La sécurité des mails n'est plus ce qu'elle était... et le système de santé suisse non plus

Une masse de données illisibles, composée de lettres et de numéros, voilà à quoi ressemble un message crypté pour ceux qui n'en possèdent pas la clé, c'est-à-dire en principe tout le monde sauf l'émetteur et le destinataire. 

La plupart des services de messagerie électronique utilisent le cryptage, également appelé chiffrement, pour garantir la confidentialité des échanges. Une fonction essentielle à l'époque de la communication numérique.  

Si un mail sécurisé est intercepté, on ne peut en principe pas le déchiffrer

"C'est particulièrement important si je suis quelqu'un qui a peur qu'une personne entre dans sa boîte mail et accède à ses messages", explique Sebastian Schinzel, professeur en cryptographie appliquée à l'Université technique de Münster, dans le nord-ouest de l'Allemagne. 

Avec des confrères de Bochum, également en Allemagne, et de Louvain, en Belgique, c'est lui qui a découvert une faille dans les deux principaux protocoles de chiffrement utilisés par les services de messagerie : PGP, qui porte du coup mal son nom de "Pretty Good Privacy", et S/Mime.

Ces protocoles étaient, jusqu'ici, réputés pour leur fiabilité et utilisés par certaines personnes qui ont de bonnes raisons de vouloir sécuriser leurs échanges. "Cela peut être des activistes politiques, ou alors des lanceurs d'alerte comme Edward Snowden... en tout cas des personnes qui ont des adversaires très puissants", s'inquiète Sebastian Schinzel.

Des opposants vivant dans des pays autoritaires, des journalistes, des avocats ou des militants des droits de l'homme utilisent depuis des années le cryptage dans leurs échanges. Et aussi la plupart des entreprises, qui n'ont pas intérêt à ce que leurs secrets soient étalés au grand jour. 

Deux clés pour empêcher d'entrer

En effet, les mails non sécurisés peuvent être lus par toute personne ayant accès au serveur sur lequel ils sont stockés. Les protocoles PGP et S/Mime, en revanche, génèrent deux clés, l'une privée et l'autre publique, pour chaque adresse mail. Les clés privées ne sont pas stockées sur un serveur, mais sur l'ordinateur du propriétaire de l'adresse. 

L'Office fédéral de sécurité informatique conseille de ne pas désinstaller les protocoles de cryptage

Même si un message est intercepté, son contenu reste inaccessible à tout autre personne que son destinataire. C'est ce qui est arrivé à la NSA en 2014, qui s'est cassé les dents avec les documents d'Edward Snowden.

Seulement voilà, les chercheurs allemands et belges ont trouvé la faille. "Nous avons trouvé la possibilité d'intercepter le message crypté, de le modifier de telle sorte qu'il s'exfiltre de lui-même et se transforme automatiquement en écriture", explique Christian Dresden, de l'Université technique de Münster.

Pour déchiffrer les messages cryptés, les chercheurs ont caché les données chiffrées dans des liens invisibles que les destinataires ont activé à leur insue. D'un point de vue technique, les mails que l'on reçoit arrivent en plusieurs morceaux. Certains contenus, comme les images, ne s'affichent pas automatiquement mais doivent être téléchargés manuellement. 

Aucune solution en vue

Et c'est là que se trouve la faille. Le fait de cliquer sur ces contenus externes donne accès, par une voie détournée, à la clé privée stockée sur notre ordinateur. Et permet donc de déchiffrer le message. 

"C'est évidemment une terrible faille de sécurité", commente Arne Schönbohm, directeur du BSI, l'Office fédéral de sécurité informatique. "Pourquoi? Parce que si vous cryptez des messages, c'est que vous voulez un haut degré de confidentialité. Et que celui-ci reste garanti !"  

Les chercheurs ont informé il y a plusieurs mois déjà les entreprises concernées, comme Apple et Microsoft, mais jusqu'ici, aucune solution n'a été trouvée au problème.

Le bureau fédéral de sécurité informatique a toutefois appelé les utilisateurs à ne pas désinstaller les protocoles de chiffrement de leurs services de messagerie. Mieux vaut une protection défaillante que pas de protection du tout ?

Et pour ceux qui croiraient être à l'abri des failles de sécurité en utilisant des services de messagerie mobile comme WhatsApp ou Signal... Ce n'est malheureusement pas le cas non plus puisque le chiffrement de bout en bout, utilisé dans le protocole Signal, a lui aussi montré ses limites. La prudence est donc requise pour toute communication autre que la télépathie.

Merci à Svea Eckert et Peter Hornung pour leur contribution à ce sujet. 

 
Le système de santé suisse est-il à bout de souffle ?

Considéré comme l’un des meilleurs au monde, le système d'assurance maladie suisse est aussi l’un des plus coûteux pour les assurés. Et pour cause, il n’y a pas de caisse publique et les assureurs privés augmentent régulièrement leurs cotisations. 

Aujourd’hui de nombreux Suisses n’arrivent plus à payer ces primes, qui ont augmenté de 159% en vingt ans. L’assurance-maladie est même devenue la deuxième cause d’endettement après les impôts. Et ce n'est pas près de s'arranger, étant donné le poids des lobbies du secteur de l'assurance maladie. 

Conséquence, de plus en plus de Suisses traversent une, voire plusieurs frontières, pour aller se faire soigner. Un reportage à écouter de Katia Bitsch, notre correspondante en Suisse. 

Retrouvez tous les numéros du magazine Vu d'Allemagne dans la médiathèque, à écouter et à télécharger.