Entretien avec LEAP, un projet d’accès chiffré à internet.



On démêle l’internet, les grandes entreprises du web qui vivent de l’exploitation de nos données. Comment peut-on surfer sans tout leur donner ? On en parle avec les gens de LEAP qui nous expliquent comment fonctionne leur projet, en expliquant le chiffrement, le serveur, le VPN, le Riseup VPN, en réfléchissant à qui on fait confiance et pourquoi.

On se retrouve avec une personne de LEAP, un projet qui développe et diffuse des outils pour protéger nos données quand on surfe sur internet. On se demande pourquoi il faut les protéger et de qui ? Et on se demande c’est quoi tous ces mots sortis de films comme Matrix.

Qu’est-ce que c’est LEAP ?
LEAP signifie « LEAP Encryption Access Project », c’est un projet qui développe des logiciels à la fois du côté serveur et du côté utilisateurices (les logiciels pour ordinateur et ordiphone sont disponibles pour GNU/Linux, macOS, Microsoft Windows et Android). RiseupVPN utilise les logiciels de LEAP.

LEAP promeut le droit de chuchoter, c’est à dire de communiquer sur internet à l’abri des oreilles indiscrètes. Aujourd’hui on dit que tout le monde peut communiquer avec Facebook, Whatsapp,... et bien c’est vrai que beaucoup peuvent utiliser ces services sans les payer directement, mais les entreprises qui les proposent vivent de l’exploitation des données personnelles qu’elles récupèrent au passage. Ce sont des entreprises privées capitalistes de grande taille qui sont aussi très inclines à travailler avec les États et à leur fournir les moyens d’accéder facilement à ces données.
LEAP veut qu’il soit possible d’y échapper et utilise dans ce but le chiffrement.

Qu’est-ce que c’est le chiffrement ?
Le chiffrement c’est le fait que les données, ici transmises sur internet ou enregistrées sur un téléphone ou un ordinateur, ne sont pas directement compréhensibles. Pour y avoir accès il faut avoir une espèce de clé. Souvent cette clé est elle-même protégée par un mot de passe.
Le chiffrement permet que le contenu d’un mail, par exemple, soit complètement incompréhensible pour une personne qui l’aurait intercepté et qui n’aurait pas la clé (et/ou le mot de passe qui la protège).
Cette technique existe depuis longtemps, les armées romaines en utilisaient des variantes et au passage beaucoup des techniques de chiffrement viennent de recherches financées pour les militaires. Elles sont parfois considérées comme des outils de guerre, et les États tentent de les contrôler ou voudraient carrément les interdire.

JPEG - 99.2 ko

Quel est l’intérêt de chiffrer les données et ce qu’on fait sur internet ?
Ça permet d’un côté que nos mots ne soient compréhensibles que pour les personnes à qui nous les destinons et d’un autre que l’on puisse naviguer sur internet sans que des tiers sachent ce qu’on y fait.
LEAP fournit des moyens pour ça en s’appuyant sur deux éléments : d’une part sur les techniques de chiffrement, et d’autre part sur la confiance. Cette confiance est plus facile à réutiliser qu’à créer, c’est pourquoi LEAP fait en sorte non seulement que ce soit facile pour les personnes d’installer des logiciels de chiffrement sur leurs ordinateurs et ordiphones (autre nom pour les smartphones), mais aussi que ce soit facile pour les membres d’une communauté de déployer ses propres services de chiffrement, en limitant le niveau de connaissance et de disponibilité techniques requis.

JPEG - 16.2 ko

De coup LEAP facilite le travail pour que les communautés puissent mettre en place des outils de chiffrement plus accessibles ?
C’est l’objectif, mais ce n’est pas gagné. Il vient du constat que sur internet il y une tendance à la centralisation, à la concentration de gens qui fournissent des services. C’est évident avec Gmail qui fournit une grande partie des adresses mail, mais c’est vrai aussi pour les fournisseurs de services internet militants, comme par exemple Riseup. LEAP a comme objectif que plus de groupes puissent s’occuper de ses propres services, comme par exemple de son VPN.

Et alors, que signifie VPN ?
VPN signifie en anglais « Virtual Private Network . Rarement utilisé, l’équivalent français est Réseau Privé Virtuel – RPV – mais le sens initial du sigle n’est pas très utile ici.
L’objectif du VPN pour LEAP est de cacher à un site web l’origine d’une visite en passant par un intermédiaire : le serveur VPN. Cet intermédiaire apparaîtra pour le site web comme étant l’origine de la visite. Le VPN protège également du fournisseur d’accès à internet (Free, Orange en france, mais aussi "le compagnon jaloux", le wifi des voisin-es, le responsable informatique du travail) qui sinon a en général la possibilité de voir ce qu’on fait de son abonnement internet, et de l’exploiter si il le souhaite ou si les autorités le lui demandent.
Le navigateur TorBrowser nous protège encore mieux lorsqu’on navigue le web mais pas le reste des connexions de son ordinateur ou ordiphone. Il peut être utilisé en plus d’un VPN, même si pour le projet Tails la combinaison des deux affaiblit l’efficacité de TorBrowser.

Quelles sont les entreprises qui enregistrent ce genre de données ?
Les fournisseurs d’accès internet sont en général d’énormes entreprises qui ont l’obligation de conserver certaines données et d’exiger à la souscription à un service l’état civil de la personne, souvent en demandant sa carte identité, un compte bancaire... Ce qui leur permet ensuite de répondre à des requêtes des autorités telles que « Qui a souscrit l’abonnement internet qui a été utilisé pour visiter tel site tel jour ? » Le fournisseur d’accès à internet qui a la réponse donnera cette information. Ces grosses entreprises ne vont jamais se mettre en difficulté vis-à-vis de l’État en refusant de lui répondre, quelle que soit la raison de la requête. En utilisant un VPN, les fournisseurs d’accès à internet ne recevront le plus souvent plus ces requêtes. C’est aussi utile en partie contre le ciblage publicitaire, puisqu’il devient par exemple plus difficile aux sites visités de savoir d’où on se connecte.

GIF - 5 ko

Tu as dit avant que LEAP facilite les outils pour rendre possible la mise en place de notre propre service de VPN, comment c’est possible ?
LEAP fournit de quoi fournir un service de VPN et de quoi l’utiliser. Pour fournir le service, il faut avoir un serveur, ou quelque chose qui sert de serveur, et d’autres choses qui sont expliquées sur le site de LEAP... ou plutôt qui le seront parce que nous changeons en ce moment la manière de déployer le service.

Pourquoi utiliser un ordinateur spécialisé pour le serveur ?
On peut comparer les différents types d’ordinateurs avec les différents types de bâtiments : il y a des entrepôts, des granges et des maisons. On peut imaginer habiter dans une grange mais ce n’est pas le plus pratique. On fait des bâtiments en fonction de l’utilisation prévue. Un ordi portable c’est fait pour être transporté et utilisé par une seule personne, un serveur c’est fait pour y accéder à distance et être utilisé par plein de personnes. Bien sûr, chacun-e est libre de détourner les ordinateurs et les bâtiments de l’usage prévu au départ. Les tanneries, par exemple.

JPEG - 49.5 ko

Il y a déjà beaucoup de fournisseurs VPN, pourquoi vouloir en créer de nouveaux ?
Des fournisseurs de VPN, il y en a vraiment plein. C’est un business qui peut rapporter beaucoup. Lorsqu’on veut choisir le sien il faut le faire avec soin. En effet le fournisseur de VPN sait d’où tu te connectes et ce que tu fais de ta connexion (sauf si tu utilises un autre système de protection, par exemple en naviguant sur le web avec le Tor browser). Il se retrouve en fait dans la même position que le fournisseur d’internet quand on n’utilise pas de VPN. Il faut donc que ce soit un intermédiaire de confiance, au moins plus de confiance que son fournisseur d’accès internet de base. Malheureusement, beaucoup de fournisseurs de VPN ne le sont pas. La moitié des applications VPN les plus populaires pour Android sont liées à la Chine qui par ailleurs en interdit l’usage individuel. C’est une situation cruelle mais classique où pour se protéger d’une surveillance on se met à la merci d’une autre.
Le projet LEAP propose d’échapper à ça en rendant la mise en place de services VPN plus sûre par défaut, notamment en ne conservant pas les données de connexion, en ne demandant pas d’inscription (mais en rappelant que le service coûte de l’argent pour riseupvpn), et plus simple. Cette « simplicitié » doit éviter d’avoir à connaître de fond en comble les VPNs pour en mettre en place et les maintenir. Si plein de fournisseurs de VPN de confiance se créaient, ca résoudrait aussi le problème de la concentration chez Riseup.

PNG - 219.5 ko

Tu as parlé plusieurs fois de confiance, pourquoi ? À qui on donne cette confiance ?
C’est en général utile de regarder quelles sont les ressources et les objectifs des personnes et organisations dont on utilise les services. Si elles ont l’unique objectif de faire de l’argent, le jour où il faudra choisir entre être loyales à leurs utilisateurices ou favoriser leur capacité d’en gagner, elles vont choisir la seconde option. Il faut regarder aussi ce qu’elles défendent politiquement.
Par exemple Riseup depuis la fin des années 1999 assume une position anticapitaliste, des idées anarchistes et fournit tous ses services de manière ouverte, libre et gratuite (mais a besoin de nos dons). Ça fait 20 ans que leurs services fonctionnent, que de nouveaux services sont mis en place régulièrement, qu’illes communiquent sur ce qu’illes font et leur vision du monde. Tous ces signes de fiabilité technique et politique donnent confiance. Dommage qu’illes soient surtout basé-es aux amériques, ça rend difficile les rencontres. En europe, il y a Autistici/Inventati, Systemli, dans l’hexagone, il y a Globenet qui fournit no-log, mais aussi la FFDN qui fournit des accès internet et du VPN, des mails, et le réseau des CHATONS, Framasoft, etc. Dans chaque cas, il faut évaluer la confiance qu’on veut leur donner, techniquement et politiquement, quels risques on peut leur et nous faire prendre. Le plus simple pour construire la confiance c’est de rencontrer les gens, mais dans certains cas précis, il vaut mieux s’appuyer sur un service situé à l’autre bout de la planète et fourni par des personnes qu’on ne connaît pas du tout.

JPEG - 94.8 ko

Des fois, j’entends dire qu’il faut utiliser tel ou tel truc pour se sécuriser, mais je crois que c’est plutôt la façon dont on utilise les outils qui est importante...
Oui, la sécurité informatique n’est pas binaire, et c’est pas possible de tout rendre totalement sûr. Mais on peut ajouter des éléments de protections des données, des communications, de façon à ce que ce soit plus coûteux pour ses adversaire, pour leur rendre la surveillance plus difficile.
C’est aussi important, et ça doit être décidé individuellement et collectivement, de reconnaître le moment où rajouter des outils ou des méthodes de sécurisation va nous empêcher de faire des choses et au final jouer contre nous. C’est comme le barricadage d’une maison : il nous protège lorsqu’on est à l’intérieur, mais si nous sommes pourchassé-es dans la rue nous ne pourrons pas rentrer rapidement pour en profiter.

J’avais entendu une fois que si plusieurs personnes utilisent un outil de protection, ça embrouille la surveillance, c’est plus difficile de différencier qui fait quoi. Donc c’est bien d’utiliser ces outils par solidarité pour les gens qui ont des trucs à cacher, pour rendre le déchiffrement plus compliqué, et de ne pas le faire uniquement quand on a des trucs à cacher.
Si tout un groupe est habillé de la même couleur, ça rend plus difficile l’identification d’individus. Ce n’est pas un hasard si le fait d’arriver habillé-e en noir en manifestation est dissuadé. Le principe est valable pour les outils de protection informatique : les utiliser en permanence rend la surveillance de tout le monde plus difficile. Le risque existe d’être repéré-e comme « une personne qui veut se protéger ». Mais aujourd’hui, je pense qu’à part pour des personnes dans des situations très particulières, entre ça et laisser une large visibilité sur ses activités, et peut-être se demander à chaque fois qu’on ouvre son navigateur si c’est risqué d’aller trop souvent sur des sites d’information rebelle, le choix peut être fait en faveur de RiseupVPN et de TorBrowser. Et bien sûr, tout ce que je dis ici ne remplacera jamais les explications individuelles que vous pourrez avoir en participant aux ateliers d’autodéfense numérique proposés près de chez vous :)

JPEG - 257.9 ko


Proposer un complément d'info

modération a priori

Ce forum est modéré a priori : votre contribution n’apparaîtra qu’après avoir été validée par un administrateur du site.

Qui êtes-vous ?
Se connecter
Votre message

Pour créer des paragraphes, laissez simplement des lignes vides.

Lien hypertexte

(Si votre message se réfère à un article publié sur le Web, ou à une page fournissant plus d’informations, vous pouvez indiquer ci-après le titre de la page et son adresse.)

Ajouter un document

Articles de la même thématique : Sécurité informatique

Articles de la même thématique : Surveillance informatique

Notation algorithmique : l’Assurance Maladie surveille les plus pauvres et harcèle les mères précaires

Depuis 2021, nous documentons via notre campagne France Contrôle les algorithmes de contrôle social utilisés au sein de nos administrations sociales. Dans ce cadre, nous avons en particulier analysé le recours aux algorithmes de notation. Après avoir révélé que l’algorithme utilisé par la CAF visait tout particulièrement les plus précaires, nous démontrons, via la publication de son code1, que l’Assurance Maladie utilise un algorithme similaire ciblant directement les femmes en situation de précarité.

VSA et Jeux Olympiques : Coup d’envoi pour les entreprises de surveillance

Après des mois d’attente, les entreprises chargées de mettre en place la vidéosurveillance algorithmique dans le cadre de la loi Jeux Olympiques ont été désignées. Sans grande surprise, il s’agit de sociétés s’étant insérées depuis plusieurs années dans le marché de cette technologie ou entretenant de bonnes relations avec l’État. Les « expérimentations » vont donc commencer très prochainement. Nous les attendons au tournant.