Pegasus : les portes dérobées ne seront pas réservées qu’aux gentils, selon le patron de Proton

ProtonMail

Après les révélations du « Pegasus Project », le PDG de Proton revient sur la nécessité du cryptage pour se prémunir contre la surveillance de masse, mais pointe également du doigt les pratiques de collecte de données de la Big Tech comme une source majeure de vulnérabilité en matière de vie privée.

Pour Andy Yen, PDG du service de messagerie crypté ProtonMail, les révélations de Pegasus ont montré la nécessité de maintenir une messagerie cryptée entièrement sécurisée, rejetant l’appel des décideurs politiques en Europe et aux États-Unis à fournir un accès exceptionnel — des « portes dérobées » — pour des raisons de sécurité publique.

« Lorsqu’il s’agit de sécurité et de vie privée, il est très important que nous maintenions constamment des normes très élevées, et que nous n’affaiblissions pas artificiellement le cryptage ou ne créions pas de portes dérobées. L’histoire a montré à maintes reprises que si vous créez des faiblesses comme celles-ci, les mauvaises personnes les utiliseront pour les mauvaises raisons », a déclaré M. Yen à EURACTIV.

Emmanuel Macron et le gouvernement français parmi les numéros ciblés par Pegasus

Les portables du chef de l’État, de l’ancien Premier ministre Édouard Philippe et de quatorze ministres ont été la cible du logiciel espion Pegasus et sont susceptibles d’avoir été infectés.

Un champ de bataille en évolution

En principe, les services de communication dotés d’un cryptage de bout en bout ne peuvent pas être accessibles à des tiers, puisque le message ne peut être déchiffré que par l’expéditeur et le destinataire.

Ainsi, cette technologie rend impossible aux fournisseurs de services d’accéder au contenu de la communication, car « la meilleure façon de protéger les données est de ne pas les avoir en premier lieu », a déclaré M. Yen.

Par conséquent, selon M. Yen, le cryptage a déplacé le champ de bataille de la cybersécurité des communications vers les appareils. C’est pourquoi des logiciels espions comme Pegasus sont conçus pour prendre le contrôle des téléphones mobiles, ce qui permet aux pirates d’accéder aux informations décryptées à l’une des deux « extrémités ».

« Il y a dix ans, des programmes comme Pegasus n’étaient pas nécessaires, car toutes les informations recherchées n’étaient pas cryptées. Certains gouvernements pouvaient obliger les grandes entreprises technologiques à fournir ces données », a ajouté M. Yen.

Pour lui, le logiciel pirate illustre le fait que le cryptage n’est pas une solution miracle, mais qu’il doit être complété par d’autres pratiques de sécurité. Néanmoins, il a fait remarquer que les technologies cryptées ont rendu impossible la surveillance de masse.

« Ils ne sont pas capables de faire cela à des milliers ou même des millions de personnes. Il s’agit d’attaques très ciblées », a-t-il déclaré.

Sécurité par dispositif

Néanmoins, M. Yen a déclaré que les fabricants d’appareils doivent en faire plus pour s’assurer que les appareils sont conçus dans une optique de « priorité à la vie privée et à la sécurité ». C’est le cas même pour Apple, qui a fait de la vie privée l’une des principales caractéristiques de son identité d’entreprise et qui, pour cette raison, a été pointé du doigt pour ne pas avoir été à la hauteur des attentes.

Ivan Krstić, responsable de l’ingénierie et de l’architecture de sécurité d’Apple, a déclaré que « les attaques comme celles décrites sont très sophistiquées, leur développement coûte des millions de dollars, leur durée de vie est souvent courte et elles sont utilisées pour cibler des individus spécifiques. Bien que cela signifie qu’elles ne constituent pas une menace pour l’écrasante majorité de nos utilisateurs, nous continuons à travailler sans relâche pour défendre tous nos clients ».

Pour M. Yen, si Apple a toujours un modèle économique différent de celui de Google, ses revenus publicitaires sont déjà très importants grâce à sa boutique d’applications et à d’autres services. La nouvelle politique de confidentialité d’Apple devrait également stimuler son activité publicitaire.

« La définition de la vie privée d’Apple est en gros : personne ne peut avoir accès à vos données, sauf nous. Je dirais que la véritable définition de la vie privée et de la sécurité est que personne ne peut avoir accès à mes données et à ma vie privée, point final », a déclaré M. Yen.

Des priorités contradictoires

M. Yen a reconnu que la cybersécurité nécessite des investissements constants, car les menaces évoluent sans cesse dans une « course aux armements » permanente. Cependant, il a noté que si les Big Tech ne manquent pas de ressources pour investir dans la vie privée et la sécurité, elles n’ont pas l’incitation financière pour le faire.

« Si votre modèle économique repose sur l’extraction, la collecte et, en fin de compte, l’exploitation de données, vous devez concevoir vos logiciels de manière à ce qu’ils soient intrinsèquement plus vulnérables », a déclaré M. Yen.

Il a pointé du doigt l’argument récurrent des réseaux sociaux comme Facebook et LinkedIn, qui justifient les violations de données en disant que les données étaient déjà publiquement disponibles sur la plateforme. « Ce sont des plateformes de partage de données. Les fuites de données ne sont pas un bug, elles sont une caractéristique », a-t-il ajouté.

Tout en reconnaissant que, par définition, une sécurité à 100 % n’existe pas, le PDG de ProtonMail a souligné que de nombreuses entreprises technologiques ne font pas ce pas supplémentaire parce que la priorité donnée à la publicité et à la collecte de données peut parfois être fondamentalement en contradiction avec la vie privée et la sécurité.

« Ces entreprises affirment qu’elles collectent des données tout en protégeant votre vie privée et votre sécurité. Mais il y a toujours des compromis à faire. »

« Choisissent-elles l’approche la plus sûre, ou l’approche la plus rentable pour leurs annonceurs ? Je dirais que, le plus souvent, elles donnent probablement la priorité au besoin de faire de la publicité plutôt qu’aux besoins pratiques des utilisateurs réels », a-t-il conclu.

Le règlement européen sur les marchés numériques pourrait « détruire la sécurité de l’iPhone », dénonce Tim Cook d’Apple

Selon Tim Cook, certaines parties du DMA actuellement discuté à Bruxelles « ne sont pas dans le meilleur intérêt des utilisateurs. (…) Je suis très inquiet à propos de la vie privée et de la sécurité »

Subscribe to our newsletters

Subscribe