S'il est une technologie qui protège le mieux les internautes contre les arnaqueurs, les pirates et les acteurs de la surveillance d’État, c'est bien le chiffrement. Heureusement, le Web subit actuellement une transformation massive : il passe du HTTP non sécurisé, protocole sous-jacent de toutes les communications Internet, au HTTPS, un protocole qui assure la sécurité des communications entre les navigateurs et les sites Web grâce au chiffrement. Peu d'organisations ont été aussi actives que l'Electronic Frontier Foundation (EFF) pour faire adopter les technologies de chiffrement par les innombrables sites Web d'Internet. « Il y a dix ans, il n'y avait pratiquement pas de cryptage sur le Web », a rappelé Jeremy Gillula, directeur des projets techniques de l'EFF, lors du Shmoocon qui s’est tenu du 18 au 20 janvier dernier à Washington DC.
Quand la surveillance d'Internet stimule les efforts de chiffrement
En 2006, un évènement inattendu a incité l’EFF à placer le chiffrement au premier rang de ses priorités. Le 26 janvier de cette même année, Mark Klein, ancien technicien d'AT&T, s’est présenté de son plein gré dans les bureaux de l'EFF pour raconter l'incroyable histoire de la NSA, révélant l’existence d’une salle d'espionnage secrète dans les installations d'AT&T à San Francisco depuis laquelle l’agence américaine avait accès à tout le trafic Internet passant par ces installations, et sans doute beaucoup plus. Cette surveillance de masse a été possible parce que la NSA pouvait accéder à du contenu en texte clair. Selon l'EFF, « le fait que la NSA ait la possibilité de collecter du texte en clair est un problème technologique », comme l’a déclaré Jeremy Gillula. C’est suite à ces révélations que l’EFF a décidé de s’associer au projet de navigateur Tor axé sur la protection de la vie privée. En 2011, l’EFF lançait l’extension « HTTPS Everywhere » qui permettait de crypter le trafic web dans les navigateurs Internet. À l’époque de ce lancement de « HTTPS Everywhere », seuls 1 000 sites Web utilisaient le protocole sécurisé. Le HTTPS chiffre les communications à l'aide de Transport Layer Security (TLS) pour authentifier le site et protéger la confidentialité et l'intégrité des données en transit. Selon le chercheur en sécurité Scott Helme, « en août 2018, plus de 50 % du million de sites Web les plus importants répertoriés par Alexa étaient activement redirigés vers le HTTPS ». Entre temps, la plupart des navigateurs avaient incorporé le HTTPS par défaut.
Un autre évènement surprenant a incité l'EFF à accélérer ses travaux sur le chiffrement. En 2013, Edward Snowden a fait savoir au monde entier que la NSA surveillait tout ce que faisaient les utilisateurs en ligne. « Nous avons décidé d'évaluer les entreprises en fonction de leur performance en matière de chiffrement », a déclaré Jeremy Gillula, dans un rapport intitulé « Encrypting the Web Report ». Ce dernier évalue les meilleures entreprises Internet sur la base d’un tableau de bord répertoriant les caractéristiques techniques qui offrent un bon niveau de chiffrement. La dénonciation publique a fonctionné. « Après la révélation de ces pratiques au grand jour, plusieurs entreprises ont travaillé dur pour obtenir les meilleurs scores à tous les niveaux de notre évaluation ». Pourtant, même après ces efforts, un très grand nombre de sites Web n’était toujours pas chiffré. Il a fallu attendre 2015 pour constater une adoption plus générale du TLS. À l’époque, même la page de connexion de Google n'était pas cryptée. « Si Google n'y arrive pas, comment pouvons-nous espérer que l’utilisateur moyen sache comment faire ? », se demandait alors Jeremy Gillula. La mise en place démarrée trois ans plus tôt était fastidieuse, difficile et coûteuse. Les petits sites Web devaient payer des experts externes et acheter des certificats qui coutaient cher. Si bien que, en collaboration avec l'Université du Michigan et Mozilla, l’EFF a mis en place une autorité de certification gratuite appelée « Let's Encrypt » pour résoudre ces difficultés et réduire le coût d’adoption du HTTPS. L'objectif de cette initiative (transférée depuis sous la responsabilité de l’organisation à but non lucratif) était de supprimer les freins à la mise en place du TLS et à l'installation de certificats HTTPS en automatisant l'émission des certificats et en les rendant gratuits.
Trois technologies de cryptage
« Je crois qu’avec Let's Encrypt, nous avons bousculé pas mal de gens et de pratiques », a déclaré M. Gillula. « Mais ce n’est pas suffisant. Nous voulons que la protection soit élargie à l'ensemble de l'Internet », a-t-il déclaré. Pour y arriver, l'EFF se concentre sur trois nouvelles technologies destinées à pousser plus loin le cryptage dans l'infrastructure Internet. La première doit permettre de crypter l'identification du nom de serveur (SNI). Le SNI est une extension du protocole TLS. Il permet à plusieurs sites Web chiffrés d'être exécutés sur le même serveur et avec une seule adresse IP. Le SNI indique le nom d'hôte contacté. Mais, il est envoyé en texte clair, ce qui « peut suffire à signaler à quelqu'un que je suis dissident parce que je vais sur un site web dissident », a déclaré M. Gillula. La solution consiste à chiffrer le SNI : le client et le serveur de l'utilisateur peuvent générer une clé de cryptage partagée sur un canal non fiable pour bloquer l'identité du site Web auquel l'utilisateur tente de se connecter. Mais, même avec un SNI chiffré, un attaquant peut toujours voir le nom de domaine non crypté étant donné le système de nom de domaine actuel (DNS). La solution ? Chiffrer le DNS.
Deux propositions circulent pour réaliser le cryptage DNS : DNS over HTTPS (DoH) et DNS over TLS (DoT). Le protocole DNS over HTTPS permet d'effectuer une résolution de DNS à distance via le protocole HTTPS. DNS over TLS est une méthode de chiffrement et d'habillage des requêtes et réponses du système de noms de domaine via le protocole TLS. « Le bon côté du DoH, c'est qu'il est très difficile à censurer », a expliqué Jeremy Gillula. L'inconvénient c'est qu'il rend la surveillance des activités malveillantes plus difficile pour les opérateurs réseau. Le DoT est exactement à l'inverse : il permet aux opérateurs réseau de surveiller facilement les activités malveillantes, mais il est également plus facile à censurer par les régimes autoritaires. « L'EFF n'est pas encore en mesure de dire laquelle de ces deux solutions est la bonne », a ajouté le directeur des projets techniques de l'EFF.
Les courriels restent le maillon faible d'Internet
Le SNI et le DNS chiffrés offrent une plus grande sécurité sur les sites Web, mais qu'en est-il du courrier électronique démodé et chroniquement peu sûr ? « La messagerie électronique est le cafard de l'internet. Même après l’arrivée de technologies plus sûres, la ruche continuera à communiquer par courriel, parce que le courriel ne mourra pas », a plaisanté Jeremy Gillula. La commande de protocole de messagerie STARTTLS signale à un serveur de messagerie que le client de messagerie souhaite transformer une connexion non sécurisée en connexion sécurisée. STARTTLS est sensible à une attaque par rétrogradation (downgrade attack), et il est facile de supprimer les en-têtes d'emails sous le protocole. De nos jours, la plupart des logiciels pour serveur de transmission de courriers électroniques, les Mail Transfer Agent (MTA), ne valident pas les certificats. « Une attaque de type « man in the middle » permet à un pirate de signer son propre certificat et de dire : « Je suis Google et notre connexion est cryptée » », a expliqué M. Gillula. « Et ce n'est pas de la théorie ! Dans certains pays, comme en Tunisie, l'en-tête STARTTLS est supprimé dans 96 % des courriels », a-t-il ajouté.
La solution à ce problème est d’instaurer un SMTP MTA-STS (Mail Transfer Agent Strict Transport Security), qui permet aux noms de domaine d'opter pour un mode TLS strict qui requiert l'authentification des certificats publics valides et intègre un cryptage. La mise en œuvre pratique de ce protocole relativement nouveau nécessite de nombreuses étapes. Il faut notamment s'assurer que les serveurs de messagerie prennent en charge le STARTTLS, utiliser des certbots pour s'assurer que les serveurs de messagerie peuvent obtenir des certificats, faciliter la réception par les administrateurs système des rapports de défaillance et faciliter la publication par les administrateurs système des directives et des politiques DNS MTA-STS. Pour résoudre ce dernier problème, l’EFF a lancé « STARTTLS Everywhere » afin de permettre aux administrateurs des serveurs de messagerie de générer facilement et automatiquement une directive et un certificat MTS partout où cela est nécessaire.
Un nouveau scoring en préparation
Mais, comment l'EFF va-t-elle atteindre ces nouveaux niveaux de cryptage ? « Nous allons créer d’ici peu un autre tableau de bord, évaluer les efforts de cryptographie et publier des résultats », a déclaré Jeremy Gillula. « Si vous êtes ingénieur en sécurité, vous aurez peut-être envie d’éviter une mauvaise publicité ». La future évaluation pourrait sortir dans un mois ou dans un an. M. Gillula a déclaré à nos confrères de CSO que si le SNI chiffré, le DNS crypté et le MTA-STS sont inclus dans la nouvelle grille de scoring par l'EFF, ils ne représentent qu’une partie des critères d’évaluation. « Nous pourrions inclure d'autres technologies comme TLS 1.3 et le support HSTS et nous n'avons pas encore finalisé la liste. En fait, tout va dépendre de la date de la publication. Les trois critères mentionnés ci-dessus ne seront peut-être pas tous dans la liste, car certains protocoles sont encore très nouveaux ». Au vu des défis technologiques, le projet de chiffrage global d’Internet engagé par l'EFF est ambitieux. « Tout ce travail est pris en charge par huit développeurs ! », a déclaré Jeremy Gillula.
EFF dispose d'un plan de chiffrement pour l'ensemble de l'Internet
Pour lutter contre la cybersurveillance généralisée des données par les Etats, l'Electronic Frontier Foundation (EFF) fait campagne en faveur d'un cryptage global du trafic Internet. Son évaluation du niveau de protection des messageries dites sécurisées actuelles n'est qu'un des leviers de sa campagne. D'autres scorings incitatifs, incluant de nouvelles technologies, sont en cours de préparation.