L’annonce tombe au plus mal pour Yahoo, qui, le mois dernier, se faisait déjà taper dessus pour le piratage d’environ 500 millions de comptes. Reuters nous informe que Yahoo a mis en place un système qui scanne l’ensemble des mails envoyés sur des adresses Yahoo. Petite analyse de la situation.

Yahoo sur le plan technique

La nouvelle ne semble concerner que les mails envoyés sur des adresses mail Yahoo : l’entreprise a, durant l’année 2015, installé un programme fait maison pour scanner l’ensemble des mails envoyés sur des adresses, à la recherche d’informations spécifiques fournies par les services de l’intelligence américaine.

Reuters appuie ses dires grâce à la participation de trois anciens employés de la firme, ainsi que d’une quatrième personne, au courant des évènements.

Ces mêmes sources indiquent au journal que Yahoo devait rechercher une série de caractères, ce qui est assez vaste pour rechercher plus ou moins ce que l’on veut, d’autant plus que la chaine de caractères peut être modifiée. Cela signifie donc qu’il est possible de chercher dans un mail ou dans une pièce jointe si cette dernière est accessible.

Je vous invite à lire l’article de Reuters  si vous lisez l’anglais, ou celui de Numerama  si ce n’est pas le cas, vous y apprendrez des choses dont je ne vais pas parler ici.

Tout observer ?

Parlons correctement des faits : Yahoo scanne l’ensemble des mails, ce fait semble confirmé. Cependant, c’est fait de façon automatique dans le but de trouver une chaine de caractères spécifique. Cela semble dire que seuls les mails qui répondent à ce critère sont réellement lus par des yeux humains et sont transmis. Cela ne change rien au problème mais il ne faut pas hurler que Yahoo lit l’ensemble des mails. Ils les scannent automatiquement et certains sont effectivement lus et transmis.

Est-ce faisable ?

Avoir un système en temps réel qui scanne l’ensemble des mails avec une variable, un « sélecteur », a.k.a la chaîne de caractères, ça me semble gros, mais pas impossible. Cela doit demander, en revanche, beaucoup de puissance. Je ne crois pas avoir déjà entendu parler d’une telle chose avant, même lors des premières révélations de Snowden.

Est-ce légal ?

C’est une question que je me pose. Les lois américaines sont très contraignantes et nous avons déjà vu de nombreux cas où l’entreprise était contrainte de se plier à la volonté de l’Intelligence américaine. Le Foreign Intelligence Surveillance Act, plus connu sous le nom de FISA, permet aux services de l’Intelligence américaine de contraindre les fournisseurs d’accès Internet et téléphone à fournir de nombreuses données d’utilisateurs pour des raisons tout autant nombreuses et pas forcément toujours justifiées. Certaines entreprises ont fait de la protection de la vie privée des clients leur cheval de bataille, comme dans l’affaire entre Apple et le FBI, dans la tuerie de San Bernardino. Yahoo avait même tenté de s’opposer au FISA il y a quelques années… cette fois-ci, ils ont décidé de ne pas se battre car ils étaient convaincus de perdre s’ils le faisaient.

Peut-être auraient-ils effectivement perdu… mais ils auraient essayé. Si on ne se bat pas, c’est perdu d’avance.

Est-ce légal… certains le pensent et disent qu’en soi, il n’est pas interdit de rechercher des termes spécifiques car ce n’est pas espionner quelqu’un, c’est rechercher une chaîne de caractères. La justification est assez borderline mais elle peut tenir la route, d’autant plus que le programme « upstream » de la NSA, qui recherchait du contenu chez les fournisseurs de téléphonie, a été déclaré légal à un moment… le même raisonnement pourrait s’appliquer ici.

Ce n’est pas l’avis de l’ACLU, qui juge la chose inconstitutionnelle :

Réaction similaire pour Amnesty International, qui déclare « les citoyens ne peuvent pas faire confiance à leurs gouvernements pour protéger leur vie privée :

A mon humble avis, la réponse risqué d’être plus compliquée qu’un simple « c’est légal » ou « ce n’est pas légal ».

Est-ce que les autres font pareil ?

C’est une question qu’on peut se poser. Pourquoi avoir demandé à Yahoo de faire ça et pas aux autres ?
Peut-être la demande a-t-elle été faite auprès des autres fournisseurs, comme Google ou Microsoft, mais ces derniers ont déjà communiqué dessus :

« Nous n’avons jamais reçu une telle requête, mais si c’était le cas, notre réponse serait simple : pas question » – Google

« Nous ne nous sommes jamais livrés dans le scan secret du trafic email tel que celui qui a été rapporté au sujet de Yahoo aujourd’hui » – Microsoft

Si la déclaration de Google est très claire, celle de Microsoft l’est beaucoup moins. Est-ce que Microsoft aurait accepté une partie de la requête ? Ou accepté de mettre quelque chose en place sans pour autant aller jusqu’au niveau de Yahoo ? Je ne sais pas, mais la réponse est, disons, étrange. Elle laisse penser qu’il y a effectivement quelque chose côté Microsoft, sans vraiment dire quoi.

Après, même pour Google, ce sont des déclarations… rien ne dit que c’est vrai, ces fournisseurs ont très bien pu mettre quelque chose en place et le nier, ou pire, ne pas être au courant qu’un tel programme existe chez eux, même si cela semble improbable.

D’accord, on fait quoi ?

C’est aussi une bonne question. Dans un monde idéal j’aurais répondu : basculez sur des messageries alternatives, indépendantes, chiffrez absolument tout, de bout en bout….

Dans la pratique, plus de la moitié des personnes se moqueront de cette nouvelle et diront qu’ils n’ont rien à cacher. Une autre partie sera outrée sans vraiment savoir quoi faire et une autre partie se dira « rien à foutre, je chiffre déjà et c’est bien fait pour eux, fallait pas utiliser des services centralisés ».
Au passage, la dernière catégorie devrait simplement fermer sa gueule. Le savoir c’est fait pour être partagé avec tout le monde. Bisous.

Donc que faire… je ne sais pas, fermer son compte Yahoo me semble être un bon début, pour basculer sur … je vous laisse terminer cette phrase dans les commentaires, en proposant des alternatives aux lecteurs qui passeront par là.


SOURCE @ http://pixellibre.net/2016/10/yahoo-scanne-vos-e-mails-fbi-nsa/

Fermer le menu
more