Volker Birk, Pretty Easy Privacy: «Les méthodes de chiffrement sont trop compliquées»

Avec Pretty Easy Privacy (PEP), vous souhaitez proposer aux utilisateurs privés et aux entreprises une alternative à des programmes de chiffrement tels que PGB (Pretty Good Privacy). Pourquoi?

Il existe en effet beaucoup de méthodes de chiffrement, mais elles sont trop compliquées pour les utilisateurs qui ne connaissent pas grand-chose à la cryptographie. Je l’ai constaté dans le cadre de ce qu’on appelle des crypto-parties, des rassemblements où l’on peut apprendre comment crypter ses messages. Les gens ne veulent pas avoir à se souvenir de leur clé et des procédures de chiffrement, ils souhaitent uniquement communiquer en toute sécurité. Avec PEP, nous voulons fournir aux utilisateurs un moyen facile de chiffrer leurs messages sans avoir à se soucier des détails cryptographiques.

Comment fonctionne la méthode de chiffrement que vous proposez?

Le logiciel sur lequel je travaille depuis un an et demi se base sur le moteur PEP, qui s’appuie sur la technologie open source GNU Privacy Guard. Ce moteur, codé en langage C, est cross-plateformes et peut fonctionner aussi bien sous Linux, Windows et MacOS. Il pourrait à l’avenir protéger les utilisateurs de différents services de communication, tels que Whatsapp, etc. Pour l'instant, nous n’offrons qu’un plug-in pour Outlook, «Outlook Preview», qui fonctionne avec Windows 7, Windows 8, et qui est compatible avec Microsoft Outlook 2010 et les versions ultérieures. Avec ce plugin, vous pouvez crypter les messages en arrière-plan. PEP ne fait pas son propre chiffrement, mais utilise différentes méthodes cryptographiques. Seuls les systèmes ouverts, avec une très bonne réputation, nous conviennent. Nous nous servons par exemple du protocole Off-the-Record-Messaging (OTR) et GPG4win.

Vous utilisez donc des processus de cryptage ouverts et vous les complétez, afin qu'ils soient plus faciles à mettre en œuvre pour l'utilisateur. Comment avez-vous procédé exactement?

Nous avons d'une part entièrement automatisé la gestion des clés pour que l'utilisateur n’ait plus besoin de s’en soucier. Il suffit d’appuyer sur «Envoyer», PEP fait tout correctement au niveau technique. Il y a un aspect pour lequel tout fournisseur de chiffrement dépend toujours des utilisateurs, celui  d’empêcher des attaques de type «Man-in-the-middle». Pour les utilisateurs, la seule manière de s’en protéger consiste à ce que chacun vérifie que l‘autre ait bien reçu la bonne clé. Le standard OpenPGP prévoit à cet effet la vérification  de «fingerprints», des codes chiffrés de 160 bits, qui représentent en général des nombres hexadécimaux. Vous pouvez constater que rien que la terminologie technique est complexe, pas mal d’utilisateurs sont dépassés et préfèrent renoncer. C’est pourquoi PEP se sert de codes de type Safewords, formés de cinq mots de la langue maternelle des correspondants. Ces codes peuvent facilement se vérifier par téléphone. S'ils sont identiques des deux côtés, alors la connexion est sécurisée. Ce qu’il y a de perfide, c’est qu’un mot de passe difficile à se remémorer est plus facile à craquer pour un ordinateur que cinq mots pris au hasard. Ceux-ci forment un mot de passe vraiment sûr et il est plus facile de s’en souvenir.

Qu’en est-il des Safewords dans une langue étrangère?

Il est pertinent d’avoir un Safeword  dans une langue étrangère quand on communique avec un contact qui parle une langue différente. Il importe de toujours inclure assez d’entropie – dans le sens de la Théorie de l’information – c'est-à-dire que des clés différentes aient des Safewords les plus différents possibles. PEP s’en assure par des méthodes phonétiques appropriées.

Existe-t-il d’autres méthodes de cryptage simple à part PEP?

Il existe des services cryptographiques alternatifs qui fonctionnent en circuit fermé, qui nécessitent que les deux personnes utilisent le même logiciel. iMessage d'Apple, par exemple, chiffre aussi ses propres messages. Mais Apple doit se plier à la section 215 du Patriot Act, qui force les entreprises à fournir des données à la NSA, même si elles ne le veulent pas, et ce sans vous en avertir. Ce n'est pas de la faute des entreprises, mais des lois US.

Avez-vous eu des feedbacks d’autres entreprises que celles qui prennent part à vos projets pilote?

Oui, nous avons eu beaucoup de retour positif des entreprises qui, par exemple, craignent  l'espionnage industriel. Les entreprises veulent une communication sécurisée. Il existe de nombreuses solutions, mais qui ne sont tout simplement pas pratiques du tout et nécessitent de manipuler soi-même les aspects cryptographiques. Mais nous ne sommes pour l‘instant pas en mesure de prendre en charge des projets pilotes supplémentaires.

Quels sont vos projets pour l'avenir?

Avec mes partenaires, dont Leon Schuhmacher, anciennement CIO chez Novartis, nous avons fondé la société PEP Security SA au Luxembourg, afin de servir une clientèle d’entreprises. PEP cible large et nous avons l'intention de l’adapter pour une utilisation avec tous les logiciels de communication du marché. Tels que les services de SMS, d’e-mails, Facebook Messenger, Twitter, etc. Nous voulons développer une application  PEP pour les appareils mobiles, afin de proposer quelque chose qui n’existe pas encore. L’idée serait que les messages des différents services de communication puissent tous arriver dans la même application. Actuellement, nous avons prévu d’intégrer cinq messageries différentes. Nous voulons ainsi contrer les limites de l’app commune: si vous utilisez par exemple les apps Threema, Telegram ou Textsecure, cela nécessite que vos contacts utilisent la même application. C'est pourquoi nous aimerions que PEP puisse communiquer avec n’importe quelle application de communication.