). Premier réseau mondial, celui se développe notamment de par sa facilité de gestion, n’importe qui pouvant monter un serveur ou créer des salons de conversation. Et IRC existe toujours aujourd’hui ! IRC est une messagerie textuelle qui se distingue un peu des autres systèmes notamment par la possibilité de choisir son pseudo en fonction du serveur ou du salon, tant que celui ci est disponible. Léger, il est adapté aux connexions lentes de l’époque et on trouve presque tous les centres d’intérêts possibles.
Dans les années 90-2000 les messageries se multiplient et sont généralement incompatibles… MSN messenger, icq, aol messenger, irc et vont favoriser à terme l’apparition de logiciels qui permettront de ne plus devoir multiplier les outils pour communiquer avec ceux qui sont sur un réseau et pas un autre (et on a l’impression parfois d’être revenu à cette époque aujourd’hui) avec des outils comme “trillian”.
Avec l’arrivée des réseaux sociaux, notamment facebook, les messageries deviennent un service intégré à celles ci ou bien sont rachetées comme whatsapp. Facebook n’est pas la seule entreprise a se lancer dans ces rachats puisque Microsoft rachète skype. Concernant facebook messenger les usages se mélangent et cette double “nature” continue aujourd’hui mi messagerie, mi extension du réseau social… et de ses pubs. Avec cette intégration aux réseaux sociaux on aurait pu croire que ce “tout en un” allait être attractif mais les messageries tendent à perdre ce qui a pu faire leur succès, elles deviennent des outils communautaires plus que des messageries.
Ce qui fait la force d’une messagerie c’est son nombre d’utilisateurs et l’usage qu’en a fait facebook n’a pas aidé. De plus le nombre de systèmes de messagerie explose dans les années 2010-2020, avec des outils moins “globaux” et plus “régionaux/thématiques” d’un côté (WeChat en Chine, Vkontakte en Russie, Discord pour les joueurs), certaines ne décollent pas (google talk), d’autres sont liées à leur environnement technique (Imessage chez Apple)…
C’est parallèlement la même chose avec les réseaux sociaux de Twitch qui attire joueurs et streameurs à Tik Tok, Weibo en Chine, Linkedin (Microsoft) pour les pros ou de plus obscures plateformes ces dernières années telle que celle de Donald Trump qui n’a jamais vraiment décollé.
Le début des messageries chiffrées.
Avec cette inflation des messageries, il devient important de se différencier. Certaines vont choisir d’offrir des fonctionnalités comme des filtres (snapchat) là où d’autres vont miser sur la confidentialité, la sécurité.
Les révélations d’Edward Snowden concernant l’ampleur de la surveillance exercée par le gouvernement américain vont probablement être un accélérateur dans l’adoption de messageries chiffrées de bout en bout.
Le chiffrement de bout en bout (en anglais, End-to-end encryption ) est un système de communication où seules les personnes qui communiquent peuvent lire les messages échangés. En principe, il empêche l’écoute électronique, y compris par les fournisseurs de télécommunications, par les fournisseurs d’accès Internet et même par le fournisseur du service de communication. Avec le chiffrement de bout en bout, personne n’est en mesure d’accéder aux clés cryptographiques nécessaires pour déchiffrer la conversation.
Les systèmes de chiffrement de bout en bout sont conçus pour résister à toute tentative de surveillance ou de falsification, car aucun tiers ne peut déchiffrer les données communiquées ou stockées. En particulier, les entreprises qui offrent un service de chiffrement de bout en bout sont incapables de remettre une version déchiffrée des messages de leurs clients aux autorités.
Source : https://fr.wikipedia.org/wiki/Chiffrement_de_bout_en_bout
Si Signal n’est disponible que depuis 2014, elle est issue de deux applications : RedPhone, une application de communication vocale et de TextSecure, une application de messagerie, toutes les deux chiffées. Whatsapp chiffre aussi de bout en bout depuis 2016 (même si un article de propublica remet en cause la réelle confidentialité des messages).
Crée elle aussi en 2013 par les frères Nikolaï et Pavel Dourov, fondateurs de VKontakte, le princpal réseau social russe, l’application Telegram n’est pas chiffrée de bout en bout… et n’est pas de la même nature que d’autres outils comme Signal à qui elle est souvent comparée.
“L’affaire” Telegram ?
Les messages ne sont chiffrés que pendant le transit jusqu’aux serveurs de l’entreprise et une fois là bas sont donc lisibles à la fois par Telegram mais aussi à qui aurait accès à leur infrastructure. On peut certes utiliser une fonction “échange secret” qui sera bien chiffré de bout en bout mais encore faut il connaître cette fonctionnalité qui n’est pas mise en avant. De plus cette fonctionnalité n’existe que dans le cadre d’un échange entre deux personnes (pas pour les groupes donc). Autre limitation, cette fonction n’est possible que sur les smartphones, et il faut que les deux personnes soit en ligne au même moment… Et enfin, le protocole de chiffrement n’est pas ouvert, et n’a donc pas beaucoup été analysé.
Beaucoup de contraintes pour qu’on puisse dire que Telegram est une application de messagerie sécurisée !
Au delà le fonctionnement de Telegram est aussi à l’origine des ses ennuis actuels :
Telegram n’est pas qu’une messagerie et fonctionne avec des canaux, des groupes de discussion, gérés par celui qui l’a créé et qui choisit qui peut parler ou pas… voire bannir la personne du groupe. Et il y en a pour tous les goûts
Le problème c’est que ces canaux ne sont absolument pas modérés et qu’on y trouve aussi… le pire d’internet :
- Des suprémacistes d’extrême droite, notamment ceux du Capitole (et Telegram a été le seul réseau à refuser de participer à l’enquête) , des suprémacistes qui ne font pas que s’exciter entre eux mais qui ont planifiée pour certains d’entre eux une tuerie dans une bar LGBT.
- Du trafic d’armes et de drogues
- Des terroristes islamistes qui ont tué un prêtre en France, ou ceux qui ont planifiés les attentats de 2015
- Le Hamas qui a utilisés ces canaux pour diffuser les vidéos du massacre du 7 octobre
Le tout sans que Telegram n’agisse et ne supprimes ces canaux. On le voit, Telegram est plus qu’une messagerie, une forme de réseau social, et pas totalement sécurisée. C’est aussi de par son refus jusqu’il y a peu de communiquer avec les autorités concernant les actions criminelles que Pavel Durov a été arrêté, entre autres choses. Si le sujet vous intéresse, je vous recommande cet article car :
Visiblement, tout le monde a un commentaire à faire sur l’arrestation à Paris du patron de Telegram, Pavel Durov. Tous les bords politiques de l’extrême-gauche à l’extrême-droite, tous les courants, complotistes, antivax, néo-nazis, ont leur opinion sur cette décision d’un magistrat français, sans rien connaître de la procédure en cours. Le parquet a listé 12 chefs d’inculpation dont certains pourraient s’appliquer à toutes les plateformes similaires à Telegram. Source : https://reflets.info/articles/l-arrestation-de-pavel-durov-au-dela-du-bruit-mediatique
C’est la loi qui pose la question de l’usage. Et des lois concernant les messageries chiffrées, il y a de quoi dire.
Dans ce mouvement de balancier permanent entre volonté de contrôle et de régulation des outils de chiffrement, la question de Telegram se pose aussi en termes juridiques, l’outil favori Des états en témoignent les nombreux textes de lois dans les différents pays utilisés pour réclamer qui des portes dérobées qui limiter les capacités de chiffrement. L’initiative Cher contrôle de l’Union européenne est à cet égard intéressante
La loi et le droit n’ont ps seulement été des outils de contrôle ou de tentative de contrôle des outils cryptographiques mais elles sont aussi un cadre dans le monde réel, analogique qui détermine quand les usages sont illégaux. Comme pour chaque outil un même usage peut être légitime (protection des communications de journalistes, d’activistes ou de personnes vivant sous un régime dictatorial) ou utilisé pour des organiser des actions violentes ou des trafics.
Ce sont d’ailleurs ces arguments qui sont souvent utilisés pour remettre en cause le chiffrement des communications. Mais remettrait on en cause d’autres usages qui peuvent être dévoyés de la même façon ?
C’est la possibilité du contrôle parce que ce sont des outils numériques qui remet régulièrement la question sur la table. Parce que la surveillance est automatisable elle devient utilisable, possible.
Un projet européen prévoit de forcer les applications de messagerie à scanner les conversations privées, afin de détecter des signes de pédopornographie. Une vive contestation émerge toutefois, puisque la vie privée et la sécurité informatique pourraient être des victimes collatérales de cet objectif légitime.
Au nom de la lutte contre la pédocriminalité, faut-il accepter un recul de la sécurité informatique et de la vie privée ? Voilà, en somme, l’enjeu qui se cache derrière un texte européen en cours de discussion dans les instances communautaires. Depuis quelques jours, cette perspective provoque une effervescence particulière sur les réseaux sociaux, mais que se passe-t-il exactement ?
Réguler, contrôler, les lois et les messageries chiffrées
Si après les crypto wars le chiffrement à échappé en partie au contrôle des états, le contrôle des communications est toujours une volonté de ceux-ci, en témoignent de nombreux projets de lois, un peu partout dans le monde… A commencer par l’Europe
Le projet de loi Chat Control en Europe
Ce texte européen souhaite notamment forcer les fournisseurs de messageries chiffrées à inspecter le contenu des messages et des fichiers que les internautes s’échangent en se basant sur l’argument de la détection des contenus pédopornographiques. Pour information, un utilisateur américain de gmail à été victime d’un faux positif dans ce cadre de détection automatisée. En effet, il a transmis à un médecin une photo de son enfant nu pour des raisons médicales. Le système automatisé détectant la photo et provoquant le blocage du compte du père… qui n’a pas été débloqué même après que la situation aie été éclaircie.
Autant dire qu’une surveillance automatisée ça peut se tromper… et que l’argument de la lutte contre la pédophilie en ligne est un argument déjà très souvent évoqué pour justifier des tentatives de surveillance comme c’est le cas avec ce texte. Car une fois ouverte la porte (dérobée)…
En effet cette fragilisation du chiffrement de bout en bout remet en cause la confidentialité de ces messageries chiffrées.
”Pour contrôler et scanner les discussions en masse est la même vieille surveillance, avec un nouveau visage. Qu’on l’appelle porte dérobée, porte d’entrée ou modération de l’upload, elle sape le chiffrement et crée d’importantes vulnérabilités”
Meredith Whittaker, la présidente de la fondation Signal.
En cas d’adoption (certaines messageries évoquaient la question de ne plus proposer leurs services en Europe. Le 20 juin 2024, le projet a été ajourné… sans nouvelle date prévue. Ce projet de loi n’est pas la première ni la dernière tentative de régulation au niveau Européen.
Si le sujet vous intéresse, voici une lecture intéressante sur la question (entre autres) : https://www.sciencespo.fr/public/chaire-numerique/wp-content/uploads/2023/07/Chiffrement-comme-droit-fondamental.pdf
En Chine, les messageries chiffrées sont censurées
Si Whatsapp était bloqué en Chine depuis 2017 (mais les chinois utilisent parfois des VPN pour contourner ces restrictions), il a disparu en avril 2024 de la dernière plateforme qui permettait son installation, l’app store; en même temps que Signal… ou Telégram.
La Chine contrôle son réseau national en le contrôlant très fermement et surtout en encourageant le développement d’outils “locaux” tels que WeChat.
Telegram a pourtant été utilisée selon un concept développé par par les chercheurs Christopher Walker et Jessica Ludwig comme du “Sharp Power”, un outil d’influence et de destabilisation des sociétés occidentales via la manipulation de l’information
Un article du Ukraine Crisis Media Center explique que, bien que Telegram soit un outil important pour les autorités ukrainiennes et les médias pour diffuser des informations cruciales sur la guerre, la plateforme est également utilisée pour propager la désinformation russe. D’autres messageries chiffrées telles que WhatsApp, Signal et Viber ont également été exploitées pour mener des campagnes de manipulation, démontrant que la propagation de la désinformation et l’utilisation du « sharp power » s’étendent bien au-delà de la Russie et l’Ukraine, touchant de nombreuses démocraties à travers le monde.
Une étude de l’Institut Montaigne a montré comment WhatsApp a été massivement utilisé pour diffuser de fausses informations lors des élections de 2018 au Brésil, influençant ainsi le processus démocratique et manipulant l’opinion publique. En Inde, cette même plateforme a alimenté des tensions intercommunautaires, par la propagation de fausses informations. Aux Etats-Unis, le Digital Forensic Research Lab de l’Atlantic Council a publié plusieurs analyses sur l’utilisation de Signal et d’autres plateformes de messageries chiffrées par des groupes extrémistes pour coordonner des campagnes de désinformation et contourner la modération des plateformes surveillées.
Source : https://www.latribune.fr/opinions/tribunes/messageries-chiffrees-cybercriminalite-et-sharp-power-un-defi-pour-la-legislation-europeenne-1006257.html
Au delà c’est la mise en place en 2021 du CNVD (National Vulnerability Database), une base de données nationale destinée à signaler les vulnérabilités des logiciels qui pose question par rapport à la sécurisation des échanges. Si ces bases existent ailleurs (aux Etats Unis notamment), une loi chinoise impose un délai de 48 heures pour signaler toute vulnérabilité découverte. Le problème étant que cette base de données est connue pour être partagée / utilisée à d’autres instances du gouvernement chinois et utilisées à des fins d’espionnage ou de piratage. La description de la vulnérabilité doit de plus être très précise sur son emplacement dans le code par exemple.
Conclusion : encore une fois c’est une question de confiance, mais aussi une question que le médiateur doit traiter
Si les Crypto Wars sont a l’origine des messageries chiffrées, le souhaite de protéger sa vie privée ou la transmission d’informations, de se protéger aussi de l’interception par de potentiels pirates sont d’autres raisons tout aussi pertinentes des vouloir utiliser les messageries chiffrées. Encore une fois c’est la confiance qui est au coeur de ces questions.
Absence de confiance, surveillance généralisée, utilisation de messageries chiffrées Confiance en ce messageries chiffrées pour protéger nos communications (et là on a peut être un peu tort).
Si ce n’est pas que pour se protéger des gouvernements qu’on utilise des messageries chiffrées, l’accès notamment via Telegram a des contenus notamment très violents sans contrôle m’a posé question en temps que médiateur numérique. A l’occasion d’échanges avec des ados pendant un atelier, ceux ci m’ont dit avoir eu accès a certains d’entre eux et vu des vidéos de torture ou d’exécutions. A 11-13 ans, accéder à des images pareilles sur son smartphone, ça en a durablement choqués certains… même s’ils ne l’avouaient qu’à demi mots. S’envoyer des trucs trash quand on est ados ce n’est pas nouveau. Accéder à ce genre de contenus aussi facilement, ça n’est pas du même niveau.
Quelques liens pour poursuivre votre réflexion
- Une liste d’applications de messageries sécurisées : https://linuxfr.org/users/tkr/journaux/petit-topo-des-messageries-securisees-et-leurs-alternatives
- L’analyse de la Quadrature du Net : https://www.laquadrature.net/2024/09/03/affaire-telegram-des-inquietudes-dans-un-contexte-de-guerre-contre-les-messageries-les-reseaux-sociaux-et-le-chiffrement/
Laisser un commentaire