- Avec WhatsApp, Messenger ou Telegram, le contenu de votre message est chiffré (plus ou moins selon l'application) mais pas les adresses des correspondants
- Les métadonnées suffisent. Ex : Verizon, les fadettes du Monde
Ces outils vous permettent de vous fondre dans la masse. Ils ne protègent pas autant vos échanges que des outils qui les chiffreraient de bout en bout mais ils vous permettent de conserver un bon degré d'anonymat.
### La boite morte
Une boite morte est un emplacement permettant à des personnes d’échanger secrètement des messages sans avoir besoin de se rencontrer physiquement. Ce principe peut se transposer dans le monde numérique :
- Créez une boite mail d'un service mainstream
-
- partagez en les identifiants avec votre interlocuteur
- Échangez des messages uniquement le dossier brouillon.
Avec une boite morte les emails ne circulent pas sur Internet. La seule chose que pourra voir votre FAI est que vous vous connectez à un service de mail mainstream. Attention, les messages dans la boite ne sont pas chiffrés et sont potentiellement accessibles à l'opérateur du service (Google pour Gmail par exemple).
CryptPad est un service équivalent à google doc...en mieux.
Vous pouvez l'utiliser selon le même principe qu'une boite morte, en plus sécurisé.
Les documents sont stockés de manière chiffrée et l'hébergeur du service ne peut accéder au contenu de vos documents sans la clé de chiffrement.
Celle-ci se trouve dans l'url après le caractère #. Par convention tout ce qui se trouve après un # dans l'url n'est pas accessible au serveur)
https://cryptpad.fr/pad/#/2/pad/edit/**J6KGLGTPSH1lJyc0U1U2zFLz**/
Notez bien que toute personne ayant accès à l'adresse de votre doc en ligne pourra en lire le contenu.
### emails ?
Les mails ne sont pas sécurisés. Ils circulent encore sur Internet en clair, c'est à dire que le contenu peut en être lu par votre FAI comme le facteur le ferait avec celui d'une carte postale.
Pour remédier à ce problème simplement, utilisez les services mail ProtonMail ou Tutanota.
Attention, seuls les mails envoyés de Protonmail à Protonmail ou de Tutanota à Tutanota sont chiffrés automatiquement. Pour un e-mail chiffré destiné à un destinataire externe, un mot de passe pour le chiffrement et le déchiffrement de l'e-mail doit être échangé.
Signal est une application pour smartphone qui protège vos messages en les chiffrant sur votre téléphone et en les déchiffrant sur le téléphone du ou des destinataires. C'est le chiffrement de bout en bout (End To End Encrpytion). Ainsi même si les serveurs de Signal se font pirater, le contenu de vos échanges ne pourra être dévoilé.
Signal ne conserve pas les métadonnées au-delà de la période requise pour la circulation du message. Il ne s’agit que d’une rétention temporaire, d’ordre technique.
Attention toutefois, les messages envoyés sont stockés sur les téléphones et si ceux ci sont saisis physiquement et déverrouillés, il sera alors possible d'accéder à vos messages. C'est pour cette raison que Signal (ainsi que d'autres applications) proposent une fonctionnalité très utile : les messages éphémères vous permettant de définir un délai de suppression automatique pour vos messages envoyés.
Vous utilisez une autre application ? Discord, WhatsApp, iMessage, Telegram, etc. ? Vérifiez si votre application utilise le chiffrement de bout en bout et quelles données celle-ci laisse filtrer sur vos échanges en consultant ce tableau.
Wire: Wire est un outil de communication sécurisé qui présente l'avantage de ne nécessiter aucun numéro de téléphone.
Briar : Briar est une application CPT (communication Chiffrée en Pair-à-pair via Tor). Avec Briar les communications circulent de smartphones en smartphones sans passer par un serveur central et utilisent le réseau Tor.
Olvid : Un simple pseudo suffit pour se créer un compte. Sur Olvid les communications et les métadonnées sont chiffrées de bout en bout. L’application est certifié CSPN par l’Agence nationale de la sécurité des systèmes d’information (ANSSI). Olvid propose une version gratuite avec quelques fonctionnalités en moins (pas d'appels vocaux).
On n'est jamais trop prudent !
Trust No One
- Prontmail + Tor
- Protonmail + VPN
- Cryptpad + Tor
- Dropbox + Veracrypt