Boucliers anti-NSA

Les solutions de chiffrement surfent sur l’effet Snowden

La protection des données est à l’ordre du jour. Mettant en avant la législation favorable du pays en la matière, plusieurs start-up s’appuient sur le savoir-faire suisse en cryptographie.

(Quelle: FreeStockPhotos)
(Quelle: FreeStockPhotos)

L’effet Snowden pourrait se mesurer à l’aune du nombre de solutions de chiffrement en tout genre qui ont vu le jour ces derniers mois. Les révélations du lanceur d’alertes en juin 2013, à propos du programme d’espionnage généralisé de la NSA, ont eu un impact durable sur la perception des entreprises et du public au sujet de la sécurité en ligne et de la protection des données. L’étude «2014: The Year of Encryption», publiée en juin dernier par la firme spécialisée dans la cybersécurité Egress Software Technologies, révèle que près de deux tiers des professionnels IT en Europe se disent plus conscients des problèmes de sécurité des données depuis l’éclatement de ce scandale. 70% des sondés confient en outre que l’effet Snowden les a incités à chercher des logiciels de messagerie chiffrée et de cryptage de fichiers. La même tendance s’observe auprès du grand public. Un récent sondage publié par la société F-Secure indique que plus de deux tiers des consommateurs se sentent aujourd’hui concernés par la protection de leur sphère privée. La moitié confie vouloir utiliser des services numériques accordant une haute priorité à la sécurité et à la confidentialité.

Bien conscients du phénomène, les éditeurs d’outils de stockage et de communication mettent en place des solutions de chiffrement. A l’instar de Whatsapp, qui a tout récemment annoncé faire appel au protocole Textsecure, mis au point par la communauté open source Open Whisper Systems à laquelle participe Frédéric Jacobs, étudiant de l'EPFL. Plusieurs start-up basées en Suisse surfent également sur cette vague post-Snowden. Elles s’appellent Quantitative Data Solutions, Qnective, Threema, Tresorit, Zwooky, ID Quantique, Silent Circle ou Di55erent. Tour d’horizon.

Webmail chiffré et alternatives à Dropbox ou Whatsapp

Lancé au printemps dernier par Quantitative Data Solutions, jeune pousse basée à Genève, le service de messagerie en ligne sécurisé Protonmail a vite été dépassé par l’intérêt qu’il a suscité. Deux jours après son lancement, le service enregistrait 20'000 inscriptions. Il en comptait plus de 250'000 à la mi-octobre. Promettant un chiffrement de bout en bout et compatible pour une communication avec les autres messageries du marché, Protonmail a toutefois été imaginé avant les révélations de Snowden. Mais Andy Yen, l’un des cofondateurs, concède que celles-ci les a motivés à croire au succès de ce service faisant la séparation entre systèmes d'authentification et de décryptage.

Offrir un chiffrement de bout en bout et garantir que seuls l’émetteur et le destinataire puissent ouvrir le message, voilà les arguments clés mis en avant par la plupart des solutions faisant appel à la cryptographie. A l’instar des deux alternatives helvétiques à Whatsapp: Threema et Myenigma (de la start-up Qnective). Disponibles sur iOS et Android, ces applications de messagerie instantanée ont leurs serveurs en Suisse. Elles se veulent par ailleurs pratiques, avec une fonctionnalité de synchronisation avec les contacts déjà enregistrés sur un smartphone.

Egalement basée en Suisse, Tresorit propose un service de stockage et de partage de fichiers qui ambitionne de concurrencer Dropbox. «Notre cible première sont les établissements financiers et de santé, les cabinets juridiques et de consulting, qui gèrent des documents vraiment sensibles et doivent se conformer à des réglementions», explique Istvan Lam, fondateur et CEO de la jeune pousse, laquelle a notamment fait parler d’elle en mettant sa technologie à l’épreuve. Tresorit offre en effet une récompense de 50'000 dollars à quiconque parviendrait à hacker son service. Personne ni serait parvenu jusqu’ici.

Contrer les attaques de l'homme du milieu

Si Tresorit se vante d’être impossible à pirater, les responsables de Protonmail, Threema et Myenigma jugent qu’il est difficile d’assurer une protection absolue contre les tentatives d’espionnage et de vol de données. Développeur de Threema, Martin Blatter explique: «Alors que le chiffrement lui-même est sûr, personne ne peut garantir qu’une solution est 100% NSA-proof, car les données pourraient être collectées sur le dispositif mobile lui-même, soit par le système d'exploitation ou par un cheval de Troie.» L'attaque dite de l'homme du milieu (man-in-the-middle) constitue un autre type de menaces contre lequel la cryptographie ne peut prémunir à elle seule. «Pour les utilisateurs, la seule manière de s’en protéger consiste à ce que chacun vérifie que l‘autre ait bien reçu la bonne clé», explique Volker Birk. Ce spécialiste suisse en sécurité développe Pretty Easy Privacy (PEP), un logiciel de cryptographie basé sur un moteur cross-plateformes. Pour l'instant, PEP n’est disponible que sous forme de plug-in pour Outlook. Mais Volker Birk voit plus loin: «Nous avons l'intention de l’adapter pour une utilisation avec tous les logiciels de communication du marché. Nous voulons ainsi contourner les limites des solutions qui nécessitent que vos contacts utilisent la même application que vous.»

Cryptographie quantique et smartphone anti-NSA

Certaines technologies mises au point contre les mouchards sont davantage qu’une solution applicative. Avec l’avènement probable des ordinateurs quantiques, d’ici quelques années, les clés de chiffrement utilisées aujourd’hui pourraient devenir bien plus vulnérables. Une théorie partagée entre autres par la société genevoise ID Quantique, dont l’offre a pour objectif d’anticiper cette menace. La firme, fondée en 2001 par quatre scientifiques, propose notamment aux banques et administrations publiques des solutions de cryptographie quantique, technologie qui se fonde sur la physique quantique pour sécurisé la distribution des clés de chiffrement symétrique.

Une autre piste consiste à protéger les terminaux eux-mêmes contre les tentatives d’espionnage. Avec son Blackphone, la société américaine Silent Circle, qui a déménagé son siège à Genève au printemps dernier, propose via la joint-venture SGP Technologies, un smartphone sécurisé pouvant servir à envoyer des messages, ainsi qu’à transférer et stocker des fichiers. La société a tout récemment prolongé son partenariat avec Safe Host, fournisseur de centre de données basé à Genève.

Communication anonyme et collaboration sécurisée

Dans un autre registre, Zwooky promet la préservation de l’anonymat lors de toute forme de communication. La jeune pousse propose un service web qui génère un code faisant office d’identifiant personnel, lequel se substitue à l’adresse e-mail ou au numéro de téléphone de l’émetteur. Thomas Stoll, son cofondateur, précise  «Nous utilisons un certificat SSL-EV standard et nous chiffrons certaines informations à la volée via le navigateur.»

Di55erent, une start-up de l’EPFL a à son tour récemment investi le créneau du chiffrement. Ses deux fondateurs ont développé trois outils d’envoi et de stockage confidentiels de documents : Swi5t, Ukeepit et Makesends.

Mentionnons encore Qtalk, également proposé par Qnective (Myenigma), une solution de communication sécurisée «tout-en-un» qui s’adresse aux entreprises et aux gouvernements, et combine services de téléphonie et de messagerie.

Une législation à la réputation bien ancrée

Les solutions suisses focalisées sur la sécurité des données ont des atouts pour convaincre les entreprises étrangères. Pour preuve, la multinationale espagnole Prosegur, active dans le secteur de la sécurité, a annoncé en octobre qu’elle proposerait à ses clients la solution de stockage et partage de fichiers Securesafe, de la société DSwiss. La réputation de la Suisse peut servir d’argument aux jeunes pousses locales. Les responsables des services Protonmail, Myenigma, Threema et consorts n’hésitent pas à mettre en avant l’avantage d’avoir leur siège en territoire helvète. Istvan Lam, le CEO de Tresorit, confie à ce propos: «Nous nous sommes établis en Suisse en raison de sa forte Loi sur la protection des données. Nos serveurs ne sont pas basés ici, mais en Irlande et aux Pays-Bas. Cependant, comme la société qui les gère se trouve ici, nos utilisateurs et nous-mêmes sommes sous la protection de la législation helvétique.»

Un savoir-faire cryptographique à croix blanche

Certains spécialistes nuancent toutefois l’importance de la «swissness». Frederic Jacobs, cofondateur de l’association Hakers de l’EPFL et développeur chez Open Whisper Systems (dont le protocole de chiffrement Textsecure est désormais intégré à Whatsapp), observe ainsi: «La swissness est probablement attrayante pour la plupart des étrangers qui n’ont aucune connaissance en cybersécurité. Etre basé en Suisse peut être un atout. Mais cela ne peut se substituer à une architecture et une mise en œuvre intelligentes.» La Suisse semble néanmoins pouvoir légitimement se targuer d’un authentique savoir-faire en cryptographie. C’est du moins l‘avis d’un expert en la matière, le Pr Pascal Junod de la HEIG-VD. Rencontré lors du dernier Application Security Forum à Y-Parc, il explique que le pays doit notamment sa solide réputation dans le domaine aux recherches de James Massey, professeur à l'EPFZ entre 1980 et 1998. «On lui doit l’algorithme IDEA, utilisé dans la première version du logiciel de chiffrement PGP. Ses travaux ont contribué à faire rayonner les compétences cryptographiques de la Suisse», relate l’expert. De quoi créer une émulation. Nombre de doctorants ont depuis suivi les traces de James Massey. «En densité de spécialistes en cryptographie, la Suisse fait aujourd’hui partie des trois pays qui se détachent très nettement du reste, avec la Belgique et Israël», se réjouit Pascal Junod.

Avec un savoir-faire dont la réputation traverse les frontières, la Suisse présente de sérieux atouts pour ces diverses firmes qui se lancent dans les solutions de communication chiffrées. L’enjeu, atteindre une taille critique et développer d’autres arguments avant que l’effet Snowden ne s’estompe. Les utilisateurs et entreprises suisses pourraient les y aider en essayant leurs solutions.

Webcode
1353

Kommentare

« Plus