Tôt ou tard, tout le monde doit transmettre un mot de passe. Un code Wi-Fi pour un entrepreneur, un accès à un portail client pour un collègue, des coordonnées bancaires pour un comptable. La façon la plus courante de le faire reste la pire : l'écrire dans un courriel et appuyer sur Envoyer.
Pourquoi le courriel n'est pas fait pour les mots de passe
Le courriel semble privé, mais il se comporte davantage comme une carte postale que comme une enveloppe scellée. Un mot de passe envoyé par courriel pose plusieurs problèmes qui n'ont rien à voir avec la force du mot de passe :
- Il est conservé pour toujours, en double. Le message reste indéfiniment dans votre dossier Envoyés et dans la boîte de réception du destinataire. Si l'une des deux boîtes est compromise des années plus tard, le mot de passe est exposé.
- Il est cherchable. Quiconque accède à l'une des boîtes n'a qu'à chercher « mot de passe » pour récolter les résultats. C'est exactement ce que font les attaquants.
- Il se fait transférer. Vous perdez le contrôle au moment de l'envoi. Le fil peut être transféré, cité ou synchronisé vers des appareils dont vous ignorez l'existence.
- Il peut circuler en clair. Les fournisseurs modernes chiffrent la plupart du temps le courrier entre serveurs, mais vous ne pouvez pas vérifier tout le trajet, et le message demeure de toute façon lisible par les fournisseurs aux deux extrémités.
Le texto ne vaut guère mieux. Le mot de passe subsiste dans deux historiques de messages, et le SMS en particulier n'offre aucun chiffrement digne de ce nom.
Le principe : séparer le secret de la porte
Toute approche sérieuse du partage d'un secret repose sur la même idée : répartir l'information sur deux canaux, de sorte qu'intercepter un seul canal ne donne rien à un attaquant.
Concrètement, le secret voyage sous forme de lien vers un message chiffré, et ce qui permet de l'ouvrir (une phrase secrète) voyage autrement : un appel, un texto ou une rencontre en personne. Qui ne voit que le lien ne peut pas lire le secret. Qui n'entend que la phrase secrète n'a rien sur quoi l'utiliser.
Quoi exiger d'un outil de partage de secrets
Si vous choisissez un outil pour cela, exigez ce qui suit :
- Un chiffrement de bout en bout. Le message doit être chiffré sur votre appareil avant d'être téléversé, et déchiffré uniquement sur l'appareil du destinataire. Le service au milieu ne doit détenir que du texte chiffré qu'il ne peut pas ouvrir.
- Une phrase secrète qui n'atteint jamais le serveur. Si le service peut confronter la phrase secrète au contenu du message, il peut lire le message. La phrase secrète doit rester entre vous et votre destinataire.
- Une expiration. Le lien doit cesser de fonctionner de lui-même après l'échéance que vous choisissez, parce que personne ne pense à faire le ménage de ses secrets partagés.
- Une limite d'ouvertures et une révocation. Vous devez pouvoir plafonner le nombre d'ouvertures du lien, et le désactiver sur-le-champ si vous l'avez envoyé à la mauvaise personne.
- Aucun compte requis pour le destinataire. Un outil qui oblige votre destinataire à s'inscrire est un outil qu'on vous demandera de contourner.
Comment l'Envoi sécurisé s'y prend
Nous avons conçu l'Envoi sécurisé pour répondre exactement à cette liste. Vous rédigez le message dans votre navigateur, choisissez une phrase secrète et obtenez un lien. Le message est chiffré sur votre appareil avant tout téléversement; Privatt ne conserve que du texte chiffré impossible à ouvrir, et la phrase secrète n'atteint jamais nos serveurs. Vous partagez le lien par un canal et la phrase secrète par un autre, fixez une expiration et une limite d'ouvertures facultative, et vous pouvez révoquer le lien à tout moment depuis votre liste d'envois.
Votre destinataire n'a besoin ni d'un compte ni d'un logiciel. Il ouvre le lien, entre la phrase secrète et lit le message dans son navigateur. Deviner n'est pas une option non plus : des phrases secrètes erronées à répétition verrouillent le message derrière un délai croissant.
Une habitude à garder
Peu importe l'outil, la liste est courte : ne mettez jamais le secret lui-même dans un courriel ou un message de clavardage, séparez toujours le lien et la phrase secrète sur deux canaux, et privilégiez les liens qui expirent d'eux-mêmes. Le meilleur moment pour adopter l'habitude, c'est avant la première fuite de boîte courriel, pas après.