Sujets

Instaurer une culture
de la sécurité
Une base solide :
Sécurisation des comptes
et des appareils
Communiquer et
stocker des données en toute sécurité
Rester en sécurité
sur Internet
Protection de la sécurité
physique
Que faire quand
les choses tournent mal

Communiquer et stocker des données en toute sécurité

Communications et partage des données

Dernière mise à jour : Juillet 2022

Afin de prendre les meilleures décisions pour votre organisation sur la manière de communiquer, il est essentiel de comprendre les différents types de protection que nos communications peuvent avoir, et pourquoi cette protection est importante. L'un des éléments les plus importants de la sécurité des communications consiste à préserver la confidentialité des communications privées, ce qui, à l'ère moderne, est largement assuré par le chiffrement (cryptage). Sans un chiffrement approprié, les communications internes peuvent être interceptées par un grand nombre d'adversaires. Les communications non sécurisées peuvent exposer des informations et des messages sensibles ou embarrassants, révéler des mots de passe ou d'autres données privées, et éventuellement mettre votre personnel et votre organisation en danger, selon la nature de vos communications et du contenu que vous partagez.

Communications sécurisées et la société civile

Image of political protestors in Belarus

Des milliers d'organisations et de militants pour la démocratie et les droits de l'homme s'appuient chaque jour sur des canaux de communication sécurisés pour préserver la confidentialité des conversations dans des environnements politiques difficiles. Sans ces pratiques de sécurité, les messages sensibles peuvent être interceptés et utilisés par les autorités pour cibler les militants et disperser les manifestations. Un exemple flagrant et bien documenté de ce phénomène s'est produit au lendemain des élections de 2010 au Belarus. Comme l'explique en détail ce rapport d'Amnesty International, des enregistrements téléphoniques et d'autres communications non cryptées ont été interceptés par le gouvernement et utilisés devant les tribunaux contre des personnalités politiques et des militants de l'opposition, dont beaucoup ont passé des années en prison. En 2020, une nouvelle vague de manifestations postélectorales au Belarus a vu des milliers de manifestants adopter des applications de messagerie conviviales et sécurisées, qui n'étaient pas aussi facilement disponibles dix ans auparavant, afin de protéger leurs communications sensibles.

Qu'est-ce que le chiffrement et pourquoi est-il important ?

Le chiffrement (cryptage) est un processus mathématique utilisé pour brouiller un message ou un fichier afin que seule une personne ou une entité possédant la clé puisse le « déchiffrer » et le lire. Sans cryptage, nos messages peuvent être lus par des adversaires potentiels, notamment votre fournisseur d'accès à Internet (FAI), des gouvernements hostiles ou des pirates informatiques. Le guide Surveillance Self Defense de l'Electronic Frontier Foundation fournit une explication pratique (avec des graphiques) de ce que représente le chiffrement :

Messagerie non chiffrée

Image of no encryption being used for a message in transit

Comme vous pouvez le voir sur l'image ci-dessus, un smartphone envoie un message texte vert et non chiffré (« hello ») à un autre smartphone situé à l'extrême droite. En cours de route, une tour de téléphonie mobile (ou, dans le cas d'un message envoyé par internet, votre fournisseur d'accès à internet, appelé FAI) transmet le message aux serveurs de l'entreprise. De là, il traverse le réseau jusqu'à une autre tour de téléphonie mobile, qui peut voir le message « hello » non chiffré, et est finalement acheminé vers sa destination. Il est important de noter que sans aucun cryptage, toutes les personnes impliquées dans la transmission du message, ainsi que toute personne qui peut jeter un coup d'œil au moment où il passe, peuvent lire son contenu. Cela n'a peut-être pas beaucoup d'importance si vous ne faites que dire « bonjour », mais cela peut être un problème si vous communiquez quelque chose de plus privé ou de plus sensible que vous ne voulez pas que votre télécom, votre FAI, un gouvernement hostile ou tout autre adversaire voie. Pour cette raison, il est essentiel d'éviter d'utiliser des outils non chiffrés pour envoyer des messages sensibles (et idéalement tout message). N'oubliez pas que certaines des méthodes de communication les plus populaires (comme les SMS et les appels téléphoniques) fonctionnent pratiquement sans aucun cryptage (comme sur l'image ci-dessus).

Il existe deux manières de crypter des données lors de leur déplacement : le chiffrement de la couche de transport et le chiffrement de bout en bout. Il est important de connaître le type de chiffrement pris en charge par un fournisseur de services lorsque votre organisation fait des choix pour adopter des pratiques et des systèmes de communication plus sûrs. De telles différences sont bien décrites par le guide Surveillance Self-Defense, qui est à nouveau adapté ici :

Le chiffrement de la couche de transport, également connu sous le nom de Sécurité de la couche de transport (TLS), protège les messages lorsqu'ils transitent de votre appareil vers les serveurs de l'application ou du service de messagerie et, de là, vers l'appareil de votre destinataire. Ils sont ainsi protégés des regards indiscrets des pirates informatiques qui se trouvent sur votre réseau ou chez vos fournisseurs de services Internet ou de télécommunications. Cependant, entre les deux, votre fournisseur de services de messagerie ou de courriel, le site web sur lequel vous naviguez ou l'application que vous utilisez peuvent voir des copies non chiffrées de vos messages. Étant donné que vos messages peuvent être consultés par les serveurs de l'entreprise (et sont souvent stockés sur ces derniers), ils peuvent être vulnérables aux demandes des forces de l'ordre ou au vol si les serveurs de l'entreprise sont compromis.

Chiffrement de la couche de transport 

Image of transport layer encryption being used for a message

L'image ci-dessus montre un exemple de chiffrement de la couche de transport. Sur la gauche, un smartphone envoie un message vert, non chiffré : « Hello. » Ce message est chiffré et ensuite transmis à une tour de téléphonie mobile. Au milieu, les serveurs de l'entreprise sont en mesure de déchiffrer le message, de lire son contenu, de décider où l'envoyer, de le rechiffrer et de l'envoyer à la prochaine tour de téléphonie mobile vers sa destination. A la fin, l'autre smartphone reçoit le message chiffré et le déchiffre pour lire « Hello. »

Le chiffrement de bout en bout protège les messages en transit, de l'expéditeur au destinataire. Il garantit que l'information est transformée en un message secret par son expéditeur initial (le premier « bout ») et décodée uniquement par son destinataire final (le second « bout »). Personne, y compris l'application ou le service que vous utilisez, ne peut « écouter » et mettre sur écoute votre activité.

Chiffrement de bout en bout

Image of end-to-end encryption being used for a message

L'image ci-dessus montre un exemple de chiffrement de bout en bout. Sur la gauche, un smartphone envoie un message vert, non chiffré : « Hello. » Ce message est chiffré, puis transmis à une tour de téléphonie mobile, puis aux serveurs de l'application ou du service, qui ne peuvent pas lire le contenu, mais transmettent le message secret à sa destination. A la fin, l'autre smartphone reçoit le message chiffré et le déchiffre pour lire « Hello. » Contrairement au chiffrement de la couche de transport, votre FAI ou votre hôte de messagerie n'est pas en mesure de déchiffrer le message. Seuls les points d'extrémité (les dispositifs d'origine qui envoient et reçoivent les messages chiffrés) disposent des clés pour déchiffrer et lire le message.

De quel type de chiffrement avons-nous besoin ?

Lorsque vous déterminez si votre organisation a besoin d'un chiffrement de la couche transport ou d'un chiffrement de bout en bout pour vos communications (ou d'une combinaison des deux pour différents systèmes et activités), les grandes questions que vous devez poser portent sur la confiance. Par exemple, faites-vous confiance à l'application ou au service que vous utilisez ? Faites-vous confiance à son infrastructure technique ? Êtes-vous préoccupé par la possibilité qu'un gouvernement hostile puisse forcer l'entreprise à remettre vos messages et, si c'est le cas, faites-vous confiance aux politiques de l'entreprise pour se protéger contre les demandes des forces de l'ordre ?

Si vous répondez « non » à l'une de ces questions, vous avez besoin d'un chiffrement de bout en bout. Si vous répondez « oui » à ces questions, un service qui ne prend en charge que le chiffrement de la couche de transport peut suffire, mais il est généralement préférable d'opter pour des services qui prennent en charge le chiffrement de bout en bout lorsque cela est possible.

Lorsque vous envoyez des messages à des groupes, gardez à l'esprit que la sécurité de vos messages est fonction de la sécurité effective de tous ceux qui les reçoivent. En plus de choisir soigneusement des applications et des systèmes sécurisés, il est important que tous les membres du groupe suivent d'autres bonnes pratiques concernant la sécurité des comptes et des appareils. Il suffit d'un seul mauvais intervenant ou d'un seul appareil infecté pour que le contenu d'une conversation ou d'un appel de groupe entier soit divulgué.

Quels outils de messagerie chiffrée de bout en bout devrions-nous utiliser (à partir de 2022) ?

Si vous devez utiliser le chiffrement de bout en bout, ou si vous souhaitez simplement adopter la meilleure pratique quel que soit le contexte de menace de votre organisation, voici quelques exemples fiables de services qui, à partir de 2022, offrent une messagerie et des appels chiffrés de bout en bout. Cette section du manuel sera régulièrement mise à jour en ligne, mais veuillez noter que les choses évoluent rapidement dans le monde de la messagerie sécurisée, de sorte que ces recommandations peuvent ne pas être à jour au moment où vous lisez cette section. Gardez à l'esprit que la sécurité de vos communications dépend de celle de votre appareil. Ainsi, en plus d'adopter des pratiques de messagerie sécurisée, il est essentiel de mettre en œuvre les meilleures pratiques décrites dans la section Sécurité des dispositifs de ce manuel.

Messagerie texte (individuelle ou collective)

  • Signal
  • WhatsApp (uniquement avec les configurations de paramètres spécifiques détaillées ci-dessous)

Appels audio et vidéo:

  • Signal (jusqu'à 40 personnes)
  • WhatsApp (jusqu'à 32 personnes en audio, huit en vidéo)

Partage de fichiers:

  • Signal
  • Keybase / Équipes Keybase
  • OnionShare + une application de messagerie chiffrée de bout en bout comme Signal

Qu'est-ce que les métadonnées et devons-nous nous en préoccuper ?

Les personnes à qui vous et votre personnel parlez et quand et vous leur parlez, tout cela peut souvent être aussi problématique que ce dont vous parlez. Il est important de se rappeler que le chiffrement de bout en bout ne protège que le contenu (le « quoi ») de vos communications. C'est là que les métadonnées entrent en jeu. Le guide Surveillance Self-Defense de l'EFF donne une présentation des métadonnées et explique pourquoi elles sont importantes pour les organisations (en incluant une illustration de ce à quoi ressemblent les métadonnées) :

Les métadonnées sont souvent décrites comme étant tout sauf le contenu de vos communications. Vous pouvez considérer les métadonnées comme l'équivalent numérique d'une enveloppe. Tout comme une enveloppe contient des informations sur l'expéditeur, le destinataire et la destination d'un message, il en va de même pour les métadonnées. Les métadonnées sont des informations sur les communications numériques que vous envoyez et recevez. Voici quelques exemples de métadonnées :

  • avec qui vous communiquez
  • la ligne d'objet de vos courriels
  • la durée de vos conversations
  • l'heure à laquelle une conversation a eu lieu
  • votre localisation lors de la communication

Même un minuscule échantillon de métadonnées peut fournir une vision intime des activités de votre organisation. Voyons à quel point les métadonnées peuvent être révélatrices pour les pirates, les agences gouvernementales et les entreprises qui les collectent :

  • Ils savent que vous avez appelé un journaliste et parlé avec lui pendant une heure avant que ce dernier ne publie un article avec une citation anonyme. Cependant, ils ne savent pas de quoi vous avez parlé.
  • Ils savent que plusieurs employés de votre organisation ont envoyé un message à un important formateur local en sécurité numérique. Mais le sujet des messages reste secret.
  • Ils savent que vous avez reçu un e-mail d'un service de test de COVID, puis que vous avez appelé votre médecin, puis que vous avez visité le site web de l'Organisation mondiale de la santé dans la même heure. Cependant, ils ne savent pas ce que contenait l'e-mail ni ce dont vous avez parlé au téléphone.
  • Ils savent que vous avez reçu un e-mail d'un groupe local de défense des droits de l'homme avec pour objet « Dire au gouvernement : arrêtez d'abuser de votre pouvoir ». Mais le contenu de l'e-mail ne leur est pas visible

Les métadonnées ne sont pas protégées par le chiffrement fourni par la plupart des services de messagerie. Si vous envoyez un message sur WhatsApp, par exemple, n'oubliez pas que, même si le contenu de votre message est chiffré de bout en bout, il est toujours possible pour d'autres personnes de savoir à qui vous envoyez des messages, à quelle fréquence et, dans le cas des appels téléphoniques, pendant combien de temps. Par conséquent, vous devez garder à l'esprit les risques qui existent (le cas échéant) si certains adversaires sont en mesure de savoir à qui votre organisation parle, quand vous leur avez parlé et (dans le cas des e-mails) les lignes d'objet générales des communications de votre organisation.

L'une des raisons pour lesquelles Signal est si fortement recommandé est que, en plus de fournir un chiffrement de bout en bout, il a introduit des fonctionnalités et pris des engagements afin de réduire la quantité de métadonnées qu'il enregistre et stocke. Par exemple, la fonction « Expéditeur scellé » de Signal chiffre les métadonnées relatives à la personne qui parle à un autre, de sorte que Signal ne connaît que le destinataire d'un message, mais pas l'expéditeur. Par défaut, cette fonction ne fonctionne que lorsque vous communiquez avec des contacts ou des profils existants (personnes) avec lesquels vous avez déjà communiqué ou que vous avez enregistrés dans votre liste de contacts. Cependant, vous pouvez activer ce paramètre « Expéditeur scellé » pour « Autoriser de n'importe qui » s'il est important pour vous d'éliminer ces métadonnées dans toutes les conversations Signal, même celles avec des personnes qui vous sont inconnues.

Qu'en est-il des courriels ?

La plupart des fournisseurs de courriel, par exemple Gmail, Microsoft Outlook et Yahoo Mail, utilisent le chiffrement de la couche de transport. Par conséquent, si vous devez communiquer du contenu sensible par courriel et que vous craignez que votre fournisseur de courriel ne soit légalement tenu de fournir des informations sur vos communications à un gouvernement ou à un autre adversaire, vous devriez envisager d'utiliser une option de courriel chiffré de bout en bout. Il faut toutefois garder à l'esprit que même les options de chiffrement de bout en bout des courriels laissent à désirer du point de vue de la sécurité, par exemple en ne chiffrant pas les lignes d'objet des courriels et en ne protégeant pas les métadonnées. Si vous devez communiquer des informations particulièrement sensibles, les courriels ne sont pas la meilleure solution. Optez plutôt pour des options de messagerie sécurisée comme Signal.

Si votre organisation continue à une messagerie électronique, il est essentiel d'adopter un système applicable à l'ensemble de l'organisation. Cela vous permet de limiter les risques courants qui surviennent lorsque le personnel utilise des adresses courriels personnelles pour travailler, notamment en ce qui concerne les mauvaises pratiques de sécurité liées aux comptes. Par exemple, en fournissant des comptes messagerie électronique au personnel de l'organisation, vous pouvez appliquer des mots de passe forts et un système 2FA sur tous les comptes gérés par votre organisation. Si, selon votre analyse, un chiffrement de bout en bout est nécessaire pour votre messagerie électronique, Protonmail et Tutanota proposent tous deux des programmes destinés aux organisations. Si le chiffrement de la couche de transport est adéquat pour la messagerie électronique de votre organisation, des options comme Google Workspace (Gmail) ou Microsoft 365 (Outlook) peuvent être intéressantes.

Peut-on vraiment faire confiance à WhatsApp ?

WhatsApp est un choix populaire en matière de messagerie sécurisée et peut constituer une bonne option compte tenu de son omniprésence. Certains s'inquiètent du fait qu'il est détenu et contrôlé par Facebook, qui s'est efforcé de l'intégrer à ses autres systèmes. D'autres sont également préoccupées par la quantité de métadonnées (c'est-à-dire des informations sur les personnes avec qui vous communiquez et quand) que WhatsApp collecte. Si vous choisissez d'utiliser WhatsApp comme option de messagerie sécurisée, veillez à lire la section ci-dessus sur les métadonnées. Il y a également quelques paramètres dont il est nécessaire de s'assurer qu'ils soient correctement configurés. Plus important encore, assurez-vous de désactiver les sauvegardes dans le nuage ou, à tout le moins, d'activer la nouvelle fonctionnalité de sauvegardes chiffrées de bout en bout de WhatsApp en utilisant une clé de chiffrement à 64 chiffres ou un code de passe long, aléatoire et unique enregistré dans un endroit sûr (comme votre gestionnaire de mots de passe). Veillez également à afficher les notifications de sécurité et à vérifier les codes de sécurité. Vous pouvez trouver des guides pratiques simples pour configurer ces paramètres sur les téléphones Android ici et les iPhones ici. Si votre personnel *et ceux avec qui vous communiquez tous* ne configurent pas correctement ces options, alors il ne faut pas considérer WhatsApp comme une bonne option pour les communications sensibles qui nécessitent un chiffrement de bout en bout. Signal reste la meilleure option pour ces besoins de messagerie chiffrée de bout en bout, compte tenu de ses paramètres par défaut sécurisés ainsi que de ses mesures de protection des métadonnées.

Et les textos ?

Les messages texte de base ne sont pas du tout sécurisés (les SMS standard sont effectivement non chiffrés) et doivent être évités pour tout ce qui n'est pas destiné à être connu du public. Bien que les messages entre iPhone d'Apple (connus sous le nom d'iMessages) soient chiffrés de bout en bout, s'il n'y a pas d'iPhone dans la conversation, les messages ne sont pas sécurisés. Il vaut mieux être prudent et éviter les SMS pour tout ce qui est de loin sensible, privé ou confidentiel.

Pourquoi Telegram, Facebook Messenger ou Viber ne sont-ils pas recommandés pour les discussions sécurisées ?

Certains services, comme Facebook Messenger et Telegram, n'offrent un chiffrement de bout en bout que si vous l'activez délibérément (et uniquement pour les discussions en tête-à-tête). Ce ne sont donc pas de bonnes options pour les communications sensibles ou privées, surtout pour une organisation. Ne vous fiez pas à ces outils si vous devez utiliser le chiffrement de bout en bout, car il est assez facile d'oublier de modifier les paramètres par défaut, qui sont moins sûrs. Viber affirme offrir un chiffrement de bout en bout, mais n'a pas mis son code à la disposition des chercheurs en sécurité externes afin qu'ils puissent l'examiner. Le code de Telegram n'a pas non plus été mis à disposition pour un audit public. Par conséquent, de nombreux experts craignent que le chiffrement de Viber (ou les « discussions secrètes » de Telegram) ne soit pas conforme aux normes et ne convienne donc pas aux communications qui nécessitent un véritable chiffrement de bout en bout.

Nos contacts et collègues utilisent d'autres applications de messagerie. Comment les convaincre de télécharger une nouvelle application pour communiquer avec nous ?

Il faut parfois faire un compromis entre sécurité et praticité, mais un petit effort supplémentaire en vaut la peine afin de garantir la sécurité des communications sensibles. Donnez le bon exemple à vos contacts. Si vous devez utiliser d'autres  systèmes moins sûrs, faites très attention à ce que vous dites. Évitez de discuter de sujets sensibles. Certaines organisations peuvent utiliser un système pour les discussions générales et un autre avec la direction pour les discussions les plus confidentielles. Bien sûr, le plus simple est que tout soit automatiquement chiffré en permanence, car ainsi il n'y a rien à oublier ou à penser.

Heureusement, les applications chiffrées de bout en bout comme Signal sont de plus en plus populaires et conviviales ; sans compter qu'elles ont été adaptées dans des dizaines de langues afin de pouvoir être utilisées dans le monde entier. Si vos partenaires ou autres contacts ont besoin d'aide pour passer à une option de chiffrement de bout en bout comme Signal, prenez le temps de leur expliquer pourquoi il est si important de protéger correctement vos communications. Lorsque tout le monde en comprendra l'importance, les quelques minutes nécessaires au téléchargement d'une nouvelle application et les quelques jours qu'il faudra peut-être pour s'habituer à l'utiliser ne sembleront pas être de trop.

Existe-t-il d'autres paramètres pour les applications chiffrées de bout en bout que nous devrions connaître ?

Avec l'application Signal, la vérification des codes de sécurité (qu'ils appellent numéros de sécurité) est également importante. Pour afficher un numéro de sécurité et le vérifier avec Signal, vous pouvez ouvrir votre discussion avec un contact, appuyer sur son nom en haut de votre écran, puis faire défiler l'écran vers le bas pour appuyer sur « Afficher le numéro de sécurité ». Si votre numéro de sécurité correspond à celui de votre contact, vous pouvez le marquer comme « vérifié » à partir de ce même écran. Il est particulièrement important de prêter attention à ces numéros de sécurité et de vérifier vos contacts si vous recevez une notification dans une discussion indiquant que votre numéro de sécurité avec un contact donné a changé. Si vous ou d'autres membres du personnel ont besoin d'aide pour configurer ces paramètres, Signal lui-même fournit des instructions pratiques.

Si vous utilisez Signal, qui est largement considéré comme la meilleure option conviviale en matière de messagerie sécurisée et d'appels individuels, veillez à définir un code pin fort. Utilisez au moins six chiffres sans utiliser quelque chose de facile à deviner comme votre date de naissance. 

Pour plus de conseils sur la façon de configurer correctement Signal et WhatsApp, vous pouvez consulter les guides d'outils élaborés par l'EFF pour ces deux produits dans son guide Surveillance Self-Defense Guide.

Utilisation des applications de discussion dans le monde réel

Pour limiter les dégâts en cas de perte, de vol ou de confiscation d'un téléphone, la meilleure pratique consiste à réduire au minimum l'historique des messages enregistrés sur votre téléphone. Un moyen simple d'y parvenir est d'activer l’option « Messages éphémères » pour les discussions de groupe de votre organisation et d'encourager le personnel à faire de même avec leurs discussions personnelles.

Avec Signal et d'autres applications de messagerie populaires, vous pouvez programmer une minuterie pour que les messages disparaissent un certain nombre de minutes ou d'heures après avoir été lus. Ce paramètre peut être personnalisé en fonction de la discussion individuelle ou du groupe. Pour la plupart d'entre nous, définir une fenêtre de disparition sur une semaine vous donne largement le temps de vérifier certaines choses tout en ne préservant pas les messages dont vous n'aurez jamais besoin, mais qui pourraient potentiellement être utilisés contre vous à l'avenir. N'oubliez pas que ce que vous n'avez pas ne peut être volé.

Pour activer les messages éphémères dans Signal, ouvrez une discussion, appuyez sur le nom de la personne ou du groupe avec lequel vous discutez, appuyez sur messages éphémères, choisissez un délai et appuyez sur OK. Un paramètre similaire existe dans WhatsApp.

Dans les situations plus graves où il est nécessaire de supprimer immédiatement un message, peut-être parce que le téléphone d'une personne a été volé ou que vous avez envoyé un message à la mauvaise personne, notez que Signal vous permet de supprimer un message destiné à un groupe ou à une personne sur le téléphone de tout le monde dans les trois heures suivant son envoi, simplement en le supprimant de votre discussion. Telegram reste populaire dans de nombreux pays malgré ses limites en matière de chiffrement grâce à une fonction similaire qui permet aux utilisateurs de supprimer des messages sur tous les appareils sans restriction.

Cela dit, si votre organisation est préoccupée par la sécurité du personnel suite à des communications qui pourraient être consultées sur leurs téléphones, l'utilisation de messages disparaissant avec des délais courts est probablement l'option la plus simple et la plus viable.

Qu'en est-il des appels vidéo de groupes plus importants ? Existe-t-il des options de chiffrement de bout en bout ?

Avec l'augmentation du travail à distance, il est important de disposer d'une option sécurisée pour les appels vidéo de groupe de votre organisation. Malheureusement, il n'existe pas actuellement de grandes options qui remplissent toutes les conditions : convivialité, prise en charge d'un grand nombre de participants et de fonctions de collaboration, et chiffrement de bout en bout par défaut.

Pour les groupes de 40 personnes maximum, il est recommandé d'opter pour Signal avec son chiffrement de bout en bout. Les appels vidéo de groupe sur Signal peuvent être rejoints soit à partir d'un smartphone, soit à partir de l'application de bureau Signal sur un ordinateur qui permet le partage d'écran. N'oubliez pas, cependant, que seuls vos contacts qui utilisent déjà Signal peuvent être ajoutés à un groupe Signal.

Si vous recherchez d'autres options, Jitsi Meet est une plateforme qui a récemment intégré un paramètre de chiffrement de bout en bout. itsi Meet est une solution d'audioconférence et de vidéoconférence basée sur le web qui peut fonctionner pour de grands publics (jusqu'à 100 personnes) et ne nécessite aucun téléchargement d'application ou de logiciel spécial. Notez que si vous utilisez cette fonction avec des groupes importants (plus de 15-20 personnes), la qualité de l'appel peut baisser. Pour organiser une réunion sur Jitsi Meet, vous pouvez vous rendre sur meet.jit.si, saisir un code de réunion et partager ce lien (via un canal sécurisé tel que Signal) avec les participants souhaités. Pour utiliser le chiffrement de bout en bout, jetez un coup d'œil à ces instructions décrites par Jitsi. Notez que tous les utilisateurs individuels devront eux-mêmes activer le chiffrement de bout en bout pour que cela fonctionne. Lorsque vous utilisez Jitsi, veillez à créer des noms de salle de réunion aléatoires et à utiliser des codes d'accès forts pour protéger vos appels.

Si cette option ne convient pas à votre organisation, vous pouvez envisager d'utiliser une option commerciale populaire comme Webex ou Zoom avec un chiffrement de bout en bout activé. Webex offre un chiffrement de bout en bout depuis longtemps. Toutefois, cette option n'est pas activée par défaut et les participants doivent télécharger Webex pour rejoindre votre réunion. Afin de bénéficier de l'option de chiffrement de bout en bout pour votre compte Webex, vous devez ouvrir un cas d'assistance Webex et suivre ces instructions pour vous assurer que le chiffrement de bout en bout est configuré. Seul l'hôte de la réunion doit activer le chiffrement de bout en bout. De cette manière, la réunion entière sera chiffrée de bout en bout. Si vous utilisez Webex pour des réunions de groupe et des ateliers sécurisés, veillez à activer également des codes d'accès forts pour vos appels.

Après des mois de publicité négative, Zoom a développé une option de chiffrement de bout en bout pour ses appels. Cependant, cette option n'est pas activée par défaut, exige que l'hôte de l'appel associe son compte à un numéro de téléphone et ne fonctionne que si tous les participants se joignent via l'application de bureau ou mobile Zoom au lieu de composer un numéro. Comme il est facile de mal configurer ces paramètres par accident, il n'est pas idéal de se fier à Zoom comme option de chiffrement de bout en bout. Toutefois, si vous avez besoin d'un chiffrement de bout en bout et que Zoom est votre seule option, vous pouvez suivre les instructions de Zoom afin de le configurer. N'oubliez pas de vérifier avant le début de l'appel qu'il est bien chiffré de bout en bout en cliquant sur le cadenas vert dans le coin supérieur gauche de l'écran Zoom et en voyant la mention « bout en bout » à côté du paramètre de chiffrement. Vous devez également définir un code d'accès fort pour chaque réunion Zoom.

En plus des outils mentionnés ci-dessus, ce diagramme élaboré par Frontline Defenders met en évidence certaines options d'appel et de conférence vidéo qui, en fonction de votre contexte de risque, pourraient se révéler intéressantes pour votre organisation.

Il convient toutefois de noter que certaines fonctions populaires des outils ci-dessus ne fonctionnent qu'avec le chiffrement de la couche de transport. Par exemple, l'activation du chiffrement de bout en bout de Zoom désactive les salles de réunion, les fonctions de sondage et l'enregistrement dans le nuage. Avec Jitsi Meet, les salles de pause peuvent désactiver la fonction de chiffrement de bout en bout, ce qui réduit involontairement la sécurité.

Et si nous n'avions vraiment pas besoin d'un chiffrement de bout en bout pour toutes nos communications ?

Si un chiffrement de bout en bout n'est pas nécessaire pour toutes les communications de votre organisation en fonction de votre évaluation des risques, vous pouvez envisager d'utiliser des applications protégées par le chiffrement de la couche de transport. N'oubliez pas que ce type de chiffrement exige que vous fassiez confiance au fournisseur de services, tel que Google pour Gmail, Microsoft pour Outlook/Exchange ou Facebook pour Messenger, car il peut consulter/entendre vos communications (ainsi que toute personne avec laquelle il pourrait être contraint de partager des informations). Une fois encore, les meilleures options dépendront de votre profil de menace (par exemple, si vous ne faites pas confiance à Google ou si le gouvernement américain est votre adversaire, Gmail n'est pas une bonne option), mais voici quelques options populaires et généralement fiables :

 

Courriel

  • Gmail (via Google Workspace)
  • Outlook (via Office 365)
    • N'hébergez pas votre propre serveur Microsoft Exchange pour le message électronique de votre organisation. Si vous le faites actuellement, vous devez migrer vers Office 365.

Messagerie texte (individuelle ou collective)

  • Google Hangouts
  • Slack
  • Microsoft Teams
  • Mattermost
  • Line
  • KaKao Talk
  • Telegram

Conférences de groupe, appels audio et vidéo

  • Jitsi Meet
  • Google Meet
  • Microsoft Teams
  • Webex
  • GotoMeeting
  • Zoom

Partage de fichiers:

  • Google Drive
  • Microsoft Sharepoint
  • Dropbox
  • Slack

Une note sur le partage de fichiers

Outre le partage sécurisé des messages, le partage sécurisé des fichiers est probablement un élément important du programme de sécurité de votre organisation. La plupart des options de partage de fichiers sont intégrées aux applications ou services de messagerie que vous utilisez peut-être déjà. Par exemple, le partage de fichiers via Signal est une excellente option si vous avez besoin d'un chiffrement de bout en bout. Si le chiffrement de la couche de transport est suffisant, l'utilisation de Google Drive ou de Microsoft SharePoint peut être une bonne option pour votre organisation. Veillez simplement à configurer correctement les paramètres de partage afin que seules les personnes autorisées aient accès à un document ou à un dossier donné, et assurez-vous que ces services sont connectés aux comptes courriel de l'organisation (et non aux comptes personnels du personnel). Si vous le pouvez, interdisez le partage de fichiers sensibles via des pièces jointes de courriel ou le partage physique avec des clés USB. L'utilisation de dispositifs tels que des clés USB au sein de votre organisation augmente considérablement la probabilité de voir se manifester des logiciels malveillants ou des vols, et le fait de s'appuyer sur des courriels ou d'autres formes de pièces jointes affaiblit les défenses de votre organisation contre les attaques d'hameçonnage.

 

Alternatives organisationnelles pour le partage de fichiers

Si vous recherchez une option de partage de fichiers sécurisé pour votre organisation qui ne soit pas directement intégrée à une plateforme de messagerie (ou si vous faites face à des limites de taille de fichier lors du partage de documents volumineux), pensez à OnionShare. OnionShare est un outil à code source ouvert qui vous permet de partager de manière sécurisée et anonyme un fichier de n'importe quelle taille. L'expéditeur doit télécharger l'application OnionShare (disponible sur les ordinateurs Mac, Windows et Linux), télécharger le(s) fichier(s) qu'il souhaite partager et générer un lien unique. Ce lien, qui ne peut être traité que via le navigateur Tor, peut ensuite être partagé via n'importe quel canal de messagerie sécurisé (Signal, par exemple) avec le destinataire. Le destinataire peut alors ouvrir le lien via le navigateur Tor et télécharger le(s) fichier(s) sur son ordinateur. N'oubliez pas que la sécurité des fichiers dépend de la méthode utilisée pour partager le lien. Tor sera présenté plus en détail dans une prochaine section « avancée » du manuel, mais pour le partage de fichiers au sein de votre organisation, souvenez-vous d'OnionShare comme une alternative plus sûre pour le partage de fichiers volumineux sur des clés USB au bureau si vous ne disposez pas d'une option de fournisseur de services en nuage fiable.


Si votre organisation investit déjà dans un gestionnaire de mots de passe, comme décrit dans la section consacrée aux mots de passe de ce manuel, et opte pour le compte premium ou teams de Bitwarden, la fonctionnalité Bitwarden Send fest une autre option pour bénéficier d'un partage de fichiers sécurisé. Cette fonction permet aux utilisateurs de créer des liens sécurisés pour partager des fichiers chiffrés via n'importe quel canal de messagerie sécurisé (tel que Signal). La taille des fichiers est limitée à 100 Mo, mais Bitwarden Send vous permet de fixer une date d'expiration pour les liens, de protéger par mot de passe l'accès aux fichiers partagés et de limiter le nombre de fois que votre lien peut être ouvert.

Communiquer et partager des données en toute sécurité

  • Exigez l'utilisation de services de messagerie de confiance chiffrés de bout en bout pour les communications sensibles de votre organisation (et idéalement pour toutes les communications).
    • Prenez le temps d'expliquer au personnel et aux partenaires externes pourquoi les communications sécurisées sont si importantes ; cela renforcera les chances de succès de votre programme.
  • Définissez une politique sur la durée de conservation des messages et sur le moment où l'organisation utilisera des communications « éphémères ».
  • Assurez-vous que les paramètres appropriés sont configurés pour les applications de communication sécurisées, notamment :
    • Assurez-vous que tous les membres du personnel sont attentifs aux notifications de sécurité et, s'ils utilisent WhatsApp, qu'ils ne sauvegardent pas les conversations.
    • Si vous utilisez une application où le chiffrement de bout en bout n'est pas activé par défaut (par exemple Zoom ou Webex), assurez-vous que les utilisateurs concernés ont activé les paramètres appropriés au début de tout appel ou réunion.
  • Utilisez des services de messagerie électronique basés sur le nuage, tels qu'Office 365 ou Gmail, pour votre organisation.
    • N'essayez pas d'héberger votre propre serveur de messagerie électronique.
    • N'autorisez pas le personnel à utiliser des comptes de messagerie électronique personnels dans le cadre de son travail.
  • Rappelez fréquemment à votre organisation les meilleures pratiques de sécurité liées à la messagerie de groupe et aux métadonnées.
    • Faites attention à qui est inclus dans les messages de groupe, les discussions en ligne et les fils de discussion par courriel.