Actualité web & High tech sur Usine Digitale

Recevez chaque jour toute l'actualité du numérique

x

Google, Facebook, Yahoo! puis Apple... la course au cryptage ne fait que commencer

[Actuallisé] Les entreprises du net américaines se sont lancées depuis mi-2013 dans une course effrénée au chiffrage des données de leurs utilisateurs. Elles veulent les remettre en confiance après le scandale d’espionnage de la NSA, qui a éclaté en juin de la même année. Quel groupe crypte quelles données et comment ? L’Usine Digitale fait le bilan. 
mis à jour le 16 juillet 2014 à 10H32
Twitter Facebook Linkedin Flipboard Email
×

Google, Facebook, Yahoo! puis Apple... la course au cryptage ne fait que commencer
Google, Facebook, Yahoo! puis Apple... la course au cryptage ne fait que commencer © Patrick Hoesly - Flickr - C.C.

Actualisation du 16 juillet. Comme Google, Facebook, Yahoo! et d’autres géants du web l’ont fait ces derniers mois, Apple a perfectionné le 16 juillet 2014 son programme de cryptage des données de ses utilisateurs. L’entreprise espère ainsi regagner leur confiance, flouée dans le cadre de l’affaire Edward Snowden. Cet ancien employé de la CIA a révélé en juin 2013 l’existence du programme d’espionnage PRISM, de l’Agence nationale de sécurité américaine (NSA). Les grandes oreilles de l’institution ont trainé dans toutes ces sociétés, qui ont livré les données de leurs clients à l’Etat sans les en informer.

Cet espionnage à grande échelle risque de coûter cher aux mouchards : selon les spécialistes du secteur, le manque à gagner pour l’industrie IT américaine s’élèvera au minimum à 35 milliards de dollars d’ici 2016. Les estimations les plus élevées parlent même de 180 milliards de dollars. Des dizaines de start-up, flairant l’aubaine, ont proposé des services sécurisés pour séduire cette clientèle déçue. Mais les firmes américaines ne se laissent pas faire par ces chantres du "zéro tracking". Pour rassurer leurs utilisateurs, elles publient de multiples annonces de chiffrage de leurs données. L’Usine Digitale vous présente un état des lieux, pour comprendre qui crypte quoi, comment et depuis quand.

APPLE

Actualisation du 16 juillet. Depuis le 16 juillet 2014, Apple chiffre l'ensemble des mails émis et reçus par les utilisateurs d'iCloud (adresses finissant par @me.com et @mac.com). Que les messages soient échangés avec d'autres clients de ce service, ou avec des personnes utilisant ceux d'une entreprise tierce, les messages sont protégés des intrusions. Ce chiffrage des data était auparavant proposé uniquement pour les échanges de mails entre utilisateurs iCloud. 

La musique, les contacts, les photos de ses utilisateurs sont également chiffrés lorsqu’ils sont stockés sur les serveurs de l’entreprise. Mais en 2012, avant même l'éclatement du scandale de la NSA, un chercheur russe spécialisé dans la cybersécurité, Vladimir Katalovrévèle au cours d'une conférence Hack in the box à Kuala Mumpur en Malaisie que le groupe est capable de lire toutes les data contenues dans son "nuage numérique". Le trafic entre les appareils siglés d’une pomme et les applications Mail et Notes d’iCloud est également chiffré. Apple explique sur son site que "conformément aux pratiques courantes de l’industrie", iCloud ne code pas automatiquement les mails stockés sur ses serveurs. Chaque client doit activer, de son côté, la protection de ses données. 

Yahoo!

Yahoo! chiffre depuis le 31 mars les données qui transitent via ses data centers et sécurise par défaut les connexions de ses utilisateurs sur sa page d’accueil, grâce au protocole de transfert hypertexte sécurisé (HTTPS). Les requêtes qu’ils émettent sur le moteur de recherche sont codées, pour éviter la collecte massive de data par les agences de renseignements. Le HTTPS peut être activé par les internautes sur les pages Yahoo! Sports, Yahoo! Finance, Yahoo! News et Good Morning America, en tapant devant l’adresse de ces pages “https”. L’entreprise crypte par défaut les sessions des utilisateurs de son service de messagerie en ligne, Yahoo! Mail, depuis début janvier 2014.

Google

Google crypte par défaut les data de son service de messagerie électronique Gmail depuis mars 2014. La connexion sécurisée HTTPS est activée automatiquement lorsque l'utilisateur envoie ou relève ses courriels. Cette protection était disponible en option depuis 2010. La firme effectue depuis juillet 2013 des tests pour chiffrer son service de cloud Drive, qui ne bénéficie aujourd’hui d’aucune protection.

Microsoft

Microsoft a activé le HTTPS par défaut pour son service de messagerie Outlook depuis 2012. L’entreprise a aussi annoncé le lancement en 2014 d’un service permettant le chiffrement des emails pour les utilisateurs professionnels d'Office 365. Elle réfléchit en ce moment à une plus vaste stratégie de protection des données de ses utilisateurs.

Skype

Skype, racheté en 2011 par Microsoft, chiffre l’ensemble des conversations audio et vidéo, les transferts de fichiers et les messages instantanés entre ses utilisateurs. S’ils passent un appel de Skype vers un téléphone fixe ou mobile, la partie de l’appel sur le réseau téléphonique ordinaire n’est pas cryptée, mais la partie sur Skype l’est. Les messages instantanés sont également cryptés, tout comme les messages vocaux des clients lorsqu’ils leurs sont remis. Mais après écoute, ils sont transférés depuis les serveurs de la société vers l’ordinateur, le smartphone ou la tablette de l’internaute, où ils sont stockés sous forme non chiffrée.

Facebook

L’ensemble du site de Facebook est passé en 2011 sous le protocole sécurisé HTTPS. Auparavant, il n’était activé que lorsque les internautes tapaient leur identifiant et leur mot de passe pour accéder à leur compte. La compagnie a annoncé en juin 2013 que son site intègrerait prochainement un nouveau système plus performant baptisé forward secrecy. Il permet de chiffrer les connexions entre les navigateurs privés et les sites webs. Contrairement au HTTPS, qui crée une clef de codage pour l’ensemble des internautes connectés sur un site, forward secrecy produit un code spécifique pour chaque utilisateur.

Les données cryptées exploitables

Cette course aux technologies anti tracking n’est pas finie : Alex Stamos, le nouveau directeur de la sécurité informatique du groupe Yahoo! se targue sur le blog de l’entreprise de vouloir encrypter la totalité de sa plate-forme. Sauf que la NSA et son cousin britannique, le Government Communications Headquarters, ont chacun développé un programme capable de casser les systèmes de chiffrement utilisés par les géants du net. L’existence de l’américain Bullrun et de l’anglais Edgehill a été révélée en septembre 2013 par le Guardian, le New York Times et ProPublica, sur la base de documents fournis par Edward Snowden.

Edgehill aurait permis à l’agence de renseignement du Royaume-Uni de réaliser d’importants progrès à partir de 2010. D’après une note diffusée auprès des salariés de l’institution : "De vastes quantités de données cryptées, qui avaient dû jusqu’ici être mises de côté, sont désormais exploitables." Les deux Etats ont pu mettre la main sur des data très riches : mails, requêtes sur les moteurs de recherche ou encore données bancaires...

Lélia de Matharel

Réagir

* Les commentaires postés sur L’Usine Digitale font l’objet d’une modération par l’équipe éditoriale.

 
media
Suivez-nous Suivre l'Usine Digitale sur twitter Suivre l'Usine Digitale sur facebook Suivre l'Usine Digitale sur Linked In RSS Usine Digitale