Le dénonciateur Edward Snowden a participé lundi de Moscou par vidéoconférence Google Hangouts à un débat lors du festival SXSW (Austin, Texas).
Il a réaffirmé que pour se protéger de la surveillance de masse du type de celle exercée par la NSA ou le GCHQ, la supervision civile et le chiffrement de bout en bout sont nécessaires.
Malheureusement, en général le chiffrement est utilisé de l’envoyeur à l’intermédiaire (Facebook, Google, Microsoft), une publicité est ajoutée au message et chiffrée de l’intermédiaire au récepteur.
De même, Snowden conseille aux entreprises qui travaillent sur des agrégats de données gigantesques à ne pas les conserver plus longtemps que nécessaire, et de les effacer après analyse.
Les outils de chiffrement doivent se simplifier pour être largement utilisés par un public non spécialiste de la sécurité. Une première étape a été franchie avec les entreprises qui utilisent SSL par défaut. PGP et Tor sont en revanche trop difficiles à configurer et à utiliser.
Snowden recommande le chiffrement du disque dur, l’utilisation autant que possible de SSL, la désactivation des scripts dans les navigateurs, et de Tor.
Enfin, la supervision civile des gouvernements et des agences d’espionnage sont fondamentales. Pour Snowden, Michael Hayden (qui a dirigé la NSA de 1999 à 2005, puis la CIA de 2006 à 2009) et Keith Alexander (qui dirige la NSA depuis 2005) ont largement affaibli les cyberdéfenses américaines en passant à l’offensive et en concentrant l’agence sur la collecte de données, en laissant des portes dérobées ouvertes et en répandant des vulnérabilités.
Des faiblesses que les gouvernements mais aussi les pirates et les criminels peuvent exploiter.
Hors le bilan de la surveillance de masse est quasi nul, et des surveillances ciblées auraient été bien plus efficaces.
Autre point évoqué par le modérateur Ben Wizner: que vont devenir ces données ? En supposant qu’on puisse faire confiance à l’administration actuelle pour ne pas exploiter des informations privées (appels aux alcooliques anonymes, à un organisme religieux ou à un vendeur d’armes par exemple), on n’a aucune garantie sur les utilisations d’une future administration. Et quoi qu’on pense de Snowden, il a rendu Internet plus sûr en forçant les entreprises à renforcer leurs sécurités, et aux politiques à prendre leurs responsabilités.
Les plus courageux pourront écouter la conférence ci-dessous. La qualité du son est désastreuse et pleine d’échos à cause des nombreux serveurs mandataires.