Un hacktiviste et un ex-CIO démocratisent le chiffrement

Début juillet, pEp Security a lancé la bêta publique de son app pour Android et un plugin pour Microsoft Outlook, deux solutions pour le chiffrement d’e-mails. Une étape charnière pour cette start-up suisse alémanique fondée en 2014, issue du projet pretty Easy privacy esquissé dès 2012 par un duo atypique, aux profils que rien ne prédestinait à s’associer. D’un côté Leon Schumacher (CEO), ancien CIO d’ArcelorMittal et de Novartis originaire du Luxembourg. De l’autre, Volker Birk (CTO), hacktiviste allemand membre du Chaos Computer Club Zürich et spécialiste du chiffrement. La rencontre remonte à une époque où Leon Schumacher, lassé par la lourdeur institutionnelle des multinationales, est aux commandes de DigitalEkho, sa propre activité de conseil en sécurité IT. Il est amené à faire appel à l’expertise de Volker Birk, qui lui parle des crypto-parties où il intervient pour enseigner les techniques de chiffrement de courriels. Le crypto-activiste concède que ces dernières sont manifestement trop complexes par la plupart des participants. L’ex-CIO connaît le problème, lui qui avait vu 80'000 employés snober les fonctionnalités d’encryptage déployées autour de Lotus Notes.

Les deux futurs collègues imaginent bientôt ce qui deviendra pEp qu’ils élaborent selon le principe pragmatique de la «Privacy by Default», avec l’objectif de créer une solution de chiffrement accessible qui donne la priorité a l’envoi d’un mail avec la meilleure protection disponible. Et ce peu importe les services, logiciels et OS utilisés. Volker Birk se souvient: «J’avais bien conscience que pour parvenir à développer quelque chose d’aussi ambitieux que pEp, je devais m’associer avec les bonnes personnes. Il me paraissait clair que Leon apporterait la vision commerciale adéquate et les connections nécessaires dans le monde des affaires et dans le monde informatique. Pour réussir avec ce projet, il était nécessaire de considérer l’aspect business.» Mais concilier un but lucratif avec un engagement pour la défense de la sphère privée est primordial aux yeux du CTO de la start-up. Une fondation pEp a ainsi été créée par le duo, laquelle reçoit une part des bénéfices de l’activité commerciale. Ces fonds sont ensuite investis pour soutenir d'autres projets open-source liés à la protection des données. «Réunir les activistes, la communauté luttant pour la protection de la sphère privée et les entreprises qui craignent pour leurs données, cela s’inscrit dans ce que j’appelle le consensus pEp», explique Volker Birk.

Crowdfunding à succès et obstacles techniques

Leon Schumacher se remémore avec plaisir les débuts du projet, quand le duo conceptualisait les fonctions de base de la solution autour d’un café au bord du lac de Zurich. «On développait le projet tranquillement durant notre temps libre. Mais quand Snowden a fait ses révélations sur le programme de la NSA, on a vraiment saisi tout le potentiel commercial d’une telle solution et on a donné la priorité au projet pEp», se souvient Leon Schumacher qui avoue que jusque là, il se souciait peu des problématiques liées à la protection des données. Ajoutant qu’à cette époque, les efforts de protection de données dans les entreprises étaient réalisés pour des raisons liées aux aspects de conformité, mais l'efficacité était secondaire. Une préversion de pEp pour Outlook est rapidement mise au point et lancée en septembre 2014, en parallèle à une campagne de crowdfunding qui se solde par un succès (51'263 de promesses de dons récoltées en moins de 3 mois). Ensuite, l’aventure se complique quelque peu… Les donateurs s’impatientent: alors que la start-up planchait sur un lancement fin 2014 de ses solutions pour Outlook et Android, les obstacles techniques s’accumulent et le développement prend du retard. Une situation inconfortable pour le CEO, qui confie: «Dans ma carrière de CIO, j’étais fier de pourvoir toujours respecter les budgets et les délais. J’ai eu du mal à m’habituer aux reports successifs de lancement. Mais ils s’expliquent par les inconnus liées à la mise au point de produits réellement innovateurs.»

Plusieurs solutions en développement

pEp Security a lancé cet été deux solutions: pEp pour Android (beta) et pEp pour Outlook, proposé sous forme de plugin. Les solutions chiffrent les e-mails de bout en bout et en peer-to-peer (elles ne nécessitent aucune infrastructure centralisée). Les correspondants n’ont pas besoin d’être équipés du même système pour communiquer et déchiffrer les messages qu’ils s’envoient. La solution supporte les standards de chiffrements les plus couramment utilisés, dont S/MIME et OTR, ainsi qu'Open PGP, l’une des solutions de chiffrements les plus populaires pour laquelle pEp assure une compatibilité complète. L’installation et l’utilisation ne demandent aucune connaissance technique particulière.

La start-up compte plus d’un projet dans sa besace. Outre le lancement encore cette année d’une app iOS et d’une version Pro pour Android, l’éditeur espère proposer, d’ici 2017, le chiffrement des webmails directement depuis les principaux navigateurs web. En outre, il est prévu que l’extension de chiffrement Enigmail pour Thunderbird (le client de messagerie gratuit de Mozilla) intègre prochainement pEp en tant que standard.

Les atouts phares de pretty Easy privacy

Les solutions de pEp sont programmées pour sélectionner automatiquement le mode d'envoi optimal, en identifiant la meilleure protection disponible compte tenu du destinataire, en fonction des protocoles et outils que celui-ci aurait à disposition, qu’il soit ou non un utilisateur de pEp. La start-up réconcilie ainsi productivité et protection en donnant la priorité à l’envoi. En effet, pEp ne bloque pas d’office la communication dans le cas où le chiffrement ne peut se faire et laisse la possibilité d’envoyer un message non protégé. Un code couleur renseigne directement à quel degré un contact permet une communication chiffrée, en informant si un envoi est sécurisé ou non, ou s’il est chiffré mais non vérifié et donc vulnérable à des attaques de type «man-in-the-middle». Pour contrer ces dernières, pEp génère des Trustwords (suite de mots de la langue maternelle des correspondants), un code de vérification qu’il est aisé d’échanger par exemple par téléphone ou en direct.