Devons-nous arrêter de considérer les e-mails comme un moyen de communication sûr ?
Alors qu’il travaillait encore pour le gouvernement finlandais en tant que spécialiste en cyber sécurité, Erka Koivunen a rencontré un diplomate de l’OTAN, qui expliquait qu’il n’y avait « rien de nouveau » à ce sujet : les responsables politiques internationaux savent depuis longtemps que les communications privées peuvent fuiter, et être exploitées par des pays rivaux.
« Tout ce qui a un jour été écrit peut être un jour exposé », explique Erka Koivunen, désormais Cyber Security Advisor chez F-Secure. « Les conversations les plus sensibles ne devraient jamais être écrites. »
Des quantités considérables d’e-mails professionnels sensibles ont déjà fuité : le piratage de Sony est un bon exemple. Le problème se pose également en politique, aux États-Unis. Le moment est-il venu de considérer tout e-mail comme potentiellement public ?
Chacun doit-il désormais vivre comme un diplomate de l’ONU ? Comme un cadre dirigeant cité dans une affaire judiciaire ? Comme le président de campagne d’un candidat à la présidentielle ?
La réponse, malheureusement, semble plutôt claire.
« Peu importe ce que vous direz, vous aurez peut-être besoin un jour de défendre cette position en public », explique Erka Koivunen.
Nous comptons sur un moyen de communication qui n’est pas fiable
Les e-mails posent problème en tant que moyen de communication. Pour Erka Koivunen, c’est un peu comme envoyer une carte postale dans une enveloppe scellée.
« Dès qu’un message quitte votre système ou celui de votre entreprise, vous perdez le contrôle », nous rappelle-t-il. « C’est tout le problème avec les e-mails. Ils peuvent être lus, altérés, retardés, transférés ou supprimés sans que vous n’en sachiez rien. »
Pour espionner les e-mails alors qu’ils sont en transfert, il est nécessaire d’avoir un accès légal aux infrastructures de télécommunications ou, à défaut, des connaissances techniques extraordinaires, assorties de ressources importantes… Pensons notamment aux agences gouvernementales, aux services de renseignements.
Ces groupes ont bien entendu intérêt à dissimuler leurs activités. Ils n’ont donc aucun intérêt à ce que des gigabytes de données privées fuitent massivement comme avec Wikileaks
Toutefois, il semblerait que l’ère des « gentleman’s agreements » entre gouvernements, touche à sa fin. C’est en tout cas la thèse que défend l’experte en cyber politique Mara Tam, dans un récent épisode de Risky.Biz. Jusque-là, ces accords se résumaient à : « Les gentlemen lisent les e-mails les uns des autres mais ne les divulguent pas au grand public. »
Les révélations de l’ancien collaborateur de la CIA Edward Snowden ont permis au public de se rendre compte de toutes les informations auxquelles les gouvernements avaient accès. Mais, avec ce nouveau paradigme, la divulgation des communications privées représente un nouveau danger pour tout individu échangeant sur internet des données confidentielles, notamment professionnelles.
« Les boîtes mails abritent des gigabytes d’historique de conversations : un vrai trésor pour les pirates, et ce, pour de nombreuses raisons », indique Erka Koivunen. « En entreprise, ces conversations e-mails concernent la stratégie commerciale, les clients, les concurrents ou les produits. On peut aussi y trouver des commentaires, des ragots, et d’autres propos potentiellement préjudiciables. »
L’activiste Naomi Klein a expliqué à The Intercept que « ce type de fuite est précisément ce dont Snowden tentait de nous protéger. » Et nous n’avons pas idée de tous les moyens par lesquels cette masse de données peut être utilisée contre nous.
Un concurrent pourrait parfaitement publier des informations privées pour ternir votre réputation. Des hackers pourraient corrompre les données d’une potentielle victime pour préparer une intrusion ou accéder à divers comptes privés via la réinitialisation des mots de passe.
Laisser au public décider ce qui est privé
Des fuites de données ont déjà coûté leur poste à de grands dirigeants. Plus largement, nous sommes tous victimes de ce nouveau paradigme.
« Peu importe ce que vous écrivez dans un e-mail, il vous faut anticiper : seriez-vous prêt à ce que votre patron, votre conjoint(e) ou vos collaborateurs prennent connaissance de ces propos ? », demande Erka Koivunen.
Cette nouvelle réalité débouche inévitablement sur la tragédie de l’autocensure.
Zeynep Tufekci, « techno-sociologue », a commenté les révélations de Wikileaks et avoue être très déstabilisée par ce à quoi elle a été confrontée.
« Les ragots qui peuvent être échangés en interne n’ont rien d’un scandale…mais détruire les frontières public-privé feront taire les dissidents, pas les plus puissants », a-t-elle twitté.
L’organisation Wikileaks avait en sa possession bien plus d’informations que ce qu’elle pouvait analyser : elle a donc publié cet amas de données dans l’espoir que les plus utiles seraient analysées par les chercheurs du monde entier. Malheureusement, avec ces données potentiellement pertinentes, ont été révélées de nombreuses informations relatives à la vie privée.
« Par exemple, une tentative de suicide a été rendue publique suite aux révélations massives liées à Podesta (twittées par Wikileaks) », rappelle-t-elle. « Dans un tel contexte, qui voudra devenir politicien ? »
Le problème ne vient peut-être pas d’un défaut dans le moyen de communication : il vient sans doute du moyen de communication lui-même.
« L’ennui avec les e-mails, c’est qu’ils n’ont jamais été associé à un type d’interaction spécifique », écrit Farhad Manjoo dans The New York Times. « Un e-mail peut être aussi formel qu’une lettre officielle, ou au contraire être d’une vulgarité exemplaire. Tout cela invite à la confusion. »
Que faire, alors ?
Comme un diplomate de l’OTAN, êtes-vous contraints de ne jamais divulguer vos plus grands secrets via e-mails ? De faire disparaître toute pensée sarcastique et potentiellement offensante de vos courriers électroniques ? Devez-vous envisager votre boîte mails comme une carton rempli de lettres dans votre grenier, à la portée des cambrioleurs et des invités trop curieux ?
Tout cela dépend de vous et de votre usage des e-mails.
Sean Sullivan, Security Advisor chez F-Secure, s’est rendu compte, à travers plusieurs entretiens qu’il a menés, que les jeunes abandonnaient progressivement les e-mails comme moyen de communication. « Généralement, ils ont un compte Gmail pour créer des comptes sur les différents sites web », indique-t-il.
Si cela continue, ce sera bientôt la fin des e-mails, privés ou pas.
Pour l’heure, les avocats, docteurs et autres professionnels sont soumis à certaines obligations légales explicites et les e-mails ont, pour eux, un usage très réglementé. Si vous êtes dans ce cas, n’hésitez pas à consulter l’équipe informatique de votre entreprise ou des spécialistes afin de savoir à quelles obligations vous êtes soumis(e) concernant la préservation de vos données.
Concernant les e-mails personnels, Erka Koivunen vous suggère d’évaluer dans quelle mesure vous êtes susceptible d’être victime d’une attaque ciblée. Vous pourrez ainsi réfléchir à ce qu’il vous est possible de faire pour éviter tout dégât potentiel. Bien avant cela, il convient bien sûr d’avoir un mot de passe unique et robuste pour chaque compte e-mail et d’entrer vos identifiants uniquement sur la page sécurisée de votre fournisseur d’adresse mail.
Si vous êtes un responsable politique international, par exemple, la question ne se pose pas. Vous êtes une cible. Des hackers essaieront sans doute d’avoir accès à vos e-mails, ou bien d’obtenir les contacts de vos collaborateurs les plus puissants.
Si vous n’avez aucune influence, aucune relation tumultueuse et aucun intérêt en politique… vous n’êtes sans doute pas dans le radar des hackers… pour le moment.
Personne ne sait où vous serez dans quelques années, ni si nos boîtes mails ont assez de capacité pour durer toute une vie.
« Lorsque vous utilisez une boîte mail basée sur le cloud, comme Gmail, vous n’aurez jamais besoin de créer de l’espace libre. Ces boîtes ne suppriment jamais rien. »
Si vous craignez de potentiels dégâts en cas de fuite de données, faîtes le ménage dans vos boîtes mails en ligne, qu’il s’agisse des e-mails ou des réseaux sociaux.
« Vous voudrez peut-être supprimer les messages dont vous n’avez pas besoin et sauvegarder les autres dans des fichiers hors-ligne, sur un disque dur sécurisé », suggère Erka Koivunen. « Oui, vous perdrez cette facilité qu’est la recherche simple à partir de votre boîte Gmail, mais vous compliquerez aussi la tâche aux potentiels hackers. »
Erka Koivunen vous recommande également de partager vos documents à travers des plateformes et services cloud comme Sharepoint, Salesforce ou Dropbox.
« Ces liens peuvent requérir pour leur ouverture une authentification indépendante et l’envoyeur peut contrôler combien de temps le lien en question sera valide », nous explique Erka. « Si les e-mails sont volés ou fuitent des années plus tard, il est probable que les liens soient morts. »
Pour de courts échanges, Sean suggère l’utilisation de Wickr, qui permet d’envoyer des messages destinés à s’autodétruire, à travers une appli mobile ou un client informatique avec chiffrement facile. Ce type de service n’existe généralement pas pour les e-mails.
« Pour les professionnels, Wickr propose un service payant qui préservera les messages durant la durée légale nécessaire, puis les supprimera ensuite en toute sécurité », dit-il.
De manière générale, cadres et salariés devraient moins se fier à leur boîte mails… et pas seulement pour des raisons de sécurité. « Les conversations téléphoniques et les discussions en face à face sont souvent plus utiles que l’e-mail ou le chat », poursuit Sean Sullivan. « Plutôt que d’échanger un moyen de communication contre un autre, mieux vaut apprendre à mieux les utiliser. »
Ces fuites de données nous rappellent que les e-mails ne sont pas sûrs… et que, de manière générale, ce moyen de communication n’a jamais été très performant.
Catégories