Le chiffrement des messageries passé au crible des sciences sociales

chiffrement_messagerie_vp

CNRS LE JOURNAL, MAI 2020

Comment les usagers des messageries instantanées appréhendent-ils les risques de cet usage sur leur vie privée et quelles stratégies développent-ils pour les contrer ? C’est ce qu’ont demandé deux sociologues du CNRS à un panel d’utilisateurs plus ou moins menacés.

En cette période d’épidémie et de confinement, WhatsApp permet à bon nombre d’entre nous de rester en contact avec ses proches tout comme divers autres systèmes de messagerie sécurisée ou chiffrée, à l’image de Signal, Telegram ou Wire. Malgré les critiques du lanceur d’alerte Edward Snowden à son égard, WhatsApp reste la plateforme la plus utilisée au monde avec plus de 2 milliards d’utilisateurs. Celui qui révéla la surveillance mondiale d’Internet à laquelle se livrait la NSA estime en effet que le chiffrement de bout en bout intégré à l’application depuis 2016 n’est pas un gage de confidentialité suffisant.

Mais comment ceux qui communiquent via ces messageries appréhendent-ils les risques que cela leur fait courir ? Pour tenter d’y répondre, deux chercheuses du Centre Internet et Société (CIS) du CNRS se sont entretenues avec près d’une centaine d’utilisateurs aux profils très différents : militante pour les droits de l’homme iranienne, journaliste ukrainien se rendant régulièrement en Crimée, formateur en sécurité informatique russe, responsable d’association écologiste allemand, organisateur d’un festival autrichien dédié à la promotion de l’Internet libre, etc.

Compromis entre sécurité et convivialité

« Notre enquête s’est rapidement focalisée sur l’usage que ces personnes font des outils de communication chiffrés et sécurisés afin d’analyser leur impact sur les libertés numériques et le droit à la vie privée », précise Ksenia Ermoshina, sociologue des techniques de l’information au CIS et co-auteure de cette étude¹. Les témoignages recueillis au fil de l’enquête de terrain montrent tout d’abord que les citoyens issus de pays à faible risque, comme la France, sont surtout préoccupés par des questions relevant du respect de la vie privée. Les personnes évoluant dans un environnement à haut risque, notamment en Russie ou certains pays du Moyen-Orient, privilégient plus souvent qu’on ne pourrait le penser des solutions techniques faciles à installer et à utiliser, sans forcément prendre en considération le niveau de protection de l’application.

In this photo illustration the WhatsApp logo is seen

Parce qu’ils sont amenés à échanger des informations dans l’urgence ou en situation de stress, certains de ces utilisateurs estiment en effet que des applications comme Gmail ou WhatsApp constituent le meilleur compromis entre sécurité et convivialité. « Les critiques à l’égard des géants du Web, les fameux Gafam², se rencontrent essentiellement parmi les utilisateurs occidentaux hautement qualifiés qui vont jusqu’à développer de complexes boîtes à outils numériques pour renforcer la confidentialité de leurs communications vis-à-vis de cette menace potentielle », constate Ksenia Ermoshina.

Développer un modèle de menace

L’ensemble des personnes interrogées tout au long de l’enquête partagent en revanche l’idée que les technologies de chiffrement qu’elles emploient ne suffisent pas à leur garantir une confidentialité absolue. Pour compenser d’éventuelles défaillances, une mosaïque de techniques de sécurité est alors mise en œuvre. Ces stratégies que leurs utilisateurs réinventent en permanence s’apparentent à un savant mélange d’ingénierie sociale, de méthodes de camouflage et de systèmes de protection plus ou moins sophistiqués. « Pour envoyer un message potentiellement compromettant, un militant russe nous a expliqué qu’il commence par le découper en plusieurs morceaux, chacun de ces bouts de message étant ensuite transmis à leur destinataire par le biais d’une application sécurisée différente », illustre Ksenia Ermoshina.

Dans le cadre de leurs investigations, les chercheuses du CIS ont également pu assister à plusieurs sessions de formation en sécurité numérique organisées en Ukraine et en Russie. Alors que les guides de bonnes pratiques en la matière se sont longtemps concentrés sur la maîtrise des outils capables de préserver la confidentialité de leurs utilisateurs, les formateurs insistent désormais sur la nécessité de contextualiser le risque en encourageant les participants à développer leur propre modèle de menace. « L’objectif n’est donc plus tant de se familiariser avec le système de communication le plus sécurisé possible que de parvenir à identifier le ou les adversaires dont on cherche à se protéger à un instant donné afin d’adapter l’arsenal de protection au degré de menace », explique Francesca Musiani, directrice-adjointe du CIS, spécialiste de la gouvernance de l’internet et co-auteure de ce travail de recherche.

Vers une redéfinition de la notion de risque 

Dans la pratique, un individu à faible risque de menace comptant au moins un utilisateur à haut risque parmi ses relations adoptera un niveau de protection plus élevé allant parfois jusqu’à installer un outil de communication spécifique pour dialoguer avec ce contact. En outre, la manière d’échanger des informations ou des données dépend fortement du contexte sociopolitique. Dans certaines situations, une personne se considérant elle-même comme à faible risque décidera de façon spontanée de chiffrer ses communications afin de protéger les utilisateurs à fort risque de menace avec lesquels elle pourra être amenée à échanger. « En remettant en cause l’existence d’une frontière nette entre individus à haut risque et individus à faible risque, nos travaux invitent à redéfinir cette notion de risque selon une approche à la fois relationnelle et contextuelle, dans la perspective d’améliorer la protection de l’ensemble des citoyens à l’égard d’adversaires toujours plus difficiles à identifier », conclut Francesca Musiani.

Notes :

  1. Cette étude a été réalisée dans le cadre du projet de recherche européen NEXTLEAP (Next-Generation Techno-social and Legal Encryption) qui a étudié de 2016 à 2018 les technologies améliorant la confidentialité. Elle est librement accessible (en anglais) à l’adresse suivante: https://halshs.archives-ouvertes.fr/halshs-02320706/document. Ce travail a également été finaliste du Prix CNIL-Inria 2019 pour la protection de la vie privée (https://www.cnil.fr/en/inria-and-cnil-award-2019-privacy-protection-priz…).
  2. Acronyme formé par la lettre initiale des cinq géants américains du numérique, à savoir Google, Apple, Facebook, Amazon et Microsoft.
Photo 1: © id-work / Getty Images
Photo 2: Les applications telles que WhatsApp, plateforme la plus utilisée au monde, constituent pour certains utilisateurs le meilleur compromis pour échanger des informations. © Rafael Henrique/SOPA Images/LightRocket via Getty Images

www.cnrs.fr

Les peuples autochtones à l’épreuve du Covid-19

BRAZIL: INDIGENOUS PEOPLE DAWN OCCUPYING HIGHWAY IN PROTEST

CNRS LE JOURNAL, SEPTEMBRE 2020

Comment la pandémie provoquée par le SARS-Cov-2 a-t-elle affecté les populations autochtones ? C’est ce qu’a tenté de savoir l’anthropologue Irène Bellier, directrice de recherche au CNRS, en analysant un vaste corpus de données autour de cette question. Lire la suite »

Françoise Lamnabhi-Lagarrigue, reine de l’automatique

nov2019-lamnabhi-lagarrigue_rec_72dpi

CNRS LE JOURNAL, AOÛT 2020

Directrice de recherche émérite au CNRS, Françoise Lamnabhi-Lagarrigue a reçu le prix Irène Joliot-Curie 2019 de la femme scientifique de l’année pour ses travaux dans le domaine de l’automatique. Lire la suite »

Bientôt un nouveau rover sur Mars

perseverance_mars_vp

CNRS LE JOURNAL, JUILLET 2020

L’objectif de la mission Mars 2020 : acheminer sur Mars le rover Perseverance pour y collecter des échantillons dans l’espoir d’y déceler des indices d’une vie passée.
Lire la suite »