Des Podesta Mails aux MacronLeaks, la guerre des données numériques n’a jamais autant fait rage en politique. Alors que certaines catégories professionnelles comme les journalistes commencent à massivement prendre conscience de la nécessité de protéger ces informations, le retard global en matière de données politiques est terrifiant.
L’exemple inattendu des journalistes
Ce sont les journalistes qui semblent cette fois, en France, montrer l’exemple. On voit donc fleurir des signatures GPG et autres clés publiques dans les bios Twitter — affichées de manière plus ou moins sécurisée. Cette prise de conscience soudaine , aussi plaisante soit-elle, n’est pas anodine. Elle fait écho à la recrudescence de vols de données dans le milieu politique et journalistique.
La connaissance de la menace n’est pas nouvelle, des scandales ont déjà existé au sein même de la communauté journalistique. On peut nommer les critiques acides de Jacob Appelbaum, membre des projets Wikileaks et Tor concernant la protection technique des sources :
« La plus grande menace pour le journalisme d’investigation, ce sont les autres journalistes d’investigation »
L’utilisation grandissante de ces outils par des professionnels du journalisme est très probablement liée à la démocratisation des sites et logiciels de protection. Beaucoup utilisent keybase.io, d’autres comme Contexte utilisent mailvelope, des services simples et rapides à mettre en place nécessitant une formation minimale.
Nul besoin de doctorat
L’idée selon laquelle il faut être un véritable expert en informatique pour utiliser le chiffrement des mails, messageries, transferts de documents et simples connexions est tenace. Si elle a un jour pu être légitime, elle l’est de moins en moins.
Les journalistes qui ont travaillé sur les Panama Papers ont notamment reconnu avoir dû apprendre à être prudent et à travailler avec des clés GPG. C’est un effort nécessaire que certains encouragent depuis des années, à l’instar de Jean-Marc Manach qui appelait à la protection des sources par la technologie il y a 7 ans déjà.
Il existe aujourd’hui des logiciels comme OpenPGP, des services comme ProtonMail ou d’autres qui permettent d’utiliser simplement le chiffrement pour vos mails. Pour vos documents de travail, des outils comme VeraCrypt permettent le chiffrement d’à-peu-près tout ce que vous voulez. Quant à votre cloud, oubliez Dropbox et préférez Sync — sauf si vous utilisez Cryptomator.
La demande explose donc les solutions se multiplient. Beaucoup sont gratuites, certaines sont simples et intuitives et l’on peut saluer les journalistes de France et d’ailleurs pour leur contribution à la démocratisation de ces méthodes.
L’aberrant retard du milieu politique
A contrario, dans le milieu politique en général, le retard se fait sentir. A haut niveau — présidence, ministères — on espère évidemment que la sécurité est convenable, même si la fuite de certaines informations de temps à autre nous permet d’en douter. On peut penser à “l’addiction de l’armée française à Microsoft” et aux éventuelles backdoors que ce choix engendre ; ou bien aux iPhones d’Emmanuel Macron qui font pâle figure face au Theorem proposé par Thalès qu’avait adopté Nicolas Sarkozy.
Du reste, les choses changent lentement. La méfiance et la paranoïa, bien que de mises en politique, suffisent rarement à accéder à un bon degré de protection sans la connaissance technique nécessaire à la compréhension des menaces. Les quelques progrès constatés répondent bien plus à la peur qu’à l’adoption de nouvelles habitudes.
S’il fallait citer une avancée visible et perceptible à tous les niveaux du personnel politique, c’est l’utilisation grandissante d’application de messagerie considérées comme plus sures. On voit de plus en plus d’élus et de collaborateurs sur Telegram et WhatsApp, deux apps qui proposent en partie un chiffrement de bout en bout. Ces deux applications sont néanmoins réputées moins fiables que Signal développée par Open Whisper Systems.
Les bons élèves de la classe, ceux qui ont le mieux compris les enjeux de leur propre cybersécurité sont à priori les membres de l’équipe d’Emmanuel Macron. Malgré le hack et le leak dont ils ont été victimes, ils avaient parfaitement réalisé l’analyse de leurs menaces et choisi des outils en conséquence. Trois niveaux de sécurité : mail pour le quotidien, messagerie chiffrée pour le confidentiel, face-à-face pour le sensible.
Ainsi, il n’y a aucun document véritablement sensible dans les Macronleaks et, au contraire, le drive pénétré et les mails dérobés ont agi, malgré eux, comme une sorte de honeypot, centralisant les attaques pendant que les données cruciales, elles, circulaient ailleurs. Alors que leur histoire et leur réaction à ce piratage sont à découvrir dans Libération, le meilleur moyen pour vous d’élaborer une stratégie de vrai h4x0r peut être avec le manuel Tradecraft de la CIA à télécharger.
Malgré cette exception notable et de bonne augure, le personnel politique ne se résume pas aux collaborateurs opératifs de la campagne d’Emmanuel Macron. Pour la majeure partie du reste, l’on préfère ne plus rien dire en ligne plutôt que de le sécuriser un minimum. Pourtant, toute information quotidienne ne nécessite pas une communication off-the-grid. Pour les bruits de couloir, ragots et calinotades du Parlement, un simple chiffrement suffira.
Si la tendance est à l’amélioration, c’est aussi grâce aux acteurs spécialisés qui s’efforcent de changer les choses. L’Agence nationale de la sécurité des systèmes d’information (ANSSI) a globalement bonne presse dans le secteur de la sécurité généralement méfiant à l’égard des institutions étatiques. Elle est à l’origine de documents intéressants à recommander aux (collaborateurs des) hommes politiques. On peut ici citer l’excellent Guide d’hygiène informatique pour les téméraires mais surtout des fiches concises et spécialisées, comme ces deux pages essentielles concernant les élections législatives.
A la vérité, le coeur du problème est dans la sensibilisation du personnel politique. Les dangers qui paraissent évidents à toute personne un tant soit peu intéréssée par sa sécurité informatique ne le sont pas nécessairement pour nos élus et leurs équipes. La connaissance des risques est très mauvaise et tous tombent des nues alors qu’on leur explique qu’un lycéen patient finira par défigurer leurs sites ou lire leurs e-mails s’ils se contentent d’un mot de passe de 10 caractères comme pierre angulaire de leur sécurité.
Comme les journalistes avant eux, les politiques et une partie de leurs équipes doivent changer leurs habitudes. On peut se réjouir de voir Bercy tester ses équipes avec de faux mails piégés mais il est extrêmement probable que pareille expérience serait aussi fructueuse sur les ministres eux-mêmes. Une ingénierie sociale dupe parfois les plus attentifs, soyez sûrs que vous vous ferez avoir au moins une fois. La prise de conscience des dangers et des techniques utilisées se fait attendre.
C’est à nous également de changer de posture et d’accélerer la démocratisation des outils de protection qui s’intègreront naturellement dans le spectre politique lorsqu’ils seront devenus banals. Devenons demandeurs de documentation grand public, d’outils simples et traduits en français, chiffrons nos données. Lorsque chaque citoyen utilisera quotidiennement ces moyens de protection, il sera bien difficile de ne pas en voir l’utilité. Peut-être alors seulement les gouvernements comprendront qu’au lieu de chercher à interdire Tor ou le chiffrement, ils devraient les utiliser massivement.
Annexe : Des outils rendus accessibles
Le travail de vulgarisation fait par les médias spécialisés comme ZDNet, NextINpact, 01Net, Clubic et Numerama a grandement rendu plus accessibles ces outils. Retrouvez donc une petite sélection non exhaustive et personnelle d’articles en présentant :
http://www.numerama.com/tech/128179-comment-chiffrer-ses-mails-windows-pgp.html
http://www.numerama.com/tech/128179-comment-chiffrer-ses-mails-windows-pgp.html
http://www.numerama.com/tech/128179-comment-chiffrer-ses-mails-windows-pgp.html
http://www.numerama.com/tech/128179-comment-chiffrer-ses-mails-windows-pgp.html
http://www.numerama.com/tech/128179-comment-chiffrer-ses-mails-windows-pgp.html
http://www.numerama.com/tech/128179-comment-chiffrer-ses-mails-windows-pgp.html
http://www.numerama.com/tech/128179-comment-chiffrer-ses-mails-windows-pgp.html
La Pravd'Assas 