La loi renseignement : Comment se protéger ?

Introduction

Au vu des différents points expliqués dans les pages précédentes (La loi renseignement en détail, mais aussi Les controverses), il est nécessaire afin de préserver sa vie privée de se protéger de cette loi aux implications ravageuses.
C’est dans ce but que notre communauté, Hackademics.fr, a étudié la question afin d’en ressortir les meilleurs moyens de protection.

Au préalable, il est bon de signaler que nous ne sommes pas des experts en contre-espionnage, mais des passionnés de sécurité informatique. Nous ne pouvons donc que proposer des pistes de réflexion concernant la protection à l’encontre des écoutes physiques chez les particuliers.
D’après notre étude, le meilleur moyen de se protéger de cette loi reste le chiffrement. Nous avons donc développé notre étude sur les solutions suivantes :

  • Les VPNs ;
  • Les chats (avec ou sans possibilité visioconférence) utilisant des connexions chiffrées ;
  • Les applications de messageries mobiles chiffrées ;
  • Les fournisseurs d’adresses mail sécurisées ;
  • Des pistes de protections avancées.
Les offres de clouds (même sécurisés) ne sont pas l'objet de ces différents articles, ils mériteraient des tests et recherches à part entière afin d'arriver à des résultats probants afin de vous apporter des solutions fiables. Nous y reviendrons peut-être plus tard, en attendant nous ne pouvons que vous conseiller de conserver vos données en local sur des disques durs ou des clefs USB (de préférence cryptés).

Les classements, l'indice de fiabilité :

Dans le but de cette étude, certaines applications ont été classées sur plusieurs critères que sont :

  • La fiabilité technique : 40% de la note
  • La fiabilité des conditions générales d’utilisation : 40% de la note
  • La facilité d’utilisation : 20% de la note
Ces trois critères ont alors été combinés afin de fournir une note sur 5 (5 étant la note maximale) représentant l’indice de fiabilité d’une application dans l’ensemble des applications choisies pour servir un but particulier.

Les protections informatiques

Cette partie présentera trois catégories, une liste de 10 VPNs fiables payants, une liste de 5 VPNs fiables gratuits ainsi une liste de chats internet (avec ou sans visioconférence).

Les meilleurs VPNs payants

  1. PIA
  2. Mullvad
  3. TORGuard
  4. IPVanish
  5. IVpn
  6. BolehVPN
  7. NordVPN
  8. TorrentPrivacy
  9. Proxy.sh
  10. Hidelp VPN

Les meilleurs VPNs gratuits

  1. CyberGhost
  2. HotspotShield
  3. VPNBook
  4. SecurityKiss
  5. SoftEther
Plus de détails ici (classement complet de VPN, critères choisis, etc.)

Les chats (conversation instantannée) internet

Classement Nom Note Fiabilité Technique Note Fiabilité CGU Note Facilité d’utilisation Total Note Fiabilité Mécanismes de protection Points forts Points faibles Considéré comme fiable ?
1 CryptoCat 4/5 5/5 3/5 4.2/5 - AES 256 ;
- SHA 512.
- Toutes les plateformes fixes et iOS ;
- Libre ;
- Cryptographie forte ;
- Ne collecte aucune information personnelle ;
- Aucune information n’est stockée sur les serveurs.
- Pas de CGUs ;
- Ne gardent pas les anciennes conversations.
Oui
2 Gruveo 3/5 4/5 5/5 3.8/5 - SSL ;
- P2P.
- Libre ;
- Open Source ;
- Pas de compte nécessaire ;
- Chiffré par défaut ;
- Chiffrement fort ;
- Pas de CGUs. Oui
3 Tox 5/5 2/5 4/5 3.6/5 - Outils libres ;
- 3 types de chiffrement différents.
- SSL ;
- P2P ;
- Ne demande aucune information personnelle ;
- Possibilité de désactiver Google Analytics ;
- Toutes les plateformes en navigateur ;
- Aucune installation n’est nécessaire.
- Présence des cookies de Google Analytics ;
- Il existe toujours un risque de ne pas être avec la bonne personne (si la passphrase de connexion n’a pas été bien choisie et tapée).
Oui
4 Firefox Hello 4/5 3/5 3/5 3.4/5 - Chiffrement de WebRTC. - Chiffrement de Web RTC ;
- Open Source ;
- Firefox fixe et mobile.
- Mozilla accepte dans certains cas de fournir les informations aux gouvernements ;
- On ne sait pas où sont stockées les données et donc sous quelle loi elles sont régies.
Non
5 Jitsy 4/5 2/5 4/5 3.2/5 - Pas d’inscription requise ;
- Encrypté par défaut ;
- Open Source.
- Pas d’inscription requise ;
- Encrypté par défaut ;
- Open Source
- Chiffrement fort.
- Pas de CGUs Oui
6 vmux.co 2/5 2/5 2/5 2/5 - DTLS ;
- SRTP ;
- OTR.
- DTLS ;
- SRTP ;
- OTR ;
- Addon Firefox et Chrome (disponible sur tous les OS) ;
- P2P
- Très peu d’informations ;
- Pas de CGUs.
Non
*CGUs = Conditions générales d’utilisation

Protection mobile

Cette partie a pour but de fournir des applications permettant l’envoi de texto de manière sécurisée et/ou chiffrée.
Classement Nom Note Fiabilité Technique Note Fiabilité CGU Note Facilité d’utilisation Total Note Fiabilité Mécanismes de protection Points forts Points faibles Considéré comme fiable ? Plateforme
1 CryptoCat 4/5 5/5 3/5 4.2/5 - AES 256 ;
- SHA 512.
- Toutes les plateformes fixes et iOS ;
- Libre ;
- Cryptographie forte ;
- Ne collecte aucune information personnelle ;
- Aucune information n’est stockée sur les serveurs.
- Pas de CGUs ;
- Ne gardent pas les anciennes conversations.
Oui - iOS
2 Cyphr 4/5 2/5 5/5 3.4/5 - Chiffrement symétrique et asymétrique ;
- Serveurs en Suisse ;
- AES 256 + TLS.
- Cryptage asymétrique et symétrique ;
- Les serveurs sont en Suisse;
- L’application supporte toutes les plateformes mobiles ;
- Les informations personnelles ne sont pas vendues.
- La société coopère totalement avec les gouvernements ;
- La société récupère pas mal d’informations personnelles ;
- Sous la tutelle de la juridiction américaine.
Non - Android ;
- iOS.
3 myEnigma 4/5 2/5 3/5 3/5 - Serveurs en Suisse ;
- Authentification des contacts ;
- TLS + AES ;
- Une clef de cryptage par destinataire.
- Serveurs localisés en Suisse ;
- Une clef de cryptage par destinataire ;
- La société ne vend pas les informations personnelles ;
- Toutes les plateformes (y compris BlackBerry).
- Publicité ciblée ;
- La société reprend les UDIDs.
Oui - Android ;
- iOS ;
- BlackBerry.
4 Bleep 3/5 2/5 4/5 2.8/5 - P2P ;
- Serveurs décentralisés.
- Le système utilise le P2P ;
- Les CGUs sont proches de celle de bittorrent ;
- Support de toutes les plateformes mobiles.
- La société collabore avec les gouvernements ;
- Sous la tutelle de la loi américaine.
Non - Android ;
- iOS.
5 TigerText 3/5 1/5 4/5 2.4/5 - Autodestruction des messages ;
- Cryptage.
- Autodestruction des messages ;
- Les cookies ne sont pas utilisés pour récolter des informations personnelles ;
- Les messages sont supprimés des serveurs une fois qu’ils ont été envoyés.
- L’entreprise collabore avec le gouvernement en cas de besoin ;
- Application de la loi californienne ;
- Le système ne gère pas le DoNotTrack.
Non - Android ;
- iOS.

Les services de mail sécurisés

Classement Nom Note Fiabilité Technique Note Fiabilité CGU Note Facilité d’utilisation Total Note Fiabilité Mécanismes de protection Points forts Points faibles Considéré comme fiable ? Plateforme
1 Protonmail 4/5 4/5 4/5 4.4/5 - Licence GPL ;
- Chiffrement en local.
- Les serveurs sont localisés en Suisse ;
- Le cryptage se fait en local ;
- Ne nécessite aucune information pour se créer un compte ;
- L’utilisateur peut choisir d’autodétruire son mail après un certain temps ;
- Les disques durs de la société sont encroûtés ;
- Les informations ne sont jamais vendues ;
- Même les mails reçus non cryptés le sont avant le stockage.
- Les sujets des messages sont accessibles à la société. Oui - Navigateur.
2 Tutanota 3/5 3/5 3/5 3/5 - Licence GPL ;
- Chiffrement en local.
- Licence GPL ;
- Cryptage en local ;
- Aucune vente d’informations personnelles.
- La société sauvegarde les informations de payements ;
- Les informations peuvent toujours être gardées après la suppression du compte.
Oui - iOS ;
- Android ;
- Navigateur.
3 s-mail 3/5 2/5 2/5 2.8/5 - SPGP ;
- DSA ;
- SSL ;
- PGP ;
- DSA ;
- SSL ;
- Les informations personnelles ne sont pas vendues ;
- Les messages ne sont jamais enregistrés en clair ;
- Les mots de passe ne sont jamais enregistrés.
- La société récolte quelques informations personnelles. Non - Navigateur.
4 Neomailbox 2/5 3/5 3/5 2.6/5 - PGP ;
- SSL ;
- Serveurs en Suisse.
- Les serveurs sont localisés en Suisse ;
- SSL ;
- PGP ;
- La création d’un compte ne nécessite aucune information personnelle ;
- Payement possible par monnaie électronique ;
- Les informations personnelles ne sont pas vendues.
- Chiffrement côté serveur ?. Non - Navigateur ;
- IMAP.
5 Hushmail 1/5 3/5 3/5 1.8/5 - PGP - PGP ;
- La société ne vend pas les informations.
- La société garde beaucoup d’informations ;
- Les mails non cryptés sont stockés en clair ;
- La suppression du compte ne supprime pas les logs d’utilisation ;
- La société accepte de donner les informations client aux gouvernements dans certains cas.
Non Navigateur

Pistes de protection avancées

Cette section ne fera que citer d’autres pistes pour améliorer la protection de votre privée.
Voici les pistes que nous proposons :