Monde / Tech & internet

Leur mission: réparer votre Internet cassé par la surveillance

Tandis que les gouvernements européens sont à leur tour éclaboussés par les révélations d'Edward Snowden, les «petites mains» du réseau, elles, s'attellent à compliquer la tâche des agences de renseignement.

Sur une pancarte lors d'une manifestation à Berlin contre la surveillance d'Internet en september 2013. REUTERS/Tobias Schwarz
Sur une pancarte lors d'une manifestation à Berlin contre la surveillance d'Internet en september 2013. REUTERS/Tobias Schwarz

Temps de lecture: 9 minutes

«Nous, les ingénieurs, avons construit l'Internet – et maintenant, nous devons le réparer.» Celui qui a lancé dans les colonnes du Guardian, le 5 septembre dernier, cet appel à se retrousser les manches n'est autre que l'expert en sécurité américain Bruce Schneier, chargé par le quotidien britannique d'analyser les documents transmis par l'ex-consultant Edward Snowden. Celui que l'on surnomme parfois le «Chuck Norris de la cryptographie» est loin d'être le seul à estimer qu'il est grand temps de passer la surmultipliée pour, comme il l'écrit, «rendre de nouveau la surveillance coûteuse».

L'accumulation des révélations sur les divers programmes – Prism, Bullrun, Tempora et consorts – mis en place par l'Agence nationale de sécurité américaine et le GCHQ, son équivalent britannique, a donné un coup de fouet à ceux qui dénonçaient (parfois depuis fort longtemps) l'existence d'une surveillance massive et systémique. Pour ceux-là –ingénieurs, experts en sécurité informatique, activistes du logiciel libre, groupes de défense des libertés civiles sur Internet...–, l'heure n'est plus au constat, mais à la contre-offensive.

Sous les chapiteaux d'OHM2013, un rassemblement mondial de hackers qui s'est tenu cet été aux Pays-Bas, et lors duquel il fut largement question de whistleblowing et d'écoutes numériques, on a ainsi pu entendre parler de «longue guerre»une expression employée à dessein par Eleanor Saitta, membre de l'Open Internet Tools Project, un «incubateur» d'outils de contournement de la censure et de la surveillance.

Dans cette « longue guerre », l'axe stratégique, selon elle, est limpide:

«Notre principal problème, c'est la centralisation. A l'heure actuelle, un très petit nombre d'entreprises contrôle l'essentiel de nos interactions en ligne: Amazon, Apple, Facebook, Google et Microsoft – ce que le philosophe Benjamin Bratton appelle les “piles”. C'est ce qui permet la surveillance et le contrôle. Notre réponse, c'est de fabriquer de nouveaux systèmes, de saper la structure centralisée, et de la remplacer par un nouvel Internet qui ne permette pas ce genre de contrôle.»

«Nouvel Internet» ou Internet «réparé», l'affaire, en tout cas, se joue à tous les niveaux – y compris les plus obscurs pour le profane. Ainsi d'un des projets sur lesquels travaille Eleanor Saitta, un protocole de communication nommé Briar, conçu pour être déployé sur des terrains difficiles, et reposant sur une architecture totalement décentralisée et sur les relations de confiance entre ses utilisateurs: «de la plomberie pour Internet, explique-t-elle, comme le sont aujourd'hui les protocoles TCP/IP ou HTTP».

La «plomberie», c'est d'ailleurs tout l'objet, jusqu'à ce vendredi à Vancouver, d'une réunion de l'Internet Engineering Task Force, ce groupe international d'ingénieurs qui, pour informel qu'il soit, n'en est pas moins à l'origine de la majorité des standards du réseau. La séance plénière programmée mercredi matin, et introduite par Bruce Schneier, porte un titre sans équivoque: «Le renforcement d'Internet». «Nous savions tous que des interceptions avaient lieu, mais l'échelle révélée est surprenante, précise la note d'intention. Nous devons en tirer les conséquences.»

Comme le dit joliment la journaliste et universitaire australienne Suelette Dreyfus, auteure, avec Julian Assange, du passionnant Underground, publié en 1997: «Les hackers trouvent des solutions innovantes à des problèmes complexes, ils repoussent les limites – ils pensent hors de la boîte

D'où la naissance de projets encore très expérimentaux, tel Bitmessage, lancé fin 2012 par le New-Yorkais Jonathan Warren pour répondre à l'épineuse difficulté des métadonnées (lors de l'envoi d'un e-mail, l'adresse de l'expéditeur, celle du destinataire et l'objet du message apparaissent toujours «en clair», même si le contenu est chiffré). Depuis les premières révélations de Snowden, le nombre d'utilisateurs de ce système de messagerie a plus que quintuplé.

Le principe de BitMessage repose sur la génération d'identifiants complexes, qui peuvent être régulièrement changés, et sur l'utilisation de clés publiques pour chiffrer les messages, qui sont envoyés à l'ensemble du réseau d'utilisateurs – seul le destinataire du message peut alors le déchiffrer. «Le principe est astucieux, note l'ingénieur réseaux Stéphane Bortzmeyer. Mais c'est très loin d'être terminé, notamment parce qu'il y a des failles de sécurité, des problèmes de mise à l'échelle, de lutte contre le spam... Il ne faut surtout pas le vendre aux dissidents, c'est de l'ordre de la recherche fondamentale.»

Proposer des outils simples pour un usage massif

Encore un effort, donc, avant d'être mis à la portée de tout un chacun. D'autant, rappelle Benjamin Sonntag, l'un des cofondateurs de La Quadrature du Net [www.laquadrature.net], qu'il existe déjà de nombreux outils [prism-break.org] permettant de garder un peu (voire beaucoup) de vie privée en ligne–ces logiciels dits libres qui autorisent notamment l'accès au code source, seule garantie de pouvoir vérifier qu'ils n'ont pas été délibérément affaiblis. Reste à en assurer la diffusion, une question qui n'a longtemps pas été le fort des communautés de développeurs. Mais là aussi, les choses évoluent.

«Il y a un changement de mentalité, constate Stéphane Bortzmeyer. L'adoption par le grand public est maintenant considérée comme un problème important.» Et la bascule s'est amorcée avant les fuites de Snowden. Eleanor Saitta y voit le résultat d'un double mouvement, externe et interne, culturel et politique: 

«Le changement vient en partie de gens qui ont grandi avec l'esthétique du jeu vidéo et celle des smartphones, et qui investissent le logiciel libre, pour que ce qu'ils produisent reflète leur engagement politique. Il y a aussi ceux qui ont toujours utilisé des outils libres, et qui ont dû les mettre en place sur le terrain, dans des contextes comme les printemps arabes ou le mouvement Occupy. Ils se sont rendus compte que ces outils, dont ils avaient l'habitude, sont une plaie pour l'utilisateur moyen.»

«Plaie» relative: l'évolution de ces dernières années est déjà sensible, et les outils les plus répandus ont enregistré, en termes de confort d'utilisation, des progrès considérables –loin des austères lignes de commande propres à décourager le néophyte. C'est le cas, notamment, du Tor Browser – un navigateur web basé sur Firefox et configuré pour utiliser le réseau d'anonymisation Tor–, qui s'installe en quelques clics. Ou encore d'Enigmail, une extension pour le logiciel Thunderbird, lancée en 2009, qui permet de gérer le chiffrement des e-mails.

Insuffisant, pour beaucoup, dans le contexte post-Prism. L'enjeu n'est plus seulement d'améliorer la prise en main par un utilisateur lambda, mais bel et bien de pousser à un usage massif. C'est clairement dans cette optique que le jeune programmeur d'origine libanaise Nadim Kobeissi a lancé en 2011 Cryptocat, une application web de chat sécurisé. Installation simplissime (une extension pour Firefox, Chrome et Safari), design épuré, interface ludique et intuitive, la formule trouve preneur: Cryptocat revendiquait mi-octobre plus de 80.000 utilisateurs réguliers, contre 65.000 en juin dernier.

D'autres projets récents mettent eux aussi l'accent sur l'ergonomie, et n'hésitent pas à s'afficher comme de potentielles épines dans le pied des géants du Net. C'est le cas de Mailpile, lancé par une petite équipe islandaise, dont Smári McCarthy, l'actuel directeur de l'International Modern Media Institute. L'application, en cours de développement, se présentera à terme comme un client webmail (façon Gmail), facile à héberger, et surtout à utiliser. Un point crucial, pour Smári McCarthy:

«L'intégration des outils de cryptographie doit être pensée pour des gens normaux, pas pour des experts. À l'heure actuelle, si on veut utiliser Enigmail, il faut se préoccuper de tas de trucs dont personne n'a envie de se soucier... Mailpile est conçu avec du chiffrement par défaut, pour rendre tout ça agréable. On veut que ce soit aussi simple à prendre en main que Gmail. C'est difficile, mais pas impossible.»

L'initiative, en tout cas, soulève quelques espoirs: «C'est prometteur, assure Benjamin Sonntag, notamment parce que le code avance très vite. Ça commence à sérieusement ressembler à quelque chose.» Des progrès rendus possibles par une campagne de crowdfunding qui a permis, début septembre, de lever 163.000 dollars – bien au-delà des 100.000 espérés. Succès que ses initiateurs attribuent, au moins pour partie, au contrecoup des fermetures de Lavabit puis Silent Mail, deux services qui ont préféré se saborder plutôt que de compromettre la sécurité des communications de leurs clients.

Trouver de nouveaux modèles économiques

Depuis, Lavabit et Silent Circle ont d'ailleurs décidé de travailler ensemble à un nouveau projet, Dark Mail, qui se concentre lui aussi sur le problème des métadonnées, et prévoit l'utilisation d'un protocole de messagerie instantanée. L'initiative, annoncée le 30 octobre, a déjà été abondamment relayée, mais soulève quelques questions. De son côté, le Français Laurent Chemla a relancé depuis deux mois et demi son propre projet d'e-mail sécurisé, Caliop. Avec le soutien logistique et financier de Gandi, l'entreprise qu'il a cofondée en 1999, et avec les mêmes préoccupations que l'équipe de Mailpile:

 

«La garantie de vie privée ne suffit pas à définir le service d'e-mail idéal. Si on ne rajoute pas un maximum de fonctionnalités, comme le classement, la recherche, l'antispam, si on ne fait pas mieux que ce qui existe, et plus simple, ça n'aura aucun effet. À ce stade, on avance principalement sur le design: on sait de quelles fonctionnalités on a besoin, l'idée est de les mettre en place à l'intérieur d'un outil dont l'ergonomie sera prédéfinie, plutôt que l'inverse.»

Concurrencer les solutions propriétaires sur leur propre terrain, donc? «Je n'ai jamais changé là-dessus, revendique Laurent Chemla. Gandi, c'était déjà de la concurrence.» L'affaire n'est pas simple pour autant, reconnaît-il: «Il y a une histoire de projets inaboutis lourde à porter pour tous.» Constat que partage Stéphane Bortzmeyer lorsqu'il évoque les solutions «clés en main» d'auto-hébergement, comme Cozy Cloud ou YunoHost , censées permettre à l'internaute lambda de reprendre en main ses données:

«Le problème, c'est que la plupart de ces projets sont aboutis à 90%, mais après, ça s'arrête... Or ce qui fait qu'un projet est “Michu-compatible”, c'est quand il est finalisé à 100%. S'il me faut, à moi, entre 5 minutes et une heure pour régler un problème, alors ça n'est pas le cas. La principale valeur de Gmail, c'est que ça fonctionne.»

Et comme souvent, le nerf de la «longue guerre», c'est aussi l'argent. «La structure économique est une question critique», avance Eleanor Saitta:

«Développer des logiciels bien conçus et faciles à utiliser, c'est énormément de travail. La communauté du libre a souvent fonctionné avec des budgets limités. C'est aussi ça qu'il faut changer: il faut trouver des financements. On a besoin de nouveaux outils, avec de nouveaux modèles économiques.»

Des modèles pour lesquels il va falloir, là encore, (ré)inventer. Les plus installés, aujourd'hui, reposent sur du financement public –comme Tor, subventionné à 60% par le gouvernement américain, tout en étant la cible d'attaques répétées de la NSA – et du mécénat d'ONG et/ou d'entreprises: ainsi le Guardian Project, qui développe des applications de communication sécurisée pour les smartphones sous Android, est-il soutenu par le Tibet Action Institute et, ponctuellement, par Google.

Eleanor Saitta évoque également, au-delà des campagnes de crowdfunding, la possibilité de microdonations via Flattr. Quant à Laurent Chemla, il rappelle le précédent d'Altern, le premier service d'hébergement web français lancé par Valentin Lacambre, qui articulait service payant (via le Minitel, le fameux «3615 Internet») et hébergement gratuit, et envisage, par exemple, une version facturée pour les entreprises.

Une bataille pour le pouvoir dans le cyberespace

Reste que, pour beaucoup, les réponses techniques, si abouties soient-elles, ne suffiront pas à répondre au problème de la surveillance de masse. Benjamin Bayart, le président de la Fédération FDN, qui rassemble les fournisseurs d'accès à Internet associatifs en France, en viendrait presque à s'énerver quand on lui parle anonymat et chiffrement:

«Ce qu'on est en train de dire, c'est qu'il faut se promener sur Internet en armure –et pas contre des gens qui voudraient vous voler votre code de carte bleue, mais pour se protéger des gouvernements. C'est tout de même un problème!»

La «longue guerre» est aussi, et peut-être surtout, une affaire politique. Une question qui agite plus que jamais les communautés hackers. En témoigne, par exemple, le troisième chapitre de Cypherpunks (en français Menace sur nos libertés), ouvrage tiré d'un long entretien entre Julian Assange, l'Américain Jacob Appelbaum, l'un des architectes de Tor, l'Allemand Andy Müller-Maguhn, du Chaos Computer Club, et Jérémie Zimmermann, le porte-parole de La Quadrature du Net: l'Australien y fait clairement le deuil de toute possibilité de régulation démocratique (les «lois de l'homme») et considère que le salut de nos vies privées repose désormais sur les algorithmes.

Un point de vue auquel peuvent difficilement se ranger les militants des groupes de défense des libertés sur le réseau, qui se sont précisément fait une spécialité de la sensibilisation des représentants politiques. Mais si les approches varient – des plus libertariens aux plus républicains –, la grande majorité semble avoir acté la nécessité d'un travail social de fond. «L'aspect politique de tout ceci est une tâche plus lourde que l'ingénierie», écrit encore Bruce Schneier dans sa tribune pour le Guardian.

«L'approche purement geek n'a aucun sens, assène Benjamin Bayart. On ne passe pas d'une société fermée et autoritaire à une société ouverte et démocratique juste par les outils. Ils sont un bon moyen de pression, mais ce qui compte, c'est la pression.» Et les fabricants desdits outils l'ont bien compris. Ainsi Nadim Kobeissi définit-il le rôle des hackers comme relevant désormais d'«un mouvement civil pour la défense des droits et de la vie privée dans le monde numérique».

Le rassemblement «Stop Watching Us», organisé à Washington, ce 26 octobre, par une centaine d'organisations – de l'Electronic Frontier Foundation à l'Union américaine pour les libertés civiles, en passant par la Fondation Mozilla – témoigne de cette émergence, et de convergences de plus en plus nettes entre «indigènes de l'Internet» et mouvements de défense des droits de l'homme. Convergences déjà visibles autour des printemps arabes et des mouvements Occupy et Indignés, mais qui, à la faveur des scandales récents, commencent à redessiner la géographie de l'activisme occidental.

Dans une tribune plus récente, cette fois pour The Atlantic, Schneier écrit encore que «nous sommes au beau milieu d'une bataille épique pour le pouvoir dans le cyberespace». Quant à l'issue envisagée, l'optimisme de l'action vient souvent réchauffer le pessimisme de l'analyse. Comme le dit en souriant Benjamin Bayart:

«Internet, c'est une idée. Une fois que tu as lâché une idée comme ça, tu ne peux pas la défaire. Et à la fin, on gagne. Toute la question est de savoir si c'est dans vingt ans, ou si c'est dans un siècle.»

Amaelle Guiton

cover
-
/
cover

Liste de lecture