Vous n'avez pas encore de notification

Page d'accueil

Options d'affichage

Abonné

Actualités

Abonné

Des thèmes sont disponibles :

Thème de baseThème de baseThème sombreThème sombreThème yinyang clairThème yinyang clairThème yinyang sombreThème yinyang sombreThème orange mécanique clairThème orange mécanique clairThème orange mécanique sombreThème orange mécanique sombreThème rose clairThème rose clairThème rose sombreThème rose sombre

Vous n'êtes pas encore INpactien ?

Inscrivez-vous !

Lavabit : du compte d'Edward Snowden à la destruction des serveurs

Sésame, ouvre toi. Ou pas.

En juillet, le prestataire de services Lavabit a fermé ses portes en signe de résistance ultime contre les demandes du renseignement américain. Ce fournisseur d’emails sécurisés a ainsi préféré détruire ses serveurs que de donner les informations demandées. La publication de plusieurs documents permet désormais d’en savoir plus sur les étapes qui ont conduit à ce dénouement.

NSA

Crédits : Mark Turnauckas, licence Creative Commons

Un compte pas comme les autres

L’histoire de Lavabit est liée à celle d’Edward Snowden. Le lanceur d’alerte, par qui le scandale Prism est arrivé, a provoqué de nombreuses ondes de choc, tant médiatiques que politiques. Réfugié en Russie et disposant d’un asile politique valable un an, il continue d’observer l’évolution des débats et se montre d’ailleurs satisfait qu’une vraie réflexion ait désormais lieu sur le respect de la vie privée. En juillet, lorsqu’il convie la presse à une conférence, il utilise un email sécurisé souscrit chez Lavabit. Et sonne l’heure des difficultés pour l’entreprise du même coup.

 

Les autorités américaines, surveillent évidemment de près les activités du lanceur d’alertes, se tournent en effet vers Lavabit. Une première demande est alors faite pour qu’il remette au FBI l’ensemble des métadonnées concernant le compte email de Snowden. Mais le bureau d’enquêtes se heurte à un problème technique : les métadonnées sont chiffrées. En outre, la clé qui protège le chiffrement est la même pour 400 000 clients de l’entreprise.

Une même clé protégeant les métadonnées de 400 000 clients 

Cette demande est réalisée le 9 juillet et Ladar Levison, le fondateur de Lavabit, a tôt fait d’expliquer qu’il est impossible de répondre aux attentes des enquêteurs car cela reviendrait à casser la protection valable pour l’ensemble des autres clients. Le 16 juillet, lors d’une audience, il explique en outre qu’il accepte la mise en place d’équipements électroniques capables de relever automatiquement les métadonnées pour les envoyer à des serveurs distants. Et pour cause : en l’état, il sait que les données collectées ne seront d’aucun secours.

 

Cependant, cet argument va être rejeté par le juge fédéral Claude Hilton, qui déclare à l’avocat de Levison, Jesse Binnall : « Vous accusez le gouvernement de quelque chose de trop large, mais il me semble que votre client est celui qui a mis en place le système », estimant par-là que la faute retombe sur Levison et l’infrastructure de Lavabit. Le juge pointe en outre un point important : « […] parce que vous savez qu’il y a des besoins d’accès aux appels qui vont et viennent entre deux personnes ».

 

Traduction : le chiffrement des métadonnées n’aurait pas dû être mis en place, car la loi américaine réclame que de telles informations puissent être accessibles facilement. Pour le juge, le serpent se mord la queue et l’argument de la défense est irrecevable. Difficile de fait de refuser de faire face à une demande en expliquant qu’un système, qui n’aurait pas dû être mis en place, menace la sécurité des autres clients.

Les autorités exigent la clé SSL 

Mais la protection de la totalité des données concernant les emails est précisément le fonds de commerce de Lavabit. Or, ce que le FBI demandait était ni plus ni moins que le sésame vers les métadonnées, autrement dit la clé SSL qui servait à chiffrer les métadonnées. Un mois plus tard, Levison n’avait toujours pas obtempéré et il fut décidé qu’il paierait 5 000 dollars d’amende par jour supplémentaire de retard.

 

Le 1er août, le patron de Lavabit a tout de même tenté de combattre la demande au tribunal. Estimant qu’il en allait de la sécurité des 400 000 clients de son entreprise, il proposait une modification du code qui permettrait avec le temps d’isoler le compte d’Edward Snowden. Le procureur James Trump estime cependant qu’il est trop tard : Levison avait tout le temps de proposer cette solution, qui arrivait donc trop tard. En outre, le dispositif électronique avait la capacité de filtrer automatiquement les informations pour se concentrer uniquement sur ce qui était réclamé. Une solution jugée équitable par le juge Hilton, qui abonde alors en ce sens.

Une clé de 2560 caractères imprimée sur onze pages

Levison, peu après, accepte de remettre la clé aux autorités. Mais il le fait sous une forme quasiment inexploitable : la clé, longue de 2560 caractères, est imprimée de telle sorte qu’elle tienne sur onze pages de papier. Rappelé à l’ordre par la cour, il se voit alors dans l’obligation de fournir une copie électronique de la clé pour qu’elle soit exploitée facilement. Le dos au mur, il finit par prendre la plus radicale des décisions : fermer son entreprise et détruire les serveurs, privant d’un coup les clients de leurs données et rendant impossible leur extraction par les enquêteurs.

 

Et maintenant ? Levison a déposé un recours en appel et a d’ailleurs ouvert une collecte de dons pour récolter 100 000 dollars et financer le coût de la procédure. Il en est actuellement à la moitié.  Dans un message publié sur son mur Facebook il y a à peine quelques heures, il résume enfin ses motivations : « Les gens qui utilisaient mon service me faisaient confiance pour protéger leurs identités électroniques et leurs informations. Je ne pouvais tout simplement pas trahir cette confiance. Si l’administration Obama se sent obligée de continuer à violer les droits à la vie privée des masses dans l’unique objectif d’en surveiller quelques-uns, alors elle devrait au moins demander au Congrès des lois octroyant une telle autorité plutôt que d’utiliser les tribunaux pour obliger les entreprises à devenir secrètement complices de crimes contre le peuple américain. »

70 commentaires
Avatar de Minikea INpactien
Avatar de MinikeaMinikea- 03/10/13 à 09:50:04

c'est un beau geste, c'est juste un peu radical. j'espère que le gars s'en sortira dans le futur!

Avatar de donutboy63 INpactien
Avatar de donutboy63donutboy63- 03/10/13 à 09:51:07

+1

Avatar de YohAsAkUrA INpactien
Avatar de YohAsAkUrAYohAsAkUrA- 03/10/13 à 09:54:02

sphère privée... président avec un prix nobel... tout ça tout ça tout ça...

plus le temps passe... moins je crois a cette administration bananière.

Avatar de anonyme_8d84edb4e8e6a032349cd894ed2eb097 INpactien

Très interréssant comme article. La société aura fait de sacrées pirouettes pour gérer cette situation. :chinois:

Avatar de 2show7 INpactien
Avatar de 2show72show7- 03/10/13 à 09:56:44

:bravo: Lavabit

Il n'y avait pas de clause "vaseline" dans le contrat. point final. :craint:

Edit: aïe ! le nom :transpi:

Édité par 2show7 le 03/10/2013 à 09:59
Avatar de Xhell INpactien
Avatar de XhellXhell- 03/10/13 à 09:57:37

Mais il le fait sous une forme quasiment inexploitable : la clé, longue de 2560 caractères, est imprimée de telle sorte qu’elle tienne sur onze pages de papier.

Ils ont pas de stagiaire au FBI? :reflechis:

Avatar de skan INpactien
Avatar de skanskan- 03/10/13 à 09:57:52

En tout cas s'il rouvre un boîte de ce genre, les clients vont accourir.
Mmh, l'état US n'a pas les moyens d'utiliser un logiciel d'OCR?

Avatar de IAmNotANumber INpactien
Avatar de IAmNotANumberIAmNotANumber- 03/10/13 à 10:03:45

C'est extrêmement couillu surtout qu'il est exposé des deux côtés : il ne fournira pas aux autorités les données demandées, d'une part... et il a détruit les données que ses clients stockaient chez lui d'autre part.

Entre la liberté et la sécurité, il a choisi. Respect. Ce n'est pas un américain, justement,qui avaient sorti cette phrase sur la liberté et la sécurité, hein ?

Avatar de lincruste_2_la vengeance INpactien
Avatar de lincruste_2_la vengeancelincruste_2_la vengeance- 03/10/13 à 10:04:37

skan a écrit :

En tout cas s'il rouvre un boîte de ce genre, les clients vont accourir.
Mmh, l'état US n'a pas les moyens d'utiliser un logiciel d'OCR?

Avec le taux d'erreur de ces trucs et sachant qu'une seule rend la clé inexploitable, ce serait aussi long que de tout palucher.

Avatar de Jesuisserieux INpactien
Avatar de JesuisserieuxJesuisserieux- 03/10/13 à 10:05:01

YohAsAkUrA a écrit :

sphère privée... président avec un prix nobel... tout ça tout ça tout ça...

plus le temps passe... moins je crois a cette administration bananière.

Attention à ne pas déraper sur Obama......lilian thuram va t'en mettre une et te jeter à la figure le livre de Aymé césaire

Il n'est plus possible de commenter cette actualité.
Page 1 / 7