Volker Birk est anarchiste. Militant de longue date au Chaos Computer Club, l'organisation autogérée qui défend les libertés numériques et le droit de tous de « bidouiller ». Il n'aime ni les ingérences des Etats dans la vie personnelle des gens, ni les multinationales. Leon Schumacher, lui, dirige une société de conseil après avoir été responsable de l'information de plusieurs grands groupes internationaux, comme Novartis ou ArcelorMittal. Quand on lui demande d'où il vient, il répond avec un très léger accent « Luxembourg et HEC ».
Rien, ou pas grand-chose, ne prédisposait ces deux hommes à travailler ensemble – et encore moins à ce qu'ils élaborent de concert un projet qui vise tout simplement à empêcher la NSA et les autres agences de renseignement d'espionner nos communications et à changer la manière dont nous communiquons en ligne.
Leur bébé, c'est « Pretty Easy Privacy » (PEP, pour outil de vie privée plutôt simple). Une allusion en forme de petite pique à PGP, « Pretty Good Privacy » (outil de vie privée plutôt bon), le standard reconnu de chiffrement de messages. Un système très puissant et efficace, mais complexe à utiliser, parce qu'il nécessite notamment l'utilisation d'une double clef, l'une publique, l'autre privée.
« PGP est un échec, estime Volker Birk, parce les gens ne savent pas s'en servir. J'ai participé à une trentaine de cryptoparties [des rassemblements destinés à initier aux techniques de chiffrement] à Zurich : c'est trop complexe à utiliser, les gens ont du mal à comprendre le fonctionnement, et même ceux qui sont sincèrement intéressés arrêtent de s'en servir au bout d'un moment parce que c'est fastidieux. » La méthode la plus « grand public » d'utilisation de PGP passe en effet par Thunderbird, le client de messagerie de la fondation Mozilla, dans lequel il faut installer, puis configurer un logiciel complémentaire. Et entrer une phrase de passe à chaque fois que l'on souhaite envoyer ou ouvrir un message chiffré.
Trop compliqué, juge M. Birk : « Nous avons complètement abandonné la phrase de passe : les gens ne l'aiment pas, et c'est l'une des raisons pour lesquelles ils n'utilisent pas PGP. » PEP part d'un autre principe : c'est la sécurisation de l'outil utilisé pour communiquer – code PIN sur un téléphone, mot de passe de session sur un poste partagé, accès à l'ordinateur chez soi – qui fournit la sécurisation. Une vision totalement à rebours des pratiques traditionellement défendues par les professionnels de la cryptographie, pour qui un code PIN est totalement insuffisant pour protéger un objet qui peut être volé et dont le code d'activation est beaucoup plus facile à « casser » qu'une phrase de passe.
« Oui, ce projet va à l'encontre de beaucoup de dogmes – nous ne voulons pas non plus nous appuyer sur le Web of trust [un autre principe de sécurisation qui permet d'éviter l'interception d'une connexion à un site ou service]. Quand on essaye d'expliquer son fonctionnement dans les cryptoparties, personne n'y comprend rien », défend M. Birk. PEP privilégie l'utilisation… d'un appel téléphonique pour vérifier que l'interlocuteur est bien celui qu'il prétend être.
Dans l'équilibre toujours délicat entre simplicité d'utilisation et sécurisation, PEP a clairement choisi son camp : la facilité d'accès avant tout. Un choix résolument politique, visant à proposer une solution de chiffrement utilisable par M. et Mme Tout-le-Monde. « Si dix millions de personnes l'utilisent, ce sera un échec, estime Volker Birk. Ce projet n'a de sens que si PEP devient un standard. »
Le chiffrement côté entreprise
Pour y parvenir, le cryptoanarchiste s'est associé à l'homme d'affaires – les deux hommes se sont rencontrés à l'occasion d'une conférence de sécurité informatique et ont sympathisé. Pour Leon Schumacher, une solution de chiffrement simple à utiliser, c'est aussi un marché gigantesque. « Dans l'une des entreprises où j'ai travaillé précédemment, on avait déployé une solution de chiffrement à 100 000 euros. Je ne l'ai utilisée que deux fois, et mes collègues encore moins : les outils sont tellement compliqués à utiliser que chaque excuse est bonne pour ne pas s'en servir. Dans le monde de l'entreprise, une solution de chiffrement ne peut fonctionner que si elle est simple, qu'elle ne nécessite pas d'insérer une clé USB ou d'utiliser en permanence une phrase de passe. »
Or, depuis les révélations d'Edward Snowden, les directions de certains grands groupes s'intéressent de manière plus insistante à la sécurité de leurs communications. Des documents transmis par Edward Snowden et publiés par Le Monde montrent notamment que les services de renseignement américains se sont intéressés de près à Alcatel et à Wanadoo. Sans oublier les secteurs qui peuvent être la cible d'espionnage économique, qu'il soit le fait d'Etats ou de concurrents. « Aujourd'hui, la valeur d'une entreprise est souvent dans sa propriété intellectuelle. C'est cela que vous voulez protéger à tout prix », estime M. Schumacher.
Pour « vendre » PEP au monde de l'entreprise, les deux hommes ont créé une société distincte. Le logiciel et ses déclinaisons seront pourtant libres et gratuits, mais « les entreprises ne veulent pas de produits gratuits, les raille Voker Birk. Elles veulent avoir un interlocuteur qui leur fasse des factures et propose un service après-vente. » Pour assurer le financement du projet, les militants de PEP ne comptent pourtant pas vraiment sur des revenus liés à la commercialisation du logiciel. Volker Birk a déjà prévu de consacrer trois ans au projet, avec le soutien financier de sa compagne, « je le mènerai à bien quoi qu'il arrive », assure-t-il. Les concepteurs de PEP ont également lancé une campagne de financement participatif, et espèrent pouvoir publier des versions Android et iOS du logiciel d'ici la fin de l'année.
Pour l'instant, la première version de PEP ne fonctionne que pour Microsoft Outlook, mais des versions pour les différents Webmail, Whatsapp, Snapchat ou encore Twitter et Facebook sont prévues. Des développements qui, s'ils sont largement adoptés, ne devraient pas faire plaisir aux divers services de renseignement, mais poseront aussi problème aux entreprises qui vivent de la publicité ciblée – Google ou Facebook ne peuvent pas « scanner » le contenu des messages chiffrés pour afficher des publicités contextuelles. « On s'attend à avoir quelques ennuis si ça marche », s'amuse M. Birk.