Lavabit : du compte d’Edward Snowden à la destruction des serveurs

En juillet, le prestataire de services Lavabit a fermé ses portes en signe de résistance ultime contre les demandes du renseignement américain. Ce fournisseur d’emails sécurisés a ainsi préféré détruire ses serveurs que de donner les informations demandées. La publication de plusieurs documents permet désormais d’en savoir plus sur les étapes qui ont conduit à ce dénouement.

Crédits : Mark Turnauckas, licence Creative Commons

Un compte pas comme les autres

L’histoire de Lavabit est liée à celle d’Edward Snowden. Le lanceur d’alerte, par qui le scandale Prism est arrivé, a provoqué de nombreuses ondes de choc, tant médiatiques que politiques. Réfugié en Russie et disposant d’un asile politique valable un an, il continue d’observer l’évolution des débats et se montre d’ailleurs satisfait qu’une vraie réflexion ait désormais lieu sur le respect de la vie privée. En juillet, lorsqu’il convie la presse à une conférence, il utilise un email sécurisé souscrit chez Lavabit. Et sonne l’heure des difficultés pour l’entreprise du même coup.

Les autorités américaines, surveillent évidemment de près les activités du lanceur d’alertes, se tournent en effet vers Lavabit. Une première demande est alors faite pour qu’il remette au FBI l’ensemble des métadonnées concernant le compte email de Snowden. Mais le bureau d’enquêtes se heurte à un problème technique : les métadonnées sont chiffrées. En outre, la clé qui protège le chiffrement est la même pour 400 000 clients de l’entreprise.

Une même clé protégeant les métadonnées de 400 000 clients 

Cette demande est réalisée le 9 juillet et Ladar Levison, le fondateur de Lavabit, a tôt fait d’expliquer qu’il est impossible de répondre aux attentes des enquêteurs car cela reviendrait à casser la protection valable pour l’ensemble des autres clients. Le 16 juillet, lors d’une audience, il explique en outre qu’il accepte la mise en place d’équipements électroniques capables de relever automatiquement les métadonnées pour les envoyer à des serveurs distants. Et pour cause : en l’état, il sait que les données collectées ne seront d’aucun secours.

Cependant, cet argument va être rejeté par le juge fédéral Claude Hilton, qui déclare à l’avocat de Levison, Jesse Binnall : « Vous accusez le gouvernement de quelque chose de trop large, mais il me semble que votre client est celui qui a mis en place le système », estimant par-là que la faute retombe sur Levison et l’infrastructure de Lavabit. Le juge pointe en outre un point important : « […] parce que vous savez qu’il y a des besoins d’accès aux appels qui vont et viennent entre deux personnes ».

Traduction : le chiffrement des métadonnées n’aurait pas dû être mis en place, car la loi américaine réclame que de telles informations puissent être accessibles facilement. Pour le juge, le serpent se mord la queue et l’argument de la défense est irrecevable. Difficile de fait de refuser de faire face à une demande en expliquant qu’un système, qui n’aurait pas dû être mis en place, menace la sécurité des autres clients.

Les autorités exigent la clé SSL 

Mais la protection de la totalité des données concernant les emails est précisément le fonds de commerce de Lavabit. Or, ce que le FBI demandait était ni plus ni moins que le sésame vers les métadonnées, autrement dit la clé SSL qui servait à chiffrer les métadonnées. Un mois plus tard, Levison n’avait toujours pas obtempéré et il fut décidé qu’il paierait 5 000 dollars d’amende par jour supplémentaire de retard.

Le 1er août, le patron de Lavabit a tout de même tenté de combattre la demande au tribunal. Estimant qu’il en allait de la sécurité des 400 000 clients de son entreprise, il proposait une modification du code qui permettrait avec le temps d’isoler le compte d’Edward Snowden. Le procureur James Trump estime cependant qu’il est trop tard : Levison avait tout le temps de proposer cette solution, qui arrivait donc trop tard. En outre, le dispositif électronique avait la capacité de filtrer automatiquement les informations pour se concentrer uniquement sur ce qui était réclamé. Une solution jugée équitable par le juge Hilton, qui abonde alors en ce sens.

Une clé de 2560 caractères imprimée sur onze pages

Levison, peu après, accepte de remettre la clé aux autorités. Mais il le fait sous une forme quasiment inexploitable : la clé, longue de 2560 caractères, est imprimée de telle sorte qu’elle tienne sur onze pages de papier. Rappelé à l’ordre par la cour, il se voit alors dans l’obligation de fournir une copie électronique de la clé pour qu’elle soit exploitée facilement. Le dos au mur, il finit par prendre la plus radicale des décisions : fermer son entreprise et détruire les serveurs, privant d’un coup les clients de leurs données et rendant impossible leur extraction par les enquêteurs.

Et maintenant ? Levison a déposé un recours en appel et a d’ailleurs ouvert une collecte de dons pour récolter 100 000 dollars et financer le coût de la procédure. Il en est actuellement à la moitié.  Dans un message publié sur son mur Facebook il y a à peine quelques heures, il résume enfin ses motivations : « Les gens qui utilisaient mon service me faisaient confiance pour protéger leurs identités électroniques et leurs informations. Je ne pouvais tout simplement pas trahir cette confiance. Si l’administration Obama se sent obligée de continuer à violer les droits à la vie privée des masses dans l’unique objectif d’en surveiller quelques-uns, alors elle devrait au moins demander au Congrès des lois octroyant une telle autorité plutôt que d’utiliser les tribunaux pour obliger les entreprises à devenir secrètement complices de crimes contre le peuple américain. »