<disclaimer>
Avant de m'aventurer plus loin sur le sujet, je ne saurait trop recommander aux facétieux adaptes de la citation à l'emporte-pièce la lecture d'un précédent billet avant de voir dans ces lignes les prémices d'une position quelconque sur la question. Ce qui suit est un réflexion personnelle, en tant qu'individu, point barre. Ne cherchez pas à y voir autre chose. Merci d'avance. Maintenant que c'est dit, revenons au sujet principal.
</disclaimer>

La confidentialité des échanges sur le système Blackberry est une polémique récurrente. La question de savoir si on peut espionner les Blackberry, et tout particulièrement si RIM s'en est donné les moyens, bien qu'étant restée sans réponse, ne manque pas d'alimenter les réflexions. Car si rien ne prouve que ce soit le cas, il faut bien reconnaître que rien ne prouve le contraire non plus.

Aussi, quand on annonce que RIM se pliera aux demandes des Émirats, les interrogations pleuvent. Et ce, malgré le communiqué qu'il adresse à ses utilisateurs. Communiqué dont la rédaction laisse entrevoir d'intenses séances de réflexions considérant les tournures alambiquées et le vocabulaire de choix. Du coup, les analyses plus ou moins bien inspirées fusent... Seulement, quand on s'attarde sur les réactions et qu'on lit attentivement le communiqué en question, on s'aperçoit que cette polémique n'est en rien différente des précédentes. Et surtout qu'il rien de nouveau dans la paysage.

On sait, depuis le temps qu'on nous l'explique, que les communications entre un BES[1] et ses terminaux sont chiffrées de bout en bout. Chiffrement dont la clé est négociée lors de l'enregistrement du terminal auprès de son BES[2] et qui interdit à RIM l'accès à plus que les métadonnées[3]. D'aucuns en déduisent que si c'était vraiment le cas, on ne pourrait pas intercepter le trafic. Et que si on peut le fait, c'est bien qu'il y a là une porte dérobée. Déduction facile ?

Pour moi, le point clé n'est pas là. Vous remarquerez que le communiqué ne porte pratiquement que sur la sécurité des solutions Blackberry d'entreprise. Et pas de les autres. Comme par exemple celles qui sont fournies par des opérateurs qui opèrent un BES pour leurs clients. Ou le fameux Blackberry Internet Service. Pourquoi ? Parce que la solution RIM ne fournit pas de sécurité de bout en bout, de l'expéditeur au destinataire. Elle ne chiffre que les flux échangés entre le terminal et son BES[4]. Un peu comme le Wi-Fi : on protège le lien hertzien, le reste est un autre problème. De fait, les emails que vous échangez sont accessibles en clair sur les serveurs qui les stockent. Si cela ne pose pas plus de soucis que ça à une entreprise possédant sa propre infrastructure, il en va tout autrement pour tout ceux qui délèguent l'opération de leur messagerie. Que ce soit à un opérateur, à RIM ou à tout autre tiers. Car dans ce cas, leurs messages se retrouvent tout simplement accessibles chez le prestataire... En clair... Comme ça a toujours été le cas pour n'importe quel service de messagerie hébergé...


Aussi, quand on lit ce qui ressort dans la presse, on ne peut qu'esquisser un sourire. D'abord parce que les soit-disant concessions accordées par RIM n'en sont pas : les emails des utilisateurs de services Blackberry hébergés ont toujours été accessibles par les autorités sur demande auprès du prestataire. Au mieux s'agira-t-il de faciliter l'accès à des données déjà interceptables. Ensuite parce que cela résume bien l'échec de la communication de RIM, puisqu'on en vient même à lui reprocher des problématiques qui ne font pas partie du périmètre de sa solution...
Sans parler des classiques déclarations anonymes de sources proches du dossier qui annoncent, par exemple, la prochaine fourniture par RIM d'une solution d'interception des messageries d'entreprise à l'Inde[5], en complète contradictoires avec les dires de RIM...

Chacun se fera son idée sur la question. Toujours est-il que RIM se retrouve face à un sacré sac de nœuds. Car ce qui a été unanimement présenté comme des concessions accordées aux Émirats pourrait bien ancrer durablement dans la tête des gens l'idée que le Blackberry serait espionnable...

Notes

[1] Blackberry Enterprise Server.

[2] On peut certes disserter sans fin sur la possible fuite de données à ce niveau là, mais ce n'est pas l'objet de mon propos.

[3] Ce qui reste cependant super intéressant, ne soyons pas naïfs non plus.

[4] Dans le cas du BIS, il n'y a même pas de chiffrement, juste de la compression...

[5] Je cite dans le texte : "They have assured that they will come with some technical solution for messenger and enterprise mail next week".