Ça bouge côté messagerie sécurisée étatique

Rappelons que Telegram est une messagerie sécurisée qui a récemment fait l’actualité lorsque les autorités russes, au motif de la lutte contre le terrorisme, ont exigé que les clés de chiffrement soient mises à leur disposition, ce qui est évidemment impossible du fait du chiffrement de bout en bout, et revient de facto à interdire la messagerie sur leur sol.

Que la cinquième puissance mondiale se dote d’un outil de messagerie sécurisée validé par les experts – l’Anssi – semble une bonne chose. Apparemment, selon un autre article publié par Next INpact[2], le projet consisterait à utiliser le logiciel open source riot.im[3], dont les caractéristiques sont très intéressantes : chiffrement de bout en bout, chat de groupe, transfert de fichiers, appels audio et vidéo, disponibilité sur quasiment toutes les plateformes, etc.

Dans le monde de la santé, les pouvoirs publics ont développé la MSSanté qui, après plusieurs moutures perfectibles, est arrivée à une version tout à fait utilisable tant par les praticiens de ville que par les établissements et qui compte des centaines d’utilisateurs. Son principe peut se résumer simplement : il s’agit de créer une « zone de confiance » en interconnectant les passerelles de messagerie des opérateurs (ou des établissements de santé quand ils les maîtrisent en interne) par la mise en œuvre de protocoles équivalents au SMTPS (version sécurisée du SMTP).

Le souci est qu’il existe des cas d’utilisation non couverts par la MSSanté, lorsque, par exemple, des données médicales sont adressées à des interlocuteurs externes à l’établissement qui ne sont pas éligibles à la MSSanté, notamment les policiers. Lors de la garde à vue d’un individu appréhendé par les forces de police, celui-ci peut demander une expertise médico-légale (assurée, entre autres, par le service d’un établissement de santé), et le rapport doit être envoyé très vite (une garde à vue dure de 24 heures à 48 heures max sauf exception). Hors de question de le transmettre par La Poste ; c’est donc la messagerie électronique qui est utilisée. D’autres cas d’usage existent, comme la communication de données médicales aux services sociaux, aux caisses d’assurance maladie, etc.

Disposer d’une solution officielle de messagerie sécurisée fait partie de l’infrastructure, et pour être utilisable à la fois par des utilisateurs et des entreprises, il faut mixer des architectures de chiffrement de bout en bout, et de serveur à serveur. Quand on connaît le nombre de professionnels de toute catégorie qui communiquent par Gmail (dont les conditions d’usage, pour ceux qui l’ignoreraient, octroient tous les droits d’utilisation des contenus échangés à Google, si, si !) et en pleine affaire Facebook, disposer de moyens de communication sécurisés semble être une urgence.

Le chiffrement est une affaire sérieuse : depuis les quipus(cordelettes à nœuds) des Incas en passant par le chiffrement de Jules César (permutation circulaire), on sait que c’est l’une des conditions d’indépendance des nations. À ma gauche, Facebook (et d’autres) qui pille sans vergogne les données personnelles et des Gafa qui espionnent à tout va, à ma droite le chiffrement.

Pour ceux qui seraient intéressés, je suis en train de tester à grande échelle BlueFiles[4], un petit bijou de simplicité et d’efficacité, qui, en plus, est une initiative bien française. Le principe consiste à imprimer un document vers l’équivalent d’une imprimante virtuelle installée sur le PC, qui chiffre le message de bout en bout vers le destinataire tout en passant au travers des proxy sans difficultés. Un must !

[1] http://www.lefigaro.fr/secteur/high-tech/2018/04/13/32001-20180413ARTFIG00209-le-gouvernement-va-lancer-une-messagerie-chiffree-pour-ses-ministres-cet-ete.php 

[2] https://www.nextinpact.com/news/106463-la-france-travaille-a-messagerie-detat-chiffree-pour-cet-ete.htm   

[3] https://about.riot.im/ 

[4] https://mybluefiles.com/fr/