Les gourous de la sécurité contre les écoutes VoIP
Le Comité de Rédaction du rapport anti-écoutes est beau comme une brochette de la RSA Conference : Steve Bellovin, Matt Blaze, Vinton Cerf, Whitfield Diffie, Susan Landau... on y retrouve même Clinton Brooks ; ex chercheur du département « crypto » de la NSA. Du « Beau linge » qui proteste contre une récente décision de la cour d'appel envers la FCC américaine visant à étendre les possibilités d'écoute téléphoniques aux infrastructures VoIP. Or, jusqu'à présent, la téléphonie sur Internet était à l'abris de ce genre de problème, puisque le Communications Assistance for Law Enforcement Act (Calea) stipulait que les fournisseur d'accès et les réseaux de données étaient exclus de ce genre de mesures qui ne pouvaient s'appliquer qu'aux POT's. Où commence le numérique « data » et ou s'achève la téléphonie « numérique » ? Où commence un flicage systématique de la NSA et ou s'achève une « perquisition légale » de tout échange informatique sans l'ombre de la moindre commission rogatoire ? (ou de son proche équivalent américain) ? Mais ce qui inquiète le plus ce comité des sages, c'est le coût et la très probable inefficacité d'un tel système. Contrairement au réseau téléphonique classique, qui demeure technologiquement homogène, le traçage d'une communication implique non seulement la collaboration active du fournisseur de services VoIP, mais encore un système de tracking de l'information tout au long de son parcours sur le réseau Internet. Et quand bien même un tel outil serait disponible qu'il ne servirait pas à grand-chose tant que l'on ne saurait mettre en relation ET les données du prestataire VoIP, ET les données des différents fournisseurs de transport IP rencontrés sur Internet. En outre, tout appel provenant du dehors des Etats-Unis échapperait à ces dispositions sacrément liberticides. On pourrait également préciser que ce n'est pas une « mesurette » de cette nature qui risque de faire peur aux personnes animées de mauvaises intentions. Une communication VoIP cryptée, même d'un code ne résistant qu'une heure ou deux face aux casseurs de la NSA, n'a plus tellement d'importance une fois sa « date fraîcheur » dépassée. Et lorsque cette date fraîcheur n'excède pas la dizaine de minutes, on comprend que le moindre outil de cryptage rende caduc cette décision de la Cour d'Appel. Enfin, il suffirait que n'importe quel « méchant » agissant sur le sol américain utilise un mécanisme de vpn d'anonymisation -genre le couple Tor/Privoxy, pour que l'appel passé puisse sembler provenir de Russie ou d'Allemagne, échappant alors aux contraintes légales américaines.
