Thomas Lochmatter, Di55erent: «Aux Etats-Unis, les outils que nous proposons seraient illégaux»

Pourquoi avez-vous choisi de développer des outils de chiffrement?

Radhakrishna Achanta: A la fois pour répondre à des motivations personnelles et aux besoins du marché. En tant que chercheurs, il nous fallait des outils de stockage et de partage capables d’assurer la protection des données et documents que nous estimons confidentiels, je pense notamment aux codes que nous écrivons ou aux articles scientifiques en cours de rédaction. Suite aux révélations concernant les pratiques de la NSA, nous avons souhaité pouvoir utiliser des services plus sûrs que Google Drive ou Dropbox.

Qu’est-ce que vos trois solutions ont en commun et qu’ont-elles de différent?

Thomas Lochmatter: Nos solutions se  basent sur une technologie que j’avais développée pour un projet précédent, un outil de synchronisation de fichiers. Nous y avons ajouté les couches de protection cryptographique, en nous servant de l’algorithme AES-256, le plus répandu.

RA: Swi5t, le premier outil que nous avons développé, représente pour nous un prototype. C’est un logiciel gratuit de cryptage de documents. L’utilisateur peut les envoyer, ainsi que les stocker aussi bien en local que sur différents services cloud. Nous avons ensuite mis au point Makesends, une solution web s’adressant aux entreprises, plus complète et plus facile que Swi5t. Le troisième outil, Ukeepit, est encore en phase de développement. Il présente la particularité de permettre le chiffrement d’un document en le fractionnant, puis de dispatcher les fragments dans différents espaces de stockage. A l‘avenir, nous avons le projet d’ajouter aussi cette fonction à Makesends.

Où sont stockées les données traitées via Makesends?

TL: Les données sont stockées sur un cloud spécifiquement dédié au service. Nous n’avons pas déployé notre propre infrastructure mais externalisons l’hébergement sur le cloud d’un partenaire, dont les serveurs se situent exclusivement en Suisse, en Valais pour être précis. Le fait que Makesends soit un service géré 100% en Suisse a pour nous une réelle importance, il ne s’agit pas d’un simple argument marketing. Contrairement aux Etats-Unis, où le gouvernement demande à pouvoir avoir accès à des données chiffrées, la législation helvétique est davantage favorable aux solutions cryptographiques. Si Di55erent avait son siège aux Etats-Unis, les outils que nous proposons seraient carrément  illégaux.

RA: Il faut se méfier de tous les logiciels de services basés aux Etats-Unis, même ceux qui font appel à la cryptographie. Il y a en effet un risque qu’ils dissimulent des portes dérobées donnant secrètement accès au logiciel.

Pour qu’un destinataire puisse décrypter un document envoyé avec Makesends, l’émetteur doit lui donner un mot de passe. Par quel moyen peut-on le transmettre sans risque?

TL: Le degré de sécurité dépend de la longueur et de la complexité du mot de passe choisi par l’utilisateur. Makesends peut envoyer automatiquement le mot de passe via SMS, mais cette fonctionnalité est optionnelle, car c’est vrai que le danger qu’il se fasse intercepter existe. Il sera toujours moins risqué d’appeler la personne par téléphone, et encore plus sûr de la rencontrer pour lui communiquer le mot de passe.