Vive la Résistance ! Lutte de Ladar Levison pour la vie privée numérique


présentée par The VAR Guy

en septembre de 2013, Ladar Levison, fondateur du service de courriel chiffrée Lavabit, assis devant une audience du Parlement européen à Bruxelles. Il a été demandé de témoigner dans le cadre d’une enquête de l’Union européenne sur la révélation que la National Security Agency se livrait à des activités de surveillance illégale sur ses propres citoyens et des nations souveraines qui se considéraient comme des alliés des Etats-Unis.  Quelques mois plus tôt, Levison avait fermé brusquement vers le bas de son réseau, refuser son près de la moitié un million d’utilisateurs l’accès à leurs comptes et la fermeture des opérations de Lavabit. Il lui a coûté son entreprise — et fait de lui un héros pour les défenseurs de la vie privée dans le monde entier.

Lavabit a été fondée avec l’intention d’éliminer de l’équation de la surveillance, le fournisseur de services. Levison n’a pas conserver les journaux sur son serveur et n’avaient pas accès aux courriels des utilisateurs sur le disque. Si quelqu’un voulait exercer une surveillance sur une cible, ils devront obtenir l’accès aux extrémités de l’expéditeur ou du destinataire. Il n’y avait aucun moyen d’accéder à un seul compte d’utilisateur protégé par mot de passe.

lorsque le Bureau fédéral d’enquêtes ont exigé un accès au compte de Snowden, il n’y avait qu’une seule façon de le faire. Le FBI exigé Levison tour sur clé SSL de Lavabit donc ils pourraient intercepter le mot de passe pour son compte et l’accès des données sur le disque avant il devenue crypté. Le problème c’est que ce n’était pas seulement les compte de Snowden qui auraient pu être compromise. Avoir la clé SSL aurait accordé leur accès à chaque compte sur les serveurs de Lavabit.

Voir aussi : gouvernement bévue expose les Snowden comme cible en 2013 Lavabit Email cas

que le FBI voulait la clé SSL était assez inquiétant, mais pire encore était l’ordre secret, elles sont imposées Levison, empêchant d’informer ses utilisateurs que le gouvernement fédéral avait accès à toute communication sur son réseau. Il combat l’ordonnance dans une Cour fédérale et a perdu. Il a conclu que le choix éthique seulement lui était d’arrêter.

J’ai été forcé de prendre une décision difficile : pour devenir complice de crimes contre le peuple américain ou à pied près de dix ans de dur labeur en arrêtant Lavabit, Levison posté sur la page d’accueil de la société. Après l’âme significative à la recherche, j’ai décidé de suspendre les opérations. … Je te sens méritent de savoir ce qui se passe — le premier amendement est censé pour me garantir la liberté de s’exprimer dans des situations comme ça. Malheureusement, le Congrès a adopté des lois qui disent le contraire.

« Je crois en la nécessité de mener des enquêtes. Mais ces enquêtes sont censés pour être difficile pour une raison. C’est censé pour être difficile d’envahir la vie privée de quelqu’un, à cause de comment intrusif, il est. À cause de perturbateurs comment c’est, » il a dit à la Cour européenne. « Si nous n’avons pas le droit à la vie privée, comment avons-nous discussions libres et ouvertes ? A quoi bon est le droit à la liberté d’expression s’il n’est pas protégé ? »

« Atteinte à la vie privée en ligne ne devrait pas exiger un doctorat en cryptologie ».

Levison nous a dit que quand il a commencé à Lavabit, il a tendu la main à plusieurs auteurs RFC Courriel originaux, ingénieurs de sécurité et des experts pour tenter de comprendre les limites de sécurité e-mail. Comme lui et son équipe ont commencé à déconstruire les protocoles de courrier électronique original, ils ont réalisé rapidement qu’email héritage était intrinsèquement inadaptée à l’utilisation de moderne-jour.

email est devenu notre mode de communication par défaut. En 2016, plus de 2,6 milliards d’entre nous utilisé email, échange de messages presque 205 milliards par jour.  Mais de sécurisation de messagerie n’a pas suivi le rythme avec son taux d’adoption. Nous utilisons essentiellement les protocoles de messagerie premiers développés dans les années 1970, quelle sécurité et confidentialité étaient des réflexions après coup au mieux. Courriel de retour puis a été conçu pour être plus semblable à une carte postale d’une lettre scellée, dit Levison. Toute personne qui s’est passé à venir à travers elle pourrait lire.

aujourd’hui, il y a de nombreux ad hoc des technologies de sécurité là-bas, y compris les solutions de chiffrement de courrier électronique tels que GPG et S/MIME. Mais ils êtes cloués sur les protocoles de courriel existante, ne pas intégrés, et la plupart d’entre eux nécessite un haut niveau d’expertise et d’effort de l’utilisateur. Ils sont encombrants et Levison dit qu’aucun fournir une protection à l’extérieur de leurs propres jardins clos, ce qui signifie une plate-forme fermée dans laquelle les fournisseurs de services contrôlent toutes les applications et le contenu. Ces deux éléments — Difficulté de l’utilisation et l’incapacité de chiffrer les communications à l’extérieur d’un réseau propre du fournisseur de service — empêcher le chiffrement de courrier électronique ne devienne une norme omniprésente, dit Levison.

« Atteinte à la vie privée en ligne ne devrait pas exiger un doctorat en cryptologie, » Levison dit.

des enseignements pour les prochaines années trois ans et demi après avoir éteint ses serveurs, Levison, avec un petit groupe de programmeurs bénévoles partageant, travaillé fiévreusement pour élaborer un nouveau protocole de courrier électronique qui permettrait d’éliminer la possibilité d’une répétition de la situation qu’il avait rencontrés à l’été 2013. Tandis que la conception originale de Lavabit entièrement crypté les données sur le réseau de Levison, il fallait utiliser la clé SSL comme un pont de toutes sortes entre les ordinateurs des utilisateurs Accueil et serveur de Lavabit afin de maintenir la compatibilité avec les protocoles de courriel hérités des années 1970. S’il voulait vraiment « prendre le fournisseur de services de l’équation », alors qu’il devait supprimer la clé SSL en option de tirer parti.

le 20 janvier, le jour aux États-Unis inaugurée Donald Trump en tant que Président, Levison relancé Lavabit, ainsi qu’un nouvel environnement de messagerie, premier environnement sombre de courrier Internet (DIME du monde). Le but ultime de l’initiative DIME est de permettre l’adoption omniprésente de chiffrement des messages électroniques de bout à bout, pour créer une nouvelle valeur par défaut standard de la vie privée inhérente. DIME est Léviathan de Levison.

cette fois, il voulait s’assurer que toutes les métadonnées sensibles associés à Courriel pourraient être crypté, donc tout le monde fouiner ne serait en mesure de voir, tout au plus, la longueur du message chiffré. Levison dit de penser à elle comme le protocole de Tor, où les données sont masquées sous plusieurs couches de virtuels qui obscurcissent le trafic de données. Et bien que nous ne pouvons pas nous débarrasser de la tout à fait clé SSL, Lavabit offre trois options différentes pour la distribution des clés : confiance, prudent et paranoïaque.

mode confiant est conçu pour s’intégrer avec le logiciel de messagerie existant, et il oblige les utilisateurs à faire confiance au serveur pour gérer le cryptage. Utilisateurs n’ont pas à se soucier des exigences techniques ou compliqué code cryptographique. Levison envisage cela comme mode d’aller-à des entreprises qui ont des exigences réglementaires, pratiques de rétention des données et unique a besoin comme touches de séquestre.

les modes le prudent et Paranoid utilisent le cryptage de bout à bout. En mode prudent, la clé de chiffrement de l’utilisateur est stockée en texte clair dans la mémoire de leur appareil personnel, chiffrée et ensuite transmise à travers un tunnel sécurisé sur les serveurs de Lavabit où il est stocké dans un espace spécifique à l’utilisateur. Car il est crypté sur le périphérique de l’utilisateur, il n’existe aucun moyen pour l’administrateur réseau pour y accéder.

mais il y a ceux, militants, journalistes, résidents des pays avec des gouvernements oppressifs — qui veulent un contrôle absolu sur leur clé de sécurité. Pour ces utilisateurs, Lavabit offre le mode paranoïaque. La clé n’est jamais transmise n’importe où, et l’utilisateur est responsable du déplacement de la clé d’un nouveau périphérique sur lequel ils veulent accéder à leur compte. Détruire l’appareil, et vous détruisez la clé. C’est ultra-sécurisé, mais il nécessite également un niveau élevé de compétences techniques.

si le compte de Edward Snowden avait été en mode paranoïaque, Lavabit aurait jamais fermer ses portes.

la liberté et la vie privée pour tous

mais rêve de Levison d’ubiquité ne viennent jamais true si Lavabit utilisateurs peuvent envoyer seulement les autres utilisateurs Lavabit. DIME ne fera beaucoup de bien, sauf si elle est utilisée par les fournisseurs de services dans le monde entier. À cette fin, il transforme les DIME code open source pour toute personne à auditer. Il ne Découvre d’autres fournisseurs de services concurrents. Levison est un vrai idéaliste qui croit en formant une communauté de partenaires travaillant à créer un avenir crypté, et il a offert code de Lavabit à quiconque tente de prendre en charge le protocole DIME.

Levison se sent qu’il a pour mandat de protéger les personnes à risque et des collectivités. Des organisations de droits de l’homme, les ONG, les militants et les journalistes ne sont pas les technologues. Ils doivent dépendre de fournisseurs de services de fournir la technologie nécessaire pour protéger leurs communications. En faisant Courriel cryptage automatique par défaut, Levison a bouclé à l’éthos de Lavabit original : pour offrir aux peuples une certaine confidentialité pour vivre et travailler.