Vous êtes ici
Le chiffrement des messageries passé au crible des sciences sociales
En cette période d’épidémie et de confinement, WhatsApp permet à bon nombre d'entre nous de rester en contact avec ses proches tout comme divers autres systèmes de messagerie sécurisée ou chiffrée, à l'image de Signal, Telegram ou Wire. Malgré les critiques du lanceur d'alerte Edward Snowden à son égard, WhatsApp reste la plateforme la plus utilisée au monde avec plus de 2 milliards d’utilisateurs. Celui qui révéla la surveillance mondiale d'Internet à laquelle se livrait la NSA estime en effet que le chiffrement de bout en boutFermer Système de communication crypté où seuls les participants à une même discussion peuvent lire les messages échangés. intégré à l'application depuis 2016 n’est pas un gage de confidentialité suffisant.
Mais comment ceux qui communiquent via ces messageries appréhendent-ils les risques que cela leur fait courir ? Pour tenter d'y répondre, deux chercheuses du Centre Internet et Société (CIS) du CNRS se sont entretenues avec près d'une centaine d’utilisateurs aux profils très différents : militante pour les droits de l'homme iranienne, journaliste ukrainien se rendant régulièrement en Crimée, formateur en sécurité informatique russe, responsable d'association écologiste allemand, organisateur d'un festival autrichien dédié à la promotion de l'Internet libre, etc.
Compromis entre sécurité et convivialité
« Notre enquête s'est rapidement focalisée sur l'usage que ces personnes font des outils de communication chiffrés et sécurisés afin d'analyser leur impact sur les libertés numériques et le droit à la vie privée », précise Ksenia Ermoshina, sociologue des techniques de l'information au CIS et co-auteure de cette étude1. Les témoignages recueillis au fil de l'enquête de terrain montrent tout d'abord que les citoyens issus de pays à faible risque, comme la France, sont surtout préoccupés par des questions relevant du respect de la vie privée. Les personnes évoluant dans un environnement à haut risque, notamment en Russie ou certains pays du Moyen-Orient, privilégient plus souvent qu'on ne pourrait le penser des solutions techniques faciles à installer et à utiliser, sans forcément prendre en considération le niveau de protection de l'application.
Parce qu’ils sont amenés à échanger des informations dans l'urgence ou en situation de stress, certains de ces utilisateurs estiment en effet que des applications comme Gmail ou WhatsApp constituent le meilleur compromis entre sécurité et convivialité. « Les critiques à l'égard des géants du Web, les fameux Gafam2, se rencontrent essentiellement parmi les utilisateurs occidentaux hautement qualifiés qui vont jusqu'à développer de complexes boîtes à outils numériques pour renforcer la confidentialité de leurs communications vis-à-vis de cette menace potentielle », constate Ksenia Ermoshina.
Développer un modèle de menace
L'ensemble des personnes interrogées tout au long de l'enquête partagent en revanche l'idée que les technologies de chiffrement qu'elles emploient ne suffisent pas à leur garantir une confidentialité absolue. Pour compenser d'éventuelles défaillances, une mosaïque de techniques de sécurité est alors mise en œuvre. Ces stratégies que leurs utilisateurs réinventent en permanence s'apparentent à un savant mélange d’ingénierie sociale, de méthodes de camouflage et de systèmes de protection plus ou moins sophistiqués. « Pour envoyer un message potentiellement compromettant, un militant russe nous a expliqué qu'il commence par le découper en plusieurs morceaux, chacun de ces bouts de message étant ensuite transmis à leur destinataire par le biais d'une application sécurisée différente », illustre Ksenia Ermoshina.
Dans le cadre de leurs investigations, les chercheuses du CIS ont également pu assister à plusieurs sessions de formation en sécurité numérique organisées en Ukraine et en Russie. Alors que les guides de bonnes pratiques en la matière se sont longtemps concentrés sur la maîtrise des outils capables de préserver la confidentialité de leurs utilisateurs, les formateurs insistent désormais sur la nécessité de contextualiser le risque en encourageant les participants à développer leur propre modèle de menace. « L'objectif n'est donc plus tant de se familiariser avec le système de communication le plus sécurisé possible que de parvenir à identifier le ou les adversaires dont on cherche à se protéger à un instant donné afin d'adapter l'arsenal de protection au degré de menace », explique Francesca Musiani, directrice-adjointe du CIS, spécialiste de la gouvernance de l'internet et co-auteure de ce travail de recherche.
Vers une redéfinition de la notion de risque
Dans la pratique, un individu à faible risque de menace comptant au moins un utilisateur à haut risque parmi ses relations adoptera un niveau de protection plus élevé allant parfois jusqu'à installer un outil de communication spécifique pour dialoguer avec ce contact. En outre, la manière d'échanger des informations ou des données dépend fortement du contexte sociopolitique. Dans certaines situations, une personne se considérant elle-même comme à faible risque décidera de façon spontanée de chiffrer ses communications afin de protéger les utilisateurs à fort risque de menace avec lesquels elle pourra être amenée à échanger. « En remettant en cause l’existence d'une frontière nette entre individus à haut risque et individus à faible risque, nos travaux invitent à redéfinir cette notion de risque selon une approche à la fois relationnelle et contextuelle, dans la perspective d'améliorer la protection de l'ensemble des citoyens à l'égard d'adversaires toujours plus difficiles à identifier », conclut Francesca Musiani. ♦
- 1. Cette étude a été réalisée dans le cadre du projet de recherche européen NEXTLEAP (Next-Generation Techno-social and Legal Encryption) qui a étudié de 2016 à 2018 les technologies améliorant la confidentialité. Elle est librement accessible (en anglais) à l'adresse suivante: https://halshs.archives-ouvertes.fr/halshs-02320706/document. Ce travail a également été finaliste du Prix CNIL-Inria 2019 pour la protection de la vie privée (https://www.cnil.fr/en/inria-and-cnil-award-2019-privacy-protection-priz...).
- 2. Acronyme formé par la lettre initiale des cinq géants américains du numérique, à savoir Google, Apple, Facebook, Amazon et Microsoft.
Voir aussi
Auteur
Grégory Fléchet est né à Saint-Étienne en 1979. Après des études de biologie suivies d’un master de journalisme scientifique, il s’intéresse plus particulièrement aux questions d’écologie, d’environnement et de santé.