Tech & internet

Trois questions sur l’arrivée de PGP sur Facebook

Le Big Brother des réseaux sociaux se lance dans le chiffrement PGP, réputé inviolable, pour l’envoi des emails aux utilisateurs. Comment l’utiliser et pourquoi? Explications.

<a href="http://pixabay.com/fr/touches-facebook-pouce-comme-264596/">Like it, Don’t like it</a> | bykst via Pixabay <a href="http://pixabay.com/fr/service/terms/#download_terms">Domaine public</a>
Like it, Don’t like it | bykst via Pixabay Domaine public

Temps de lecture: 3 minutes

Chez Facebook, on aime les paradoxes. Le réseau social, qui a toujours fait l’objet de nombreuses controverses sur le contrôle de la vie privée des internautes, a annoncé lundi 1er juin sur le mur de Project the Graph, une page Facebook dédiée à la sécurité, la mise en place du chiffrement PGP pour les emails envoyés aux utilisateurs.

1.Ça veut dire quoi PGP?

Pour rappel, PGP est l’acronyme de pretty good privacy (plutôt bonne confidentialité). Il désigne le système de chiffrement asymétrique d’emails reconnu comme le plus sécurisé au monde.

Petite pause «PGP pour les nuls». En cryptographie, il est courant d’utiliser un chiffrement symétrique qui permet de chiffrer et de déchiffrer un fichier avec la même clé (disons le même mot de passe). Si ce mot de passe est découvert par un tiers, c’est un peu comme si vous lui laissiez vos clés de maison. Il prendra ce qu’il voudra.

Or PGP fonctionne avec deux clés (une clé publique et une clé privée). Pour envoyer un message secret, l’internaute le rend illisible avec la clé publique du destinataire (le message devient une suite de caractères incompréhensible) et le destinataire le déchiffre avec sa clé privée. Résultat: pas de clé confidentielle qui transite sur le réseau, peu de risques d’être piraté et un message qui ressemble plus ou moins à ça.

 

Un message chiffré avec PGP dans le film Citizenfour, de la journaliste américaine Laura Poitras | Capture d'écran

Créé par Philip Zimmermann en 1991, le système de chiffrement PGP a mis quelques années à être autorisé notamment aux États-Unis, où le gouvernement ne voulait pas autoriser un système qu’il ne pouvait lui-même pas décrypter. En France, son utilisation est légale depuis 1991.

2.Pourquoi Facebook le met en place?

Le réseau social veut expérimenter cette protection pour sécuriser les notifications envoyées aux utilisateurs. Vous savez, les fameuses alertes qui permettent de suivre l’actualité de votre mur depuis votre boîte de réception, comme les demandes d’amis, les mentions «j’aime» ou les commentaires publiés, et également toute communication autre comme les emails de modification de mot de passe.

Première étape: vous créer une clé

Mais tout ne se fera pas en un clic. Première étape: vous créer une clé PGP à l’aide d’un logiciel. Une fois cette clé créée, il faudra l’ajouter dans la section «informations générales et coordonnées» de votre profil et cocher «utiliser cette clé publique pour chiffrer les emails que Facebook m’envoie?».

Bonus: cette clé sera visible par vos contacts ou par tout le monde selon que vous la déclarez réservée à vos amis ou publique. N’importe quel utilisateur utilisant aussi PGP pourra s’en servir et vous envoyer un email chiffré, hors Facebook. La nouvelle a plutôt bien été accueillie sur les réseaux, sans pour autant soulever les foules.

Pour bien faire, le mieux serait d’ailleurs de patienter encore un peu, des problèmes ayant été signalés sur la page de l’annonce du projet par les premiers testeurs de l’outil.

3.Coup de com’ ou coup de pouce?

Reste à savoir si le système sera utilisé par les internautes. Ce dont on peut largement douter car, si PGP est efficace, beaucoup le considèrent encore comme trop complexe pour une utilisation grand public.

Trop complexe pour une utilisation grand public

L’entreprise de Mark Zuckerberg n’en est en tout cas pas à son coup d’essai. En octobre 2014, l’équipe sécurité avait mis en place un accès à Facebook depuis Tor, le réseau permettant la navigation sans laisser de traces (ou presque). À l’époque, Wired avait résumé le paradoxe par une phrase bien sentie :

«Le réseau social le moins anonyme au monde vient juste de rejoindre le réseau le plus anonyme du Web.»

Le géant américain s’était en fait mis à Tor après que certains pays étrangers avaient pris la décision de censurer le réseau, comme le rappelait non sans humour un post d'un blogueur de l’équipe Tor.

«Il y a un quelque temps, j’ai parlé à un membre de l’équipe de sécurité de Facebook, qui m’a raconté une histoire très drôle. Quand il a appris pour la première fois l’existence de Tor, il a détesté l’idée et en avait peur parce que le projet allait clairement fragiliser leur modèle économique consistant à tout savoir sur tous leurs utilisateurs.

 

Se connecter à Facebook sans qu’il puisse vous localiser

Et soudainement, quand l’Iran a bloqué Facebook et qu’une bonne partie de la population est passée sur Tor pour essayer de se connecter à Facebook, il est devenu un grand fan de Tor car, sans lui, ces utilisateurs auraient été écartés du réseau.» 

Dans les faits, l’utilisation de Tor permet toujours de se connecter à Facebook sans qu’il puisse vous localiser. Avec PGP, c’est un pas de plus vers la sécurité des communications. Pour le reste, le réseau social a encore la main sur votre vie privée et ses conditions d’utilisations restent inquiétantes, comme le dévoilait un rapport de l’Autorité belge de la protection des données en février. Le réseau avait entre autres été accusé de suivre les internautes étrangers à Facebook par le biais d’un cookie un peu «collant». L’entreprise s’était défendue en évoquant un simple «bug»

cover
-
/
cover

Liste de lecture