Le cryptage des données, nouvel argument commercial pour les opérateurs télécoms? C’est ce que l’on pourrait penser après l’annonce par le Néerlandais KPN du lancement prochain d’une formule d’abonnement comprenant un service de cryptage des appels audio, vidéo et des SMS. Un service complémentaire qui coûterait environ 10 euros par mois et sera déployé dans les trois marchés du groupe: les Pays-Bas, l’Allemagne et la Belgique, via Base. Le lancement commercial devrait intervenir dès le mois de juin, une première en Europe. Plus séduisante que jamais après les révélations autour de l’espionnage massif opéré par la NSA, l’offre - il importe de le noter - est basée sur les produits développés par le groupe Silent Circle, une entreprise… américaine.
De quoi faire les gorges chaudes d’une partie des médias pour lesquels qui dit "société américaine", dit forcément "complice de l’espionnage massif organisé par la NSA, parce que c’est tous des pourris, d’abord".
Une solution solide…
Sauf qu’en fait, non. Silent Circle est même plutôt reconnue dans le secteur puisqu’elle s’appuie sur des algorithmes du monde Open Source: ce modèle de développement est basé sur le partage du code source, ce qui implique qu’un grand nombre de développeurs a pu l’auditer et signaler d’éventuelles failles, ou dénoncer des portes dérobées. "Si le code n’est pas audité, comme c’est le cas pour certains grands groupes actifs dans la sécurité informatique, la sécurité est forcément plus faible", explique Frédéric Jacobs, développeur expert en cryptographie.
Surtout, la solution a notamment été développée par Phil Zimmerman, un leader mondial de la cryptographie. C’est à lui que l’on doit notamment les clés de cryptage d’e-mail PGP (pour Pretty Good Privacy), parmi les plus utilisées et les plus fiables du monde. Enfin, les serveurs que l’entreprise emploie ne sont pas localisés aux États-Unis, mais au Canada et la firme prévoit d’installer un nouveau data center en Suisse, spécifiquement pour le marché européen. Un choix qui n’est pas anodin, puisque la Suisse est un des seuls pays du continent à ne pas imposer de limites techniques au chiffrement des données.
...mais pas infaillible
À noter toutefois, "Silent Circle affirme qu’ils n’ont pas de porte dérobée mais c’est difficile à confirmer dans la mesure où leur code n’est pas intégralement auditable", ajoute Frédéric Jacobs. D’autant qu’il est bon de préciser, aussi, que le cryptage n’est pas absolu: certes les clés de chiffrement, localisées sur l’appareil du client, sont détruites après les conversations, en même temps que les méta-données de ces échanges. Mais les opérateurs télécoms n’ont tout simplement pas le droit d’offrir une sécurité parfaite à leurs clients puisqu’ils ont la responsabilité technique de l’organisation des écoutes téléphoniques lorsqu’elles sont autorisées par un juge.
