blackberry.pngLa question peut sembler éloigné des sujets habituellement traités sur ce blog, mais je pense qu’il n’en n’est rien. Nous allons parler ici de sécurités de données et d’indépendance, on est donc en plein dans le sujet pour moi.

D’abord qu’est-ce que Blackberry. Il s’agit d’un service génial offert par la société RIM (Research In Motion), de façon facile et convivial à tous : l’accès à ses mails sur son téléphone portable, de la même manière que l’on à accès à des SMS. Pratique non ? tellement pratique que le service a fait fureur en entreprise, que les managers y sont devenu accros et qu »il y a même un syndrome d’addiction qui en découle. La société a vendu des millions de terminaux de part le monde et s’est adjugé une part de marché importante dans ce secteur d’activité. Tout le monde devrait donc être content. Voilà un service utile, qui plait et qui fonctionne assez bien au dire de ces utilisateurs. Alors où est le problème me direz-vous. Et pourquoi as-t-on vu fleurir en France des messages appelant à ne pas utiliser ce service dans des ministères ou administrations dits sensibles. En fait le service est vendu, par une société canadienne. Mais là n’est pas le problème, le soucis provient de l’architecture même du service. Pour pouvoir fonctionner, les mails doivent être stocké sur les serveurs de RIM au Canada et au Royaume-Uni, et dans tout les cas hors du périmètre du système d’informations de l’utilisateur. Et c’est là que les choses se compliquent. En effet, RIM à beau argumenté le fait que tout est crypté et que seul le client à la clé, rein n’y fait la suspicion reste. En effet, hébergé à l’extérieur, il est théoriquement possible que les serveurs de RIM soient ouvert (sciemment ou non) aux oreilles indiscrètes de la NSA. Pour prouver sa bonne foie, RIM multiplie les communiqués de presse, les audits et les certifications, mais le doute demeure.

D’autant plus qu’une autre affaire a montré que ce genre de pratique pouvait existé, il s’agit du réseau d’échange interbancaire SWIFT. Pour faire court, cette société gère les transactions financière entre banque dans le monde. En gros il s’agit d’un système de messagerie ou les messages sont de l’argent. Lorsque vous voulez transférer de l’argent d’une personne à une autre à l’étranger, cela passe part SWIFT. Le souci c’est qu’en 2006, on a découvert que depuis 2001, une copie de chaque transaction était directement envoyée à la CIA, et ce bien sur sans en avertir les utilisateurs. Tout cela pour dire que des précédents existent, et que l’espionnage n’est pas quelque chose réservé aux romans de gare. Personne ne connaît exactement les capacités de traitement de la NSA, ni celle du réseau Echelon, il est donc assez difficile de savoir s’ils n’ont pas les moyens de casser les cryptages les plus puissant mis en œuvre.

D’autre part, il existe un certain nombre d’alternative qui permettent d’offrir un service similaire, tout en se reposant sur une infrastructure interne à une organisation. Bien sur les flux circuleront toujours sur des réseaux ne vous appartenant pas, et vous pourrez les crypter, mais au moins les serveurs sont chez vous et pas ailleurs. Question d’appréhension du risque, je dirais, mais dans ce domaine il vaut mieux souvent faire ceinture et bretelle que de se reposer sur un tiers. La plus part des informations qui circulent dans les messagerie sont souvent sans grande importance, mais ces terminaux n’équipe que les cadre sup, il font partie de leur panoplie. En les ciblant, on fait déjà le tri et on accède directement aux décideurs qui eux peuvent, dans le flot de messages quotidiens qu’ils reçoivent, avoir accès à des informations sensibles. A ce sujet je vous conseille l’excellent petit ouvrage sur Echelon: Surveillance Electronique Planétaire de Ducan Campbel, il vous étonnera par son contenu, et il fait froid dans le dos. A méditer quand on pense être à l’abri des oreilles de Washington.