Certainement pas en achetant x téléphones et en usurpant le nom d’un ami de « trente ans » (1) disparu dans le vaste monde. Le cryptage est la « moins pire » des solutions !

(1) « Toute référence à des faits réels ou ayant (récemment !) existé ne serait que purement fortuite ».

Comment sécuriser ses conversations téléphoniques et  mobiles ?

-         La vieille cabine P&T, c’est ringard et il n’en existe plus guère (au moins en fonctionnement)

-         Utiliser un portable (de préférence d’occasion)  pour un usage unique avec une carte prépayée auprès d’un vendeur peu regardant !: Pas très reluisant, peu pratique et onéreux si l’on veut renouveler l’opération.

-         Utiliser le Blackphone  (voir notre article du 25/02/2014) : « Blackphone », le nouveau smartphone qui protège vos communications.

-         Utiliser une application de chiffrement (Textsecure, Off-The-Record, RedPhone,Chatsecure…)

Toutefois il est à souligner qu’il existe des limites (chiffrement du contenu du  message et non des métadonnées c’est-à-dire le nom du correspondant et l’horaire)

Ceci est également l’occasion de reparler de Skype : les communications  y sont-elles sûres ? D’autant que l’ARCEP souhaiterait « remettre au pas »  ce mode de communication. 

Un petit rappel sur le chiffrement :

Internet, comme n'importe quel réseau, peut être surveillé par des criminels et des pirates informatiques à de nombreux niveaux.

C'est l'une des raisons pour lesquelles l'e-mail et de nombreux échanges sur Internet ne sont pas sûrs.

Le chiffrement est un processus de conversion d'informations qui utilise des principes mathématiques de telle manière que les informations ne peuvent être lues par leur véritable destinataire qu'après avoir été reconverties.

D'innombrables techniques de chiffrement ont été mises au point au fil des siècles. Ce processus s'appelle le chiffrement et le déchiffrement.

Il fait partie d'une discipline de la sécurité dénommée cryptographie.

Les méthodes de chiffrement étaient déjà utilisées par les Egyptiens et les Grecs et certains espions et résistants ou services secrets ont continué à s’en inspirer.

Mais, les chiffrements d'autrefois sont faciles à décrypter et nous avons beaucoup évolué dans ce domaine.

Skype utilise des algorithmes de chiffrement reconnus et acceptés mondialement, qui aux dires de ses promoteurs semblent avoir résisté à l'épreuve du temps après avoir fait l'objet d'analyses et d'attaques pendant de nombreuses années.

Selon Skype, les communications sont protégées « pour ne pas tomber entre les mains de pirates et de criminels ».

Identification numérique et chiffrement dans Skype

(Nous reprenons une grande partie des explications apportées par Skype sur son site)

Sur le site de Skype, on peut lire : «L'un des principaux objectifs de Skype est de vous protéger d'attaquants qui cherchent à espionner vos communications. De même, nous voulons éviter l'usurpation d'identité dont se servent souvent les fraudeurs par e-mail (par exemple, le hameçonnage) pour abuser les utilisateurs et leur extorquer des informations personnelles de grande valeur. Pour atteindre ces objectifs, Skype émet un « certificat numérique » correspondant à chaque utilisateur. Ce certificat présente et confirme l'identité de la personne qui émet ou reçoit un appel ou un message Skype ».

Qu'est-ce qu'un certificat numérique ?

Un certificat numérique est un justificatif d'identité électronique pouvant servir à définir l'identité d'un utilisateur Skype, où qu'il se trouve.

Au même titre qu'un document d'identité normal, un passeport par exemple, un certificat numérique doit avoir certaines propriétés pour être utilisé en tant que pièce d'identité. En particulier, il doit :

• désigner le compte spécifique en cours d'identification ;

• être émis par un organisme officiel qui peut l'annuler à tout moment ;

• être difficile à contrefaire ;

• contenir un contreseing de l'autorité émettrice, en l'occurrence Skype.

Authentification

Étant donné que tous les utilisateurs Skype possèdent un justificatif d'identité numérique, il leur est possible de vérifier l'identité de tous les autres utilisateurs Skype. Ce processus s'appelle l'authentification et il consiste en une vérification mutuelle des identités. Pour pouvoir accéder à ces certificats numériques, le pseudo Skype et le mot de passe doivent être confirmés.

Chiffrement

Le chiffrement est un processus de codage d'un message qui utilise des principes mathématiques de telle manière qu'il ne peut être lu que par son destinataire.

« Skype utilise des algorithmes de chiffrement normalisés et connus, empêchant que les communications des utilisateurs Skype ne tombent entre les mains de pirates informatiques et de criminels ».

Analyse indépendante de la sécurité

« Skype fournit à ses utilisateurs des protections contre une large gamme d'attaques possibles, comme l'usurpation d'identité, l'écoute illicite, les attaques par personnes interposées et la modification des données pendant le transport ».

Est-ce que Skype utilise le chiffrement ?

Toutes les conversations audio et vidéo, les transferts de fichiers et les messages instantanés entre utilisateurs Skype sont chiffrés. « Le chiffrement Skype vous protège d'éventuelles écoutes indiscrètes par des utilisateurs malveillants ».

NB !: Si vous passez un appel de Skype vers un téléphone fixe ou mobile, la partie de l’appel sur le réseau public commuté (le réseau téléphonique ordinaire) n’est pas chiffrée.

Par exemple, dans le cas d’appels de groupe réunissant deux utilisateurs sur Skype et un utilisateur sur le réseau public commuté, la partie transmise sur le réseau public commuté n’est pas chiffrée, mais la partie sur Skype l’est.

« Pour les messages instantanés, Skype utilise TLS (Transport Layer Security) pour chiffrer les messages entre votre client Skype et le service de discussion dans notre cloud ou AES (Advanced Encryption Standard) en cas d'envoi direct entre deux clients Skype. La plupart des messages sont envoyés des deux manières, mais à l'avenir, l'envoi ne sera effectué que via notre cloud afin d'optimiser l'expérience utilisateur ».

Attention ! Skype avertit :

Les messages vocaux vous sont remis chiffrés, tout comme les appels et les messages instantanés Skype. Néanmoins, après écoute, les messages vocaux sont transférés de nos serveurs vers votre machine locale, où ils sont stockés sous forme non chiffrée.

Référence :

Skype utilise AES (Advanced Encryption Standard), également connu sous le nom de Rijndael, qui est employé par l’administration américaine pour protéger des informations confidentielles. Skype utilise également le chiffrement maximum (256 bits). Les clés publiques de l’utilisateur sont certifiées par le serveur Skype lors de la connexion avec des certificats RSA de 1 536 ou 2 048 bits.

CryptoChat 4 Skype: améliorer encore la sécurité !

 CryptoChat 4 Skype est un programme gratuit qui se greffe à Skype et qui sécurise les conversations, envois de fichiers, dossiers.

Pour cela, il utilise un mécanisme de chiffrement avec des clés RSA 1024 bit asymétriques. Chaque interlocuteur doit disposer de CryptoChat pour fonctionner.

Mais alors que faut-il comprendre lorsque l’on nous annonce que nos conversations Skype pourraient bientôt être mises sur écoute ?

La police pourrait-elle bientôt, avec l’accord d’un juge, écouter (et regarder) les conversations téléphoniques sur Skype ? C’est une des conséquences envisageables si le service Skype, propriété de Microsoft, se déclare comme opérateur téléphonique.

En effet, l’Arcep a saisi le Procureur de la République de Paris mardi matin pour y contraindre le service de téléphonie en ligne.

Dans un communiqué de l’Arcep l’indique :

« Le fait de fournir un service téléphonique au public implique également le respect de certaines obligations, parmi lesquelles figurent notamment l’acheminement des appels d’urgence et la mise en œuvre des moyens nécessaires à la réalisation des interceptions judiciaires. »

Les raisons des mises sur écoutes sont diverses : Elles peuvent être demandées à la justice par les forces de police. Elles peuvent également être décidées par le gouvernement dans le cadre d’une enquête sur des activités terroristes par exemple, mais une Commission nationale de contrôle des interceptions de sécurité (CNCIS) s’assure alors de la légalité des autorisations d’interception.

Skype devrait donc se plier au droit commun en cas de demande officielle

Les autres pressions (financières et fiscales) sur Skype : Le lobby des opérateurs « officiels »

En fait, depuis plusieurs mois, la Fédération française des télécoms exerce un lobbying intensif en faveur  d’un contrôle et l’application de la fiscalité de droit commun sur les acteurs d’Internet et notamment sur les services dits « Over the top », dont Skype est l’exemple le plus connu.

A plusieurs reprises dans le passé, l’ARCEP, l’autorité des télécoms, a formulé cette demande sans recevoir une réponse favorable de la part de Skype, qui considère ne pas rentrer dans les critères fixés par la loi française.

Il est certain que Skype permet de passer des appels téléphoniques mais également « visiophoniques », en utilisant les infrastructures des télécoms français, sans pour autant reverser une contrepartie ou participer au fonds de service universel (financement d’une partie des abonnements du RSA, contreparties pour France Télécom...) que les opérateurs alimentent.

Si Skype devait prendre le statut d’opérateur, il serait soumis à la législation qui s’applique aux grands du secteur (Orange, SFR, Bouygues, Free, etc...) :

-         il serait taxé d’avantage

-         Mais aussi, il serait assujetti aux contraintes des télécoms, et devrait notamment collaborer au système des écoutes téléphoniques, qu’elles soient judiciaires ou administratives (organisées par les services de renseignement, sous la responsabilité du Premier ministre).

-         Le rappel est sans équivoque :

« Le fait de fournir un service téléphonique au public implique également le respect de certaines obligations, parmi lesquelles figurent notamment l’acheminement des appels d’urgence et la mise en œuvre des moyens nécessaires à la réalisation des interceptions judiciaires. »