Entretien avec LEAP, un projet d’accès chiffré à internet.

Publié le 18/04/2020 | Mise à jour le 12/02/2022

On démêle l’internet, les grandes entreprises du web qui vivent de l’exploitation de nos données. Comment peut-on surfer sans tout leur donner ? On en parle avec les gens de LEAP qui nous expliquent comment fonctionne leur projet, en expliquant le chiffrement, le serveur, le VPN, le Riseup VPN, en réfléchissant à qui on fait confiance et pourquoi.

On se retrouve avec une personne de LEAP, un projet qui développe et diffuse des outils pour protéger nos données quand on surfe sur internet. On se demande pourquoi il faut les protéger et de qui ? Et on se demande c’est quoi tous ces mots sortis de films comme Matrix.

Qu’est-ce que c’est LEAP ?
LEAP signifie « LEAP Encryption Access Project », c’est un projet qui développe des logiciels à la fois du côté serveur et du côté utilisateurices (les logiciels pour ordinateur et ordiphone sont disponibles pour GNU/Linux, macOS, Microsoft Windows et Android). RiseupVPN utilise les logiciels de LEAP.

LEAP promeut le droit de chuchoter, c’est à dire de communiquer sur internet à l’abri des oreilles indiscrètes. Aujourd’hui on dit que tout le monde peut communiquer avec Facebook, Whatsapp,... et bien c’est vrai que beaucoup peuvent utiliser ces services sans les payer directement, mais les entreprises qui les proposent vivent de l’exploitation des données personnelles qu’elles récupèrent au passage. Ce sont des entreprises privées capitalistes de grande taille qui sont aussi très inclines à travailler avec les États et à leur fournir les moyens d’accéder facilement à ces données.
LEAP veut qu’il soit possible d’y échapper et utilise dans ce but le chiffrement.

Qu’est-ce que c’est le chiffrement ?
Le chiffrement c’est le fait que les données, ici transmises sur internet ou enregistrées sur un téléphone ou un ordinateur, ne sont pas directement compréhensibles. Pour y avoir accès il faut avoir une espèce de clé. Souvent cette clé est elle-même protégée par un mot de passe.
Le chiffrement permet que le contenu d’un mail, par exemple, soit complètement incompréhensible pour une personne qui l’aurait intercepté et qui n’aurait pas la clé (et/ou le mot de passe qui la protège).
Cette technique existe depuis longtemps, les armées romaines en utilisaient des variantes et au passage beaucoup des techniques de chiffrement viennent de recherches financées pour les militaires. Elles sont parfois considérées comme des outils de guerre, et les États tentent de les contrôler ou voudraient carrément les interdire.

Quel est l’intérêt de chiffrer les données et ce qu’on fait sur internet ?
Ça permet d’un côté que nos mots ne soient compréhensibles que pour les personnes à qui nous les destinons et d’un autre que l’on puisse naviguer sur internet sans que des tiers sachent ce qu’on y fait.
LEAP fournit des moyens pour ça en s’appuyant sur deux éléments : d’une part sur les techniques de chiffrement, et d’autre part sur la confiance. Cette confiance est plus facile à réutiliser qu’à créer, c’est pourquoi LEAP fait en sorte non seulement que ce soit facile pour les personnes d’installer des logiciels de chiffrement sur leurs ordinateurs et ordiphones (autre nom pour les smartphones), mais aussi que ce soit facile pour les membres d’une communauté de déployer ses propres services de chiffrement, en limitant le niveau de connaissance et de disponibilité techniques requis.

De coup LEAP facilite le travail pour que les communautés puissent mettre en place des outils de chiffrement plus accessibles ?
C’est l’objectif, mais ce n’est pas gagné. Il vient du constat que sur internet il y une tendance à la centralisation, à la concentration de gens qui fournissent des services. C’est évident avec Gmail qui fournit une grande partie des adresses mail, mais c’est vrai aussi pour les fournisseurs de services internet militants, comme par exemple Riseup. LEAP a comme objectif que plus de groupes puissent s’occuper de ses propres services, comme par exemple de son VPN.

Et alors, que signifie VPN ?
VPN signifie en anglais « Virtual Private Network . Rarement utilisé, l’équivalent français est Réseau Privé Virtuel – RPV – mais le sens initial du sigle n’est pas très utile ici.
L’objectif du VPN pour LEAP est de cacher à un site web l’origine d’une visite en passant par un intermédiaire : le serveur VPN. Cet intermédiaire apparaîtra pour le site web comme étant l’origine de la visite. Le VPN protège également du fournisseur d’accès à internet (Free, Orange en france, mais aussi "le compagnon jaloux", le wifi des voisin-es, le responsable informatique du travail) qui sinon a en général la possibilité de voir ce qu’on fait de son abonnement internet, et de l’exploiter si il le souhaite ou si les autorités le lui demandent.
Le navigateur TorBrowser nous protège encore mieux lorsqu’on navigue le web mais pas le reste des connexions de son ordinateur ou ordiphone. Il peut être utilisé en plus d’un VPN, même si pour le projet Tails la combinaison des deux affaiblit l’efficacité de TorBrowser.

Quelles sont les entreprises qui enregistrent ce genre de données ?
Les fournisseurs d’accès internet sont en général d’énormes entreprises qui ont l’obligation de conserver certaines données et d’exiger à la souscription à un service l’état civil de la personne, souvent en demandant sa carte identité, un compte bancaire... Ce qui leur permet ensuite de répondre à des requêtes des autorités telles que « Qui a souscrit l’abonnement internet qui a été utilisé pour visiter tel site tel jour ? » Le fournisseur d’accès à internet qui a la réponse donnera cette information. Ces grosses entreprises ne vont jamais se mettre en difficulté vis-à-vis de l’État en refusant de lui répondre, quelle que soit la raison de la requête. En utilisant un VPN, les fournisseurs d’accès à internet ne recevront le plus souvent plus ces requêtes. C’est aussi utile en partie contre le ciblage publicitaire, puisqu’il devient par exemple plus difficile aux sites visités de savoir d’où on se connecte.

Tu as dit avant que LEAP facilite les outils pour rendre possible la mise en place de notre propre service de VPN, comment c’est possible ?
LEAP fournit de quoi fournir un service de VPN et de quoi l’utiliser. Pour fournir le service, il faut avoir un serveur, ou quelque chose qui sert de serveur, et d’autres choses qui sont expliquées sur le site de LEAP... ou plutôt qui le seront parce que nous changeons en ce moment la manière de déployer le service.

Pourquoi utiliser un ordinateur spécialisé pour le serveur ?
On peut comparer les différents types d’ordinateurs avec les différents types de bâtiments : il y a des entrepôts, des granges et des maisons. On peut imaginer habiter dans une grange mais ce n’est pas le plus pratique. On fait des bâtiments en fonction de l’utilisation prévue. Un ordi portable c’est fait pour être transporté et utilisé par une seule personne, un serveur c’est fait pour y accéder à distance et être utilisé par plein de personnes. Bien sûr, chacun-e est libre de détourner les ordinateurs et les bâtiments de l’usage prévu au départ. Les tanneries, par exemple.

Il y a déjà beaucoup de fournisseurs VPN, pourquoi vouloir en créer de nouveaux ?
Des fournisseurs de VPN, il y en a vraiment plein. C’est un business qui peut rapporter beaucoup. Lorsqu’on veut choisir le sien il faut le faire avec soin. En effet le fournisseur de VPN sait d’où tu te connectes et ce que tu fais de ta connexion (sauf si tu utilises un autre système de protection, par exemple en naviguant sur le web avec le Tor browser). Il se retrouve en fait dans la même position que le fournisseur d’internet quand on n’utilise pas de VPN. Il faut donc que ce soit un intermédiaire de confiance, au moins plus de confiance que son fournisseur d’accès internet de base. Malheureusement, beaucoup de fournisseurs de VPN ne le sont pas. La moitié des applications VPN les plus populaires pour Android sont liées à la Chine qui par ailleurs en interdit l’usage individuel. C’est une situation cruelle mais classique où pour se protéger d’une surveillance on se met à la merci d’une autre.
Le projet LEAP propose d’échapper à ça en rendant la mise en place de services VPN plus sûre par défaut, notamment en ne conservant pas les données de connexion, en ne demandant pas d’inscription (mais en rappelant que le service coûte de l’argent pour riseupvpn), et plus simple. Cette « simplicitié » doit éviter d’avoir à connaître de fond en comble les VPNs pour en mettre en place et les maintenir. Si plein de fournisseurs de VPN de confiance se créaient, ca résoudrait aussi le problème de la concentration chez Riseup.

Tu as parlé plusieurs fois de confiance, pourquoi ? À qui on donne cette confiance ?
C’est en général utile de regarder quelles sont les ressources et les objectifs des personnes et organisations dont on utilise les services. Si elles ont l’unique objectif de faire de l’argent, le jour où il faudra choisir entre être loyales à leurs utilisateurices ou favoriser leur capacité d’en gagner, elles vont choisir la seconde option. Il faut regarder aussi ce qu’elles défendent politiquement.
Par exemple Riseup depuis la fin des années 1999 assume une position anticapitaliste, des idées anarchistes et fournit tous ses services de manière ouverte, libre et gratuite (mais a besoin de nos dons). Ça fait 20 ans que leurs services fonctionnent, que de nouveaux services sont mis en place régulièrement, qu’illes communiquent sur ce qu’illes font et leur vision du monde. Tous ces signes de fiabilité technique et politique donnent confiance. Dommage qu’illes soient surtout basé-es aux amériques, ça rend difficile les rencontres. En europe, il y a Autistici/Inventati, Systemli, dans l’hexagone, il y a Globenet qui fournit no-log, mais aussi la FFDN qui fournit des accès internet et du VPN, des mails, et le réseau des CHATONS, Framasoft, etc. Dans chaque cas, il faut évaluer la confiance qu’on veut leur donner, techniquement et politiquement, quels risques on peut leur et nous faire prendre. Le plus simple pour construire la confiance c’est de rencontrer les gens, mais dans certains cas précis, il vaut mieux s’appuyer sur un service situé à l’autre bout de la planète et fourni par des personnes qu’on ne connaît pas du tout.

Des fois, j’entends dire qu’il faut utiliser tel ou tel truc pour se sécuriser, mais je crois que c’est plutôt la façon dont on utilise les outils qui est importante...
Oui, la sécurité informatique n’est pas binaire, et c’est pas possible de tout rendre totalement sûr. Mais on peut ajouter des éléments de protections des données, des communications, de façon à ce que ce soit plus coûteux pour ses adversaire, pour leur rendre la surveillance plus difficile.
C’est aussi important, et ça doit être décidé individuellement et collectivement, de reconnaître le moment où rajouter des outils ou des méthodes de sécurisation va nous empêcher de faire des choses et au final jouer contre nous. C’est comme le barricadage d’une maison : il nous protège lorsqu’on est à l’intérieur, mais si nous sommes pourchassé-es dans la rue nous ne pourrons pas rentrer rapidement pour en profiter.

J’avais entendu une fois que si plusieurs personnes utilisent un outil de protection, ça embrouille la surveillance, c’est plus difficile de différencier qui fait quoi. Donc c’est bien d’utiliser ces outils par solidarité pour les gens qui ont des trucs à cacher, pour rendre le déchiffrement plus compliqué, et de ne pas le faire uniquement quand on a des trucs à cacher.
Si tout un groupe est habillé de la même couleur, ça rend plus difficile l’identification d’individus. Ce n’est pas un hasard si le fait d’arriver habillé-e en noir en manifestation est dissuadé. Le principe est valable pour les outils de protection informatique : les utiliser en permanence rend la surveillance de tout le monde plus difficile. Le risque existe d’être repéré-e comme « une personne qui veut se protéger ». Mais aujourd’hui, je pense qu’à part pour des personnes dans des situations très particulières, entre ça et laisser une large visibilité sur ses activités, et peut-être se demander à chaque fois qu’on ouvre son navigateur si c’est risqué d’aller trop souvent sur des sites d’information rebelle, le choix peut être fait en faveur de RiseupVPN et de TorBrowser. Et bien sûr, tout ce que je dis ici ne remplacera jamais les explications individuelles que vous pourrez avoir en participant aux ateliers d’autodéfense numérique proposés près de chez vous :)

Compléments d'info à l'article

Proposer un complément d'info

modération a priori

Ce forum est modéré a priori : votre contribution n’apparaîtra qu’après avoir été validée par un administrateur du site.

Qui êtes-vous ?

Votre nom Se connecter

Votre adresse email

Je veux recevoir la Newsletter

Votre message

Titre (obligatoire)

Texte de votre message (obligatoire)

Pour créer des paragraphes, laissez simplement des lignes vides.

Lien hypertexte

(Si votre message se réfère à un article publié sur le Web, ou à une page fournissant plus d’informations, vous pouvez indiquer ci-après le titre de la page et son adresse.)

Titre

Lien hypertexte

Ajouter un document

Extensions autorisées : toutes

Articles de la même thématique : Sécurité informatique

La Quadrature du Net - De nouveaux combats pour 2024

Appel à don en soutien à la Quadrature du Net

15/01/2024

Affaire du « 8 décembre » : le droit au chiffrement et à la vie privée en procès

Un article de la Quadrature du Net qui fait le point sur le procès de l’affaire du 8 décembre. L’un des aspects inquiétants de ce procès : la criminalisation de la sécurité numérique. Les audiences se tiennent du 3 au 27 octobre au tribunal de Paris.

03/10/2023

Formation à la défense numérique dans le milieu du militantisme

Formation à la défense numérique dans le milieu du militantisme à Dijon le 10 Juin

22/05/2023

Articles de la même thématique : Surveillance informatique

VSA et Jeux Olympiques : Coup d’envoi pour les entreprises de surveillance

Après des mois d’attente, les entreprises chargées de mettre en place la vidéosurveillance algorithmique dans le cadre de la loi Jeux Olympiques ont été désignées. Sans grande surprise, il s’agit de sociétés s’étant insérées depuis plusieurs années dans le marché de cette technologie ou entretenant de bonnes relations avec l’État. Les « expérimentations » vont donc commencer très prochainement. Nous les attendons au tournant.

21/02/2024

Au dernier salon MILIPOL, déploiement techno-sécuritaire en vue des JO 2024

Du 14 au 17 novembre 2023 s’est tenu comme chaque année le salon MILIPOL, l’événement mondial de la sûreté et de la sécurité intérieure des États. Un compte-rendu (un peu tardif) publié initialement sur le site de Halte au contrôle numérique.

15/02/2024

Révoltes et réseaux sociaux : le retour du coupable idéal

Les révoltes qu’ont connues de nombreuses villes de France en réaction à la mort de Nahel ont entraîné une réponse sécuritaire et autoritaire de l’État. Ces évènements ont également réactivé une vieille antienne : tout cela serait dû au numérique et aux réseaux sociaux. On aimerait railler cette rhétorique ridicule si seulement elle n’avait pas pour origine une manœuvre politique de diversion et pour conséquence l’extension toujours plus dangereuse de la censure et du contrôle de l’information.

10/08/2023

À LA UNE

C'est qui le voleur, monsieur le directeur ? Racket, chantage et intimidation à l'Intermarché des Bourroches

Liquidation totale : départ de Dijon pour aller perturber l'AG de Total à Paris

Livrosaurus Rex - Festival du livre et des cultures libres

Derniers articles

Tuto Scribus : quelques bases pour créer une affiche ou un tract

Scribus, c’est un logiciel de mise en page libre, qui permet de réaliser des affiches, des tracts, des brochures, des magazines ou même des livres ! Tout un tas de choses qui gagnent à être réalisés par le plus grand nombre de personnes pour que les productions reflettent la diversité politique de celles et ceux qui les réalisent !

21/11/2023

Quelques bonnes pratiques des pads

Conseils d’utilisation des pads, outils numériques permettant de travailler collectivement à l’écriture de textes.

16/03/2022

TutoRadio : Se fabriquer une clé TAILS

Une clé TAILS, c’est pas un gadget qu’on voit dans les séries d’espionnage, c’est un outil bien pratique et pas compliqué à utiliser au quotidien qui permet à tout un chacun.e d’aller sur n’importe quel ordinateur sans laisser de traces !

07/02/2021

Guide de survie en protection numérique à l’usage des militant·es

Quelles sont les principales menaces numériques et comment s’en protéger ? Comment fonctionne la surveillance numérique ? Que penser de Signal ? Des mails ? Des smartphones ? Comment gérer ses mots de passes ? Que faire des réseaux sociaux ? Comment utiliser son ordinateur ? Ce guide de survie tente de présenter de manière synthétique des éléments de réponses à toutes ces questions.

03/02/2021

Mise à jour 2021 du TuTORiel Tails

Tails est un système d’exploitation qui tient sur une clef USB fait pour faire de la sécurité informatique et qui regroupe des logiciels pour se protéger un minimum de la surveillance. Une mise à jour vient d’être proposée à une brochure publiée il y a un an pour aider à utiliser cet outil.

27/01/2021

Loi Avia : comment continuer de consulter vos sites préférés en cas de blocage ?

Adoptée en dernière lecture mercredi 13 mai par l’assemblée nationale, la loi Avia obligera bientôt les sites internet à supprimer dans les 24h (1h pour ce qui concerne la pédopornographie et le terrorisme) certains contenus jugés illicites, sous peine de lourdes amendes voire de déréférencement sur les moteurs de recherche. On vous explique comment contourner cette censure qui ne dit pas son nom.

17/05/2020

Qu'est-ce qu'on connaît de Signal ?

Signal est une bonne application de messagerie si on la compare avec des monstres comme Telegram ou Whatsapp qui appartient à Facebook. Comme tout ce qui est bon ou mauvais, il faut savoir comment et quand l’utiliser. On entend dire qu’utiliser Signal est « securisé », mais qu’est-ce que ça veut dire et quel niveau de confiance peut-on lui donner ? [Mise à jour le 21 décembre]

15/12/2019

Utiliser Tails - Petit manuel

Brochure d’un petit tutoriel pour utiliser le système d’exploitation qui tient sur une clef USB - TAILS. Utile pour ce qui touche à la sécurité informatique et relativement simple d’usage.

28/08/2019

Guide de la cybersécurité pour les LGBTQI+

Une étude a été menée auprès de plus de 695 LGBTQ [1] du monde entier à propos de leurs expériences en ligne, lorsqu’ils parlent de leur orientation sexuelle et de leur identité de genre. Les résultats, référencés dans cet article, soulignent les challenges uniques rencontrés par la communauté LGBTQ.

24/06/2019

Flouter et supprimer les informations de vos photos et vidéos avec un smartphone

Un tuto pour dégager les traces laissées derrière soi quand on prend des photos et vidéos avec son smartphone

10/09/2018

Entretien avec LEAP, un projet d’accès chiffré à internet.

Compléments d'info à l'article

Articles de la même thématique : Sécurité informatique

Articles de la même thématique : Surveillance informatique

NEWSLETTER

Chaque semaine, une sélection des derniers articles publiés