Accueil » Manuel de protection pour les défenseurs des droits humains » Chapitre 12: La sécurité, la communication et les technologies de l’information

Le cryptage (cryptographie) : questions et réponses

‹ L’envoi et la réception de courriels sécuriséshautUn guide de la gestion plus sûre des bureaux et des informations ›

Ce qui suit constitue une liste des questions les plus fréquemment posées (FAQ) et leurs réponses. Vous pouvez vous adresser à nous pour toute question. Contactez l’ONG Privaterra sur www.privaterra.org.

Q: Qu’est-ce que le cryptage?

R: Le cryptage signifie brouiller des données par un code secret que seul le destinataire peut déchiffrer. Avec du temps et les moyens informatiques suffisants, tout message crypté peut être lu, mais cela peut prendre longtemps et exiger beaucoup de ressources. Autrement dit, le cryptage est une façon de protéger vos fichiers et vos courriels d’éventuels logiciels-espions. Vos fichiers sont traduits en code, une série apparemment aléatoire de chiffres et de lettres qui est illisible par toute personne non initiée. Pour chiffrer un fichier, vous le "verrouillez" avec une clé représentée par un mot de passe. Pour chiffrer un courriel, vous le verrouillez avec deux clés en utilisant votre mot de passe. Il ne peut être ouvert que par le destinataire voulu qui utilisera son propre mot de passe.

Q : Pourquoi les défenseurs des droits humains devraient-ils utiliser le cryptage?

R:Tout le monde devrait utiliser le cryptage parce que les communications électroniques sont essentiellement non sécurisées. Cependant les défenseurs des droits humains sont beaucoup plus menacés que la plupart des personnes et leurs fichiers et communications sont beaucoup plus sensibles. Il est impératif que les défenseurs des droits humains utilisent le cryptage pour se protéger ainsi que toutes les personnes qu’ils essayent d’aider. La technologie numérique constitue un atout pour les organisations de droits humains car elle leur permet des échanges plus faciles, une plus grande efficacité et leur offre davantage de possibilités. Cependant, tout avantage comporte certains écueils. Ce n’est pas parce que vous avez mis votre ceinture de sécurité que vous allez nécessairement avoir un accident à chaque fois que vous prenez le volant. Si vous roulez dans des circonstances plus dangereuses, comme dans une course automobile, vous serez plus enclins à mettre la ceinture de sécurité, simplement parce que vous serez plus conscients de votre sécurité. Les défenseurs des droits humains sont des cibles de surveillance connues. Puisque les courriels non chiffrés sont accessibles à tout le monde, et que tout le monde peut les lire, il est presque inévitable que tôt ou tard on ait accès à vos courriels non cryptés. En ce moment précis vos messages pourraient déjà faire l’objet d’une surveillance de la part de vos adversaires alors que vous pourrez parfaitement ne jamais vous en apercevoir. Les adversaires des personnes que vous aidez sont également les vôtres.

Q : Est-ce illégal d’utiliser le cryptage?

R: Dans certains cas. Il est parfaitement légal d’utiliser le cryptage dans la plupart des pays. Cependant il existe des exceptions. En Chine, par exemple, les organisations doivent obtenir une autorisation pour avoir le droit de chiffrer leurs données, et toute technologie de cryptage sur votre ordinateur portable doit être déclarée lorsque vous vous rendez dans le pays. À Singapour et en Malaisie, la loi exige que les personnes souhaitant utiliser le cryptage communiquent leurs clés privées. Des lois similaires sont actuellement envisagées en Inde. Il y a également d’autres exceptions. Le Electronic Privacy Information Centre (EPIC, centre d’information sur la confidentialité électronique) réalise une « Enquête internationale des politiques en matière de cryptage » examinant la législation en vigueur dans la plupart des pays, qui est disponible sur l’URL http://www2.epic.org/reports/crypto2000/. Cette liste a été remise à jour pour la dernière fois en 2000. Si vous avez une question précise, vérifiez auprès de Privaterra avant d’utiliser le cryptage dans un pays donné.

Q: De quoi avons-nous besoin pour préserver la sécurité de nos systèmes de technologie de l’information ?

R: Tout dépend du système et de vos activités, mais en règle générale n’importe qui devrait disposer de :

  • Un logiciel pare-feu.
  • La possibilité de chiffrer le contenu intégral du disque dur.
  • Un logiciel de cryptage de courriels permettant également les signatures numériques, comme le logiciel PGP.
  • Un logiciel de détection de virus.
  • Un système de sauvegarde sécurisée : envoyez toutes les informations par courrier électronique à un site sécurisé et procédez à un enregistrement hebdomadaire de tous les fichiers sur disque compact enregistrable, un CD-RW. Ensuite, conservez-le dans un endroit indépendant et sûr.
  • Utilisez des mots de passe qui vous pouvez mémoriser mais qui ne peuvent pas être devinés ou déduits par un tiers.
  • Restreignez l’accès aux données et aux fichiers en fonction de l’organigramme de votre organisation. Tous les membres de l’organisation n’ont pas besoin d’avoir accès à l’intégralité des informations.
  • Faites preuve de cohérence et d’assiduité car aucun de ces outils ne peut être efficace si vous ne l’utilisez pas de manière systématique.

Mais posséder le bon logiciel ne constitue pas la panacée. Ce sont les utilisateurs qui représentent souvent le maillon le plus faible, pas la technologie. Le cryptage ne fonctionne pas si les individus ne l’utilisent pas de manière systématique, s’ils communiquent leur mot de passe indifféremment ou s’ils le rendent visibles, p.ex. en l’inscrivant sur une note adhésive (Post – it) qu’ils collent à leur écran. Les logiciels de sauvegarde ne vous mettront pas à l’abri d’un incendie ou d’une razzia si vous ne gardez pas la copie de sauvegarde dans un endroit indépendant et sûr. Les informations sensibles doivent être divulguées au compte-gouttes et uniquement au membre de l’organisation qui en a réellement besoin pour son activité, selon le principe de « qui doit savoir ? » au lieu d’être communiquées indifféremment à tous les membres. Ceci implique d’élaborer une hiérarchie et des protocoles d’accès. En général, il est important d’être conscient de la confidentialité et de la sécurité dans vos activités quotidiennes. Nous appelons cela la "paranoïa saine".

Q : Comment est-ce que je fais pour savoir quel logiciel de cryptage je dois utiliser ?

R: Généralement, vous pouvez demander à vos amis et ensuite vérifier auprès de notre organisation. Vous devez pouvoir communiquer avec des personnes ou des groupes donnés et s’ils utilisent un système de cryptage précis vous devriez utiliser le même pour faciliter les communications. Cependant vérifiez auprès de notre organisation d’abord. Certains logiciels ne sont tout bonnement pas efficaces du tout, d’autres sont des « bonbons ». Les « bonbons » vous bercent dans l’illusion d’utiliser des logiciels gratuits et apparemment d’excellente qualité alors qu’ils ont été mis au point par ceux qui veulent vous espionner. Quelle meilleure façon de lire vos communications les plus sensibles que celle d’être officiellement chargé d’installer votre logiciel de cryptage ? Quoi qu’il en soit, il existe beaucoup de fabricants reconnus de logiciels propriétaires et de « gratuiciels », alors souvenez-vous seulement que vous devez examiner tout logiciel avant de l’utiliser1.

Q : Est-ce que l’utilisation du cryptage va m’exposer à un risque plus élevé de répression ?

R: Personne ne saura que vous utilisez le cryptage à moins que vos échanges de courriels ne soient dores et déjà surveillés. Si c’est le cas, vos informations confidentielles sont déjà lues. Cela signifie que vous faites déjà l’objet de répression de la part de ceux qui vous surveillent. Il se peut que ceux qui vous surveillent se voient contraints d’avoir recours à d’autres moyens s’ils sont privés de la possibilité de lire vos courriels. Il est donc important de connaître vos collègues, de mettre en place des politiques de sauvegarde sécurisées et de gestion efficace des activités administratives en même temps que la première utilisation du cryptage.

(Notez que nous n’avons pas été informés de cas où l’utilisation de logiciels de cryptage ait causé des difficultés à des défenseurs. Néanmoins examinez cette possibilité avec prudence avant de vous mettre au cryptage, surtout si vous vous trouvez dans un pays en proie à des conflits armés, car les services d’intelligence de l’armée pourraient vous soupçonner de communiquer des informations d’intérêt stratégique. Soyez vigilants également si peu de défenseurs utilisent le cryptage, auquel cas cela pourrait vous valoir une attention indésirable).

Q: Pourquoi faut-il que nous cryptions systématiquement tous les courriels et documents ?

R: Si vous n’utilisez le cryptage que pour des sujets sensibles, les personnes qui vous surveillent ou qui surveillent vos victimes peuvent deviner qu’une activité sensible a lieu et pourraient être incités à mener une descente chez vous. S’ils ne peuvent pas lire vos messages cryptés, ils peuvent distinguer les messages chiffrés des messages non chiffrés (ou clairs). Une soudaine augmentation des messages cryptés peut provoquer une razzia, si bien que c’est une bonne idée de commencer à crypter avant de lancer des projets spéciaux. En fait l’idéal est d’introduire le cryptage de manière maîtrisée pour éviter les pics de messages chiffrés. Envoyez des messages cryptés à intervalles réguliers même si vous n’avez pas de nouvelles données à communiquer. De cette façon, lorsque vous aurez à envoyer des informations délicates, elles seront moins manifestes..

Q : Si je dispose déjà d’un logiciel pare-feu, pourquoi ai-je besoin de crypter mes courriels ?

R: Les pare-feux bloquent l’accès à votre disque dur et à votre réseau aux pirates de l’informatique, or, dès que vous envoyez votre message sur Internet, il est aux mains de tous. Vous devez le sécuriser avant de l’envoyer.

Q: Il n’y a pas d’effractions dans nos bureaux, pourquoi utiliser alors un logiciel de protection de la confidentialité ?

R: Vous ne savez pas si quelqu’un est en passe de s’introduire dans votre système ou d’être à l’origine de fuites de données depuis votre ordinateur. Sans cryptage des communications, sans protection matérielle et protocoles de confidentialité, n’importe qui peut être en passe d’accéder à vos fichiers, de lire vos courriels et de manipuler vos documents à votre insu. Vos communications non sécurisées peuvent aussi mettre d’autres personnes en danger dans les endroits où des razzias de nature politique sont plus probables. Tout comme vous fermez vos portes à clé, vous devriez crypter vos documents. C’est aussi simple que ça.

Q : Nous n’avons pas accès à Internet et sommes obligés d’utiliser des cafés Internet. Comment protéger les communications envoyées d’un ordinateur extérieur ?

R: Vous avez toujours la possibilité de crypter vos courriels et vos fichiers. Avant d’aller dans un café Internet, chiffrez les fichiers que vous souhaitez envoyer et copiez le fichier chiffré sur une disquette ou un disque compact. Au café Internet, souscrivez à un service de cryptage comme par exemple www.hushmail.com ou utilisez un service respectant l’anonymat tel que www.anonymiser.com. Appliquez-les lors de l’envoi de vos courriels. Vérifiez que vos destinataires ont également souscrit à ces services.

Q : S’il est important de sécuriser nos dossiers et nos communications, pourquoi est-ce que tout le monde ne le fait pas ?

R: Cette technologie est relativement récente, mais son usage se répand. Les banques, les multinationales, les agences de presse et les gouvernements utilisent tous le cryptage, et l’envisagent comme un investissement solide et un coût nécessaire à leur activité. Les ONG sont plus exposées que les entreprises, ce que la majorité des gouvernements saluent. Les ONG sont des cibles de surveillance plus probables et doivent donc être s’efforcer activement de mettre en place cette technologie. Les défenseurs des droits humains se chargent de protéger des individus ou des groupes persécutés. Pour cela, ils conservent des dossiers qui peuvent permettre d’identifier et de localiser ces personnes. Si l’on donne l’accès à ces dossiers, ces individus peuvent être assassinés, torturés, enlevés ou "persuadés" de ne plus aider les ONG. Les informations contenues dans ces dossiers peuvent aussi être utilisées comme preuves contre les ONG et leurs clients lors de procès politiques.

Q : Un des nos principes est celui de la transparence. Nous militons en faveur d’une plus grande transparence des gouvernements. Comment pouvons-nous dans ce contexte utiliser la technologie de la confidentialité ?

R: La confidentialité est compatible avec la transparence. Si le gouvernement souhaite obtenir vos dossiers ouvertement, il en a la possibilité par les voies légales et reconnues. La technologie de la confidentialité empêche toute personne d’accéder à vos informations de manière illégale.

Q : Nous suivons tous les protocoles de confidentialité et de sécurité et nos informations continuent à faire l’objet de fuites. Pourquoi ?

R: Il y a peut-être un espion dans vos rangs ou quelqu’un est simplement incapable de respecter la confidentialité des données. Réexaminez la hiérarchie de vos informations pour être sûr que vous restreignez l’accès à des informations délicates à encore moins de personnes et gardez un œil tout particulièrement vigilant sur ces personnes-là. De grandes entreprises et des organisations procèdent à titre de routine à des diffusions régulières d’éléments d’ informations incorrectes à certaines personnes. Si ces informations incorrectes sont divulguées, on peut remonter la fuite jusqu’à la personne qui les a reçu au départ.

Les choses à faire et à ne pas faire en matière d’utilisation du cryptage

  • Veillez à utiliser le cryptage de manière cohérente. Si vous n’utilisez le cryptage que pour les données sensibles, toute personne vous surveillant sera informée qu’une chose importante est sur le point d’arriver. Une augmentation abrupte de l’utilisation du cryptage peut provoquer une razzia.
  • N’indiquez aucune information sensible dans les champs objet. Ils ne sont en général pas cryptés, même si le texte du message l’est.
  • Veillez à utiliser un mot de passe contenant des lettres, des chiffres, des espaces et de la ponctuation dont vous seul pouvez vous souvenir. Certaines techniques de création de mots de passe sécurisés utilisent des symboles de votre clavier ou des combinaisons aléatoires de mots et de symboles. En général, plus le mot de passe est long, moins il est vulnérable.
  • '''N’utilisez pas de mot ou de nom uniques, de proverbe ou d’adresse de votre répertoire d’adresses comme mot de passe. Ils peuvent être déchiffrés en quelques minutes.
  • Faites une copie de sauvegarde de votre clé privée (c’est-à-dire le dossier qui contient votre clé privée pour le logiciel de cryptage) dans un seul endroit bien à l’abri, par exemple copiez-le sous forme cryptée sur une disquette ou sur une petite clé de mémoire USB détachable, "à porter en médaillon autour du cou".
  • N’envoyez pas d’informations sensibles à un destinataire simplement parce qu’il vous a envoyé un courriel crypté à partir d’une adresse que vous connaissez. Tout un chacun peut usurper le nom de quelqu’un d’autre en rendant son adresse électronique quasi identique à celle d’une personne que vous connaissez. Vérifiez toujours l’identité de la personne avant d’estimer que la source est fiable, communiquez donc de vive voix, vérifiez par téléphone ou envoyez un courriel de réponse anodin pour être absolument sûr(e).
  • Enseignez le cryptage aux autres. Plus il y aura de personnes qui s’en serviront, plus nous serons nombreux à être protégés.
  • N’oubliez pas de signer votre message en plus de le chiffrer. Votre but est que le destinataire du message sache qu’il a été modifié en cours de route.
  • Cryptez les fichiers que vous envoyez en pièces jointes. En général ils ne sont pas chiffrés automatiquement lorsque vous envoyez un courriel crypté.
»