Il y a trois jours, alors que je prenais un café dans l’aéroport de Hambourg au retour du 31e congrès du Chaos Computer Club (sur lequel je reviendrai, more to come comme on dit) et que je consultais ma messagerie, j’ai pris connaissance d’un commentaire succinct et assez péremptoire à mon billet « Facebook “caché” dans Tor : pourquoi c’est une très bonne nouvelle ». […]
De fait, écrire que « la sécurité des VPN est purement virtuelle » ou qu’il n’y a « rien de vraiment sécurisé » dans le « S » de HTTPS est déjà simplificateur. En déduire que « HTTPS est cassé » est tout simplement faux. Comme le disait Snowden lui-même dans sa (fameuse) première interview accordée au Guardian : « Correctement mis en œuvre, les systèmes de cryptographie forte sont une des rares choses auxquelles on peut se fier ». Dans tous les cas précités, ce sont bien les implémentations qui sont en cause. C’est évidemment très problématique, et les banques, par exemple, qui utilisent souvent de vieilles versions de SSL, feraient bien de mettre à jour leurs infrastructures. […]
La NSA n’est un modèle de menace individuel que pour un nombre somme toute limité de personnes (incluant, certes, des résidents des « Five Eyes », des « 9 Eyes » et des « 14 Eyes », à des degrés divers, hélas peu documentés à ce stade). La NSA est d’abord un modèle de menace collectif — le problème, c’est la signification politique de l’interception de masse, l’interprétation des signaux faibles, le spectre de l’analyse prédictive. Il faudra bien y trouver une réponse, qui passe notamment, au plan technique, par un « durcissement » d’Internet, mais qui ne peut (et ne doit) pas s’y limiter. […]