Pourquoi l'email ne peut pas être protégé de la surveillance du gouvernement

"Si vous saviez ce que je sais du courrier électronique, vous ne l'utiliserez peut-être pas non plus", a déclaré le propriétaire du service de courrier électronique sécurisé Lavabit, qui l'a récemment fermé. Il n'y a aucun moyen de faire un courrier électronique crypté où le contenu est protégé, a déclaré Phil Zimmermann alors qu'il fermait soudainement le service de messagerie électronique sécurisé de Silent Circle.

"Si vous saviez ce que je sais du courrier électronique, vous ne l'utiliserez peut-être pas non plus", a déclaré le propriétaire du service de courrier électronique sécurisé Lavabit, qui l'a récemment fermé.  Il n'y a aucun moyen de faire un courrier électronique crypté où le contenu est protégé, a déclaré Phil Zimmermann alors qu'il fermait soudainement le service de messagerie électronique sécurisé de Silent Circle.
Publicité

"Si vous saviez ce que je sais du courrier électronique, vous ne l'utiliserez peut-être pas non plus", a déclaré le propriétaire du service de courrier électronique sécurisé Lavabit, qui l'a récemment fermé. "Il n'y a aucun moyen de faire un courrier électronique crypté où le contenu est protégé", a déclaré Phil Zimmermann alors qu'il fermait soudainement le service de messagerie électronique sécurisé de Silent Circle. La réalité est que le courrier électronique est fondamentalement peu sûr et ne peut jamais être protégé de la surveillance du gouvernement de la même manière que d'autres moyens de communication.

Bien sûr, vous utilisez peut-être un service de messagerie électronique crypté différent et «sécurisé» qui n'a pas encore été fermé. Mais ils sont vulnérables à la même pression que le gouvernement américain à laquelle Lavabit a dû faire face - c'est pourquoi Silent Circle a fermé ses portes avant d'être contacté par le gouvernement. Certains services moins axés sur les principes choisiront de coopérer avec les gouvernements plutôt que de fermer. Nous ne savons pas exactement quelles sont les exigences auxquelles Lavabit a été confronté, car il leur est interdit de divulguer tout ce qu'ils ont vécu à la suite d'ordres détournés du tribunal de surveillance secret américain qui autorise PRISM et d'autres programmes de surveillance de la NSA. Tout ce que vous devez savoir Qu'est-ce que PRISM? Tout ce que vous devez savoir La National Security Agency aux États-Unis a accès à toutes les données que vous stockez avec des fournisseurs de services américains tels que Google Microsoft, Yahoo et Facebook. Ils sont également susceptibles de surveiller la plupart du trafic circulant à travers le ... Lire la suite.

Maintenant, regardons pourquoi le courrier électronique est un mauvais choix pour les communications sécurisées, et comment c'est une cible facile pour l'espionnage gouvernemental.

Les métadonnées ne peuvent pas être cryptées et XKEYSCORE peut les intercepter

Un email n'est pas vraiment une seule donnée. Il s'agit de plusieurs éléments de données: le corps du message, la ligne d'objet, le champ De, les champs À / CC / BCC et d'autres métadonnées qui incluent l'emplacement à partir duquel vous envoyez l'e-mail.

Même si vous utilisez la meilleure technologie de cryptage possible, vous ne pouvez crypter que le corps du message. Toute personne surveillant la connexion que vous utilisez peut voir l'objet de l'e-mail, avec qui vous communiquez et d'où vous envoyez des e-mails. Dans le cadre du programme XKEYSCORE, qui permet essentiellement au gouvernement américain de capturer la plus grande partie du trafic circulant sur Internet en l'interceptant sur de grands routeurs et passerelles de backbone, le gouvernement peut se faire une idée précise des personnes avec lesquelles vous communiquez. communiquer avec eux, d'où vous communiquez et quels sont les sujets de vos courriels, ce qui leur donne une idée de ce dont vous parlez. Ils peuvent trouver que vous cryptez le contenu de vos e-mails de façon suspecte et vous cibler pour une surveillance plus approfondie de tout ce que vous faites.

Selon le NSA, ce programme a été abandonné parce qu'il n'était pas efficace - mais ils sont toujours en train de rassembler des métadonnées sous XKEYSCORE, donc ils interceptent probablement toutes les métadonnées qu'ils peuvent mettre la main sur. Ils recevront beaucoup d'informations de vous même si vous cryptez vos emails.

Pour plus d'informations, lisez ce que vous pouvez apprendre à partir de l'en-tête d'un e-mail ou des métadonnées. Que pouvez-vous apprendre d'un en-tête d'e-mail (métadonnées)? Que pouvez-vous apprendre d'un en-tête d'email (métadonnées)? Avez-vous déjà reçu un courriel et vous êtes-vous vraiment demandé d'où ça venait? Qui l'a envoyé? Comment ont-ils pu savoir qui vous êtes? Étonnamment, beaucoup de ces informations peuvent provenir de la ... Lire la suite.

xkeyscore-metadata-slide

De nombreux fournisseurs de messagerie "sécurisés" disposent des clés de chiffrement pour plus de commodité

Le cryptage et le décryptage des courriels sont compliqués. En théorie, vous utiliseriez quelque chose comme PGP ou GPG sur votre ordinateur local pour déchiffrer des emails. Comment envoyer un email signé et chiffré avec Evolution [Linux] Comment envoyer un email signé et chiffré avec Evolution [Linux] Dans le monde technologique d'aujourd'hui les messages entre les personnes est devenu une norme croissante. Afin de sécuriser vos communications par e-mail, vous devez signer et / ou crypter vos e-mails. Sous Linux, c'est un jeu d'enfant ... En savoir plus. En pratique, l'installation peut être compliquée et déroutante, même pour des utilisateurs plus avertis. Cela rend également impossible l'accès aux courriels cryptés via un navigateur ou un client mobile léger.

En pratique, de nombreux fournisseurs d'e-mails sécurisés s'en sont occupés en gardant les clés de chiffrement à leur fin, décryptant les e-mails lorsque vous y accédez. C'est ainsi que fonctionnait le service de messagerie sécurisée de Silent Circle: ils disposaient des clés de chiffrement pour pouvoir déchiffrer facilement les courriels et offrir une bonne expérience utilisateur. Dans la pratique, cela signifie que le gouvernement pourrait exiger toutes les clés de chiffrement - ou seulement celles dont il avait besoin - et déchiffrer tous les courriels qu'il voulait. Si le fournisseur a les clés, ils peuvent les remettre. Le seul moyen de crypter et de décrypter les corps de courriels en toute sécurité est d'utiliser un logiciel de bureau compliqué. Même tout cet effort laisse les métadonnées exposées.

Le gouvernement peut exiger backdoors: Voir Hushmail

Hushmail, basé au Canada, est l'un des services de courriel cryptés les plus populaires et les plus connus. En 2007, les tribunaux canadiens ont obligé Hushmail à remettre les courriels de l'un de leurs utilisateurs. Les courriels ont ensuite été transmis aux tribunaux américains en vertu d'un traité d'entraide juridique entre le Canada et les États-Unis.

Hushmail ne pouvait théoriquement pas faire ça. Ils n'ont pas gardé les clés de chiffrement des utilisateurs sur leurs serveurs. Ils ont recommandé aux utilisateurs d'utiliser PGP ou un logiciel similaire pour décrypter les e-mails sur leurs ordinateurs pour une confidentialité maximale. Cependant, beaucoup de gens pensaient que c'était trop gênant, donc Hushmail a également offert une applet Java téléchargeable située sur une page web qui vous permettait d'accéder à votre email. Lorsque vous accédiez à la page Web, la dernière version de l'applet Java était téléchargée sur votre ordinateur. Vous saisissiez votre clé de chiffrement et l'applet téléchargeait et décryptait votre courrier électronique sans que Hushmail ne puisse accéder à votre clé de chiffrement.

Hushmail a été obligé de servir une version de Java est Java Unsafe & Devriez-vous le désactiver? Java est-il dangereux et devriez-vous le désactiver? Le plug-in Java d'Oracle est devenu de moins en moins courant sur le Web, mais il est devenu de plus en plus courant dans les nouvelles. Si Java permet à plus de 600 000 Macs d'être infectés ou Oracle est ... Applet Applet avec une porte dérobée intégrée à l'utilisateur en question. L'applet Java modifiée a envoyé la clé de chiffrement de l'utilisateur à Hushmail après sa saisie et Hushmail a obtenu l'accès aux courriels de l'utilisateur, qu'ils ont remis aux tribunaux.

Si vous utilisez un email sécurisé, le fournisseur peut être forcé d'acquérir votre clé de toutes les manières possibles. Même s'ils ne pouvaient pas accéder à votre clé, le fournisseur pourrait lui-même remettre vos courriels cryptés, ce qui montrerait au gouvernement avec qui vous communiquez, quand et sur quoi (via la ligne d'objet de l'e-mail).

hushmail-legal-warning

Les messages électroniques sont stockés sur un serveur, les messages instantanés ne sont pas

Même si le gouvernement ne peut pas obtenir ou intercepter la clé de chiffrement, il peut être en mesure de déchiffrer vos courriels de toute façon. Vos e-mails cryptés sont stockés sur un serveur. C'est ainsi que le courrier électronique fonctionne. Si le gouvernement exigeait ces données, le fournisseur d'hébergement devrait les transmettre sous forme cryptée. Le gouvernement pourrait alors tenter de briser le cryptage - le nouveau matériel rend régulièrement les mécanismes de cryptage actuels beaucoup plus faibles, et le gouvernement américain pourrait stocker ces communications cryptées dans l'espoir de les briser à l'avenir.

En revanche, les communications de type message instantané sont plus difficiles à archiver. Un message crypté peut être envoyé directement au destinataire et non stocké sur un serveur où il pourra être consulté ultérieurement. Le gouvernement devrait installer un dispositif de surveillance et capturer toutes les communications en temps réel. S'ils ne le faisaient pas et ne disposaient pas de toutes les données cryptées, ils ne pourraient pas l'obtenir des années plus tard - mais ils peuvent souvent le faire avec un courriel.

D'autres types de communication peuvent être sécurisés

L'email n'a pas été conçu avec le cryptage en tête. Il a été verrouillé après coup, et ça se voit. Même le plus prudent des utilisateurs de services de messagerie sécurisés ne peut pas cacher avec qui ils communiquent et quand. Si vous voulez vraiment éviter la surveillance du gouvernement, il vaut mieux utiliser différents services de messagerie sécurisée au lieu de compter sur le courrier électronique.

C'est pourquoi Silent Circle offre toujours un service de messagerie sécurisé 3 façons de rendre vos communications Smartphone plus sécurisées 3 façons de rendre vos communications Smartphone plus sécurisées Une confidentialité totale! Ou alors nous pensons que nos mots et nos informations ont volé dans les airs. Ce n'est pas le cas: d'abord, il s'agit d'écoutes téléphoniques sans mandat, puis il est question de journaux, d'avocats, d'assureurs et de plus de hacker votre ... Lire la suite qu'ils sont confiants dans la sécurité de. Ce n'est pas la seule option non plus - Cryptocat en est une autre. Cryptocat avait une vulnérabilité récemment annoncée et d'autres services peuvent avoir leurs propres problèmes dont nous entendrons parler à l'avenir, mais ces services sont sur la bonne voie - ils ne sont pas fondamentalement non sécurisés par la conception comme le courrier électronique.

Bien sûr, l'email crypté n'est pas nécessairement sans valeur. Par exemple, si vous souhaitez sécuriser les communications professionnelles importantes contre l'écoute électronique, cela peut être utile. Mais le courrier électronique crypté ne va pas ralentir considérablement le gouvernement - ce n'est pas l'outil de communication idéal lorsque vous essayez de parler sans l'audience de la NSA.

crypter vos données

Êtes-vous d'accord avec les principes de la fermeture de Lavabit et de Silent Circle? Utilisez-vous un service de messagerie sécurisé pour communiquer sans que vos conversations soient stockées dans une base de données gouvernementale massive? Laissez un commentaire et laissez-nous savoir quelle alternative par courriel vous préférez.

Crédits image: Détecteur de métaux Via Shutterstock

In this article