Depuis les révélations d’Edward Snowden sur les programmes de surveillance de masse de la NSA, les cryptologues et les geeks libertaires se sont assigné une mission ambitieuse : créer un Internet entièrement chiffré, qui préserverait intégralement le secret des correspondances dans le monde entier.

Lire aussi Signal, une application pour téléphoner de manière sécurisée

Lire aussi Ricochet, une messagerie sécurisée qui cache aussi les métadonnées

Leur objectif prioritaire est de mettre en circulation des systèmes automatiques, faciles à utiliser en toutes circonstances par les internautes de base. En ce sens, le projet le plus radical est sans doute « PEP - Pretty Easy Privacy » (« la vie privée plutôt facile »), ainsi nommé en référence au célèbre PGP, Pretty Good Privacy, le premier système de chiffrement libre et gratuit disponible sur Internet, inventé en 1991.

PEP sera un logiciel open source en peer-to-peer fonctionnant sans serveur centralisé, ce qui le rend moins vulnérable à une éventuelle attaque. Contrairement à la plupart des systèmes de chiffrement actuels, PEP ne se présentera pas comme une application supplémentaire, qu’il faudra penser à activer et à utiliser. Une fois téléchargé, PEP s’insérera à l’intérieur des applications préexistantes : lecteurs d’e-mails, SMS, messageries de type WhatsApp ou Jabber, messageries intégrées dans les réseaux sociaux… Si tout se passe comme prévu, même Outlook, de Microsoft, et Facebook Messenger pourront bientôt être sécurisés par PEP.

L’un de ses créateurs, Alex Antener, installé à Zurich, résume la philosophie du projet : « Nous voulons instaurer le chiffrement par défaut, que tout le monde utilisera sans y penser, presque sans le savoir. La période du texte circulant “en clair” sur le Net sera bientôt révolue, nous entrons dans une nouvelle ère. » La grande force de PEP est qu’il sera compatible avec les systèmes de chiffrement préexistants, déjà répandus sur Internet, comme SSL, OTR ou GPG : « Auparavant, pour envoyer un message chiffré, il fallait que l’expéditeur et le destinataire possèdent le même système. Avec PEP, des gens équipés de systèmes différents pourront communiquer et déchiffrer leurs messages respectifs. » PEP trouvera automatiquement les clés de chiffrement dans les logiciels déjà installés et les adoptera : l’utilisateur n’aura donc pas besoin de changer de clé. Si aucune clé n’existe dans l’appareil, PEP se chargera d’en créer de nouvelles.

Des compromis dans le fonctionnement

Pour faciliter la transition, PEP va instaurer une procédure très souple : « Dans les systèmes classiques, quand il y a un problème technique et que le chiffrement ne peut pas se faire, le message reste bloqué, ou est illisible pour le destinataire. Du coup, les utilisateurs sont frustrés, et souvent, ils abandonnent carrément le chiffrement. Avec PEP, ils auront le choix : s’ils le souhaitent, le message sera acheminé non chiffré, car parfois la communication doit primer sur les autres considérations, notamment en entreprise. » Ils seront prévenus par un code couleur pour savoir si le message est bien passé sous forme chiffrée, s’il est passé mais non vérifié, ou s’il est passé sans être chiffré. Par ailleurs, les messages pourront être lisibles en clair dans l’Intranet d’une entreprise, tout en étant chiffrés pour l’extérieur.

Grâce à ces compromis, assez éloignés du rigorisme des activistes du chiffrement d’antan, Alex Antener se dit convaincu que PEP va changer la donne : « En instaurant le chiffrement par défaut de milliards de messages, nous allons compliquer la tâche des agences de renseignement. Nous allons rendre la surveillance de masse tellement chère qu’elle en deviendra peut-être infaisable. »

PEP sera gratuit sous licence libre et proposera aussi des services payants pour les entreprises, qui sont de plus en plus nombreuses à comprendre l’importance de préserver le secret de leurs correspondances électroniques. Pour mener de front ces deux types de distribution, les créateurs de PEP ont mis sur pied une association à but non lucratif en Suisse et une société commerciale classique au Luxembourg. L’équipe dirigeante est donc un mélange inédit : d’une part des geeks libertaires comme Alex Antener, militant de longue date du Chaos Computer Club et fervent défenseur du logiciel libre, et d’autre part des hommes d’affaires comme Leon Schumacher, ancien cadre dirigeant de Novartis et d’Arcelor Mittal. « Cette alliance est féconde, affirme Alex Antener, nous découvrons que nous avons des intérêts en commun. » L’ensemble de l’équipe restera l’actionnaire principal de la société commerciale.

Maintenance de Thunderbird

Autre initiative originale : pour accélérer l’adoption de PEP par le grand public, l’association a travaillé avec une équipe de la Fondation Mozilla, chargée de la gestion et de la maintenance du logiciel de courrier électronique Thunderbird : « Nous allons intégrer PEP dans Thunderbird, explique Alex Antener, et offrir notre nouvelle version sécurisée lors d’une prochaine mise à jour. Du coup, PEP obtiendra d’un seul coup une base de soixante millions d’utilisateurs. » PEP souhaite à présent prendre en charge l’ensemble de la gestion de Thunderbird, que la Fondation Mozilla s’apprête à abandonner.

Pour se faire connaître en Allemagne, PEP va travailler en liaison avec Digitalcourage, association de défense des libertés sur Internet allemande. L’une des dirigeantes de Digitalcourage, Rena Tangens, siège au conseil d’administration de PEP. En direction du grand public, elle a décidé de lancer un message simple : « Nous expliquerons que sur Internet, il est temps d’avoir un nouveau réflexe : glissez votre lettre dans une enveloppe, au lieu d’envoyer une carte postale que tout le monde peut lire. »

Mise à jour le 27/1 : une première version de cet article indiquait de manière erronée que la reprise de la gestion de Thunderbird était effective, ce qui n’est pas le cas.