Les communications fortement chiffrées sont des communications sécurisées et privées (du moment que le chiffrement est bien mis en place au sein des logiciels de communication ou des protocoles). C’est pour cette raison que les entreprises qui utilisent un chiffrement robuste ont tendance à être celles qui se préoccupent le plus de la confidentialité et de la sécurité de leurs clients.
L’Electronic Frontier Foundation cherche toujours à promouvoir les entreprises de technologies et de télécommunications qui gèrent les données de leurs clients avec précaution. Elle n’a pas non plus peur de nommer les sociétés qui ne font pas attention aux données de leurs utilisateurs.
Elle a d’ailleurs récemment publié à cet effet un rapport intitulé « Chiffrer le Web ». Ce dernier met en avant les entreprises telles que le géant des moteurs de recherche Google, le fournisseur Internet SonicNet, et les services de stockage dans le Cloud tels que Dropbox et SpiderOak pour le chiffrement robuste et complet qu’elles fournissent aux données de leurs clients . Ces quatre sociétés sont les quatre grands gagnants du rapport de la EFF, elles répondent en effet aux cinq critères suivants : chiffrement des centres de données, support des protocoles HTTPS, HSTS, confidentialité persistante et STARTTLS. En bref, le chiffrement des centres de données signifie que Google chiffre ces dernières alors qu’elles passent par leurs centres de données, un point sensible qui a déjà été exploité auparavant. La mise en place du protocole HTTPS (de l’anglais « hypertext transfer protocol secure ») assure que toutes les communications entre un utilisateur et un site Web donné passent à travers des réseaux chiffrés. HSTS ou HTTP Strict Transport Security est, pour faire simple, une politique de sécurité sur les serveurs Web qui impose une communication HTTPS constante entre les utilisateurs. La confidentialité persistante est essentiellement une propriété cryptographique qui assure que les transmissions chiffrées ne seront pas piratées. STARTTLS est plus ou moins une extension e-mail qui transforme les communications par e-mail en texte clair peu importe le service de messagerie que vous utilisez.
Maintenant que nous vous avons expliqué tout cela, de nouveau, Google, SonicNet, Dropbox et SpiderOak sont les grands gagnants ici. Mention honorable à Facebook qui répond également aux cinq critères car ils sont en train de mettre en place toutes ces fonctionnalités de chiffrement. Twitter a également reçu de bonnes notes, il répond à tous les critères excepté à STARTTLS.
LinkedIn, Foursquare et Tumblr se situe dans le milieu : ils répondent à trois critères. Yahoo répond à une catégorie seulement mais a reçu un point supplémentaire pour les politiques qu’ils vont mettre en place. Apple a obtenu un point pour l’utilisation de l’HTTPS dans iCloud. Microsoft, Myspace et WordPress ont également obtenu un seul point.
Les compagnies qui ne font pas d’efforts pour aller vers le chiffrement sont, selon la EFF, Amazon, AT&T, Comcast et Verizon. Ces sociétés ont toutes reçu zéro point.
C’est certainement sans surprise que, plus tôt cette année, le groupe de défense de la protection de la vie privée originaire de San Francisco, « Who’s got your back? » (« Qui vous protège ? ») avait publié un rapport comportant des résultats similaires. Le rapport du groupe révélait quelles entreprises de technologies et de télécommunications jouent un rôle dans la collecte de données menée par le gouvernement américain et quelles sociétés protègent le droit à la vie privée de leurs utilisateurs. Les deux rapports applaudissent les efforts de Twitter, Google, SonicNet, et SpiderOak et montrent du doigt Apple, Yahoo, Verizon, AT&T, Comcast et Amazon.
Bien évidemment, beaucoup de choses ont changé entre la publication des deux rapports : on en connait bien plus sur les efforts de surveillance menés par les gouvernements. S’il existe une corrélation entre les deux rapports, et je pense qu’il y en a une, c’est qu’on observe un mouvement général vers une protection de la vie privée contre les invasions du gouvernement et autres entités d’espionnage malveillantes parmi lesquelles on trouve des sociétés spécialisées en technologies.
« Nous voulons utiliser cela comme un encouragement : si les entreprises voient d’autres sociétés obtenir de bons résultats, elles voudront peut-être également utiliser le chiffrement », a expliqué Kurt Opsahl, un avocat de la EFF. La EFF a conduit son étude en envoyant un sondage à chaque entreprise. Toutes les entreprises n’ont pas répondu, d’autres sources ont donc également été considérées, y compris les sites Web des entreprises ainsi que l’actualité portant sur celles-ci. On a demandé aux sociétés si elles supportaient HTTPS, HSTS, la confidentialité persistante, STARTTLS et si elles chiffraient les liens des centres de données.
Mais qu’est-ce que cela signifie vraiment pour vous ? Eh bien, je ne vous dirai pas quel service vous devriez ou non utiliser. Je pense que chacun d’entre nous – y compris nos amis de la EFF – utilise certainement des services qui ne fournissent pas assez d’efforts dans le domaine du chiffrement. Mais la chose la plus importante ici, selon Mike Mimoso de Threatpost, est la suivante : « Il n’y a rien de tel qu’un peu de pression de la part des autres pour encourager quelqu’un à suivre le bon chemin ».