CaliOpen - Correspondance sécurisée - Laurent Chemla

De April MediaWiki
Aller à la navigationAller à la recherche


Titre : CaliOpen - Correspondance sécurisée

Intervenant : Laurent Chemla

Lieu : Open World Forum

Date : Octobre 2014

Durée : 48 min 24

Lien vers la vidéo

Description

Depuis les révélations d'Edward Snowden, peu de choses ont changé. Si la prise en compte de la sécurité dans la société est devenue plus importante, les usages ne changent pas, ou trop peu. Pourquoi ? Et comment faire pour permettre au plus grand nombre de retrouver un peu de contrôle de sa vie privée ?

Transcription

00' transcrit MO

Donc la vie privée.

Un an et demi, maintenant, après les révélations d'Edward Snowden, on a forcément tous quelque chose à dire de la vie privée, mais on a aussi un an et demi de recul ce qui permet d'avoir un peu plus de réflexion sur cette façon dont on a perdu notre vie privée. Au début, enfin il y a un an et demi, on a tous, en tout cas moi j'ai réagi en disant « voilà, c'est la faute à la NSA ». Et puis, avec un peu plus de réflexion, un peu plus de temps pour réfléchir, on s’aperçoit, qu'en réalité, on a perdu notre vie privée pour tout un tas de raisons, mais pas que à cause de la NSA, clairement. Moi, il me semble avoir identifié deux raisons principales à ça, c'est, d'un côté, l’hyper centralisation d'Internet, qui rend l'espionnage beaucoup plus facile pour les méchants. C'est beaucoup plus facile de placer des micros chez les quelques gros opérateurs qui reçoivent toute notre correspondance privée, d'une part. Et d'autre part, la perte de valeur de la vie privée pour le grand public, petit à petit. Ça, ça ne date pas du tout de l'an dernier, ça date de dizaines d'années en arrière, pendant lesquelles on a petit à petit abandonné cette notion de vie privée, parce que, je ne sais pas, il y a tout un tas de raisons, j'en ai identifiées, je crois, quelques-unes. Mais, en dehors d'Internet, il y a les émissions de télé-réalité qui nous habituent à voir la vie privée des gens, les caméras dans toutes les villes de vidéosurveillance, ou vidéo protection comme on dit maintenant, qui nous habituent à être filmés en permanence. Mais ça va même encore plus loin. Ça va jusqu'au baby-phones qu'on met dans les chambres de tous les gamins maintenant. Quelque part, on a fini par abandonner, nous-mêmes, toute valeur qu'on pouvait associer, avant, à la vie privée.

Et du coup, à la fois, cette perte de valeur au niveau du grand public, qui permet aux États, du coup, de surveiller, parce que ce n'est pas grave si on surveille la population, la population s'en fout. Et, d'autre part, l’hyper centralisation d'Internet qui fait que c'est très facile de surveiller la population, fait que ces deux éléments créent un écosystème très favorable à cette surveillance généralisée contre laquelle on va essayer maintenant seulement de se battre. Mais il est très tard, il est très tard, on a beaucoup perdu dans ce combat-là. Il va falloir faire demi-tour, à la fois sur l’hyper-centralisation et c'est déjà un boulot énorme, et, en même temps, essayer de faire retrouver au grand public cette notion de vie privée. Donc le travail est gigantesque.

CaliOpen est un des projets qui essaient de répondre à cette problématique, à la différence d'un bon nombre d'autres, justement, en essayant d'agir sur ces deux aspects-là, en considérant que l'affaire de la vie privée est vraiment un problème plus économique qu'autre chose, le résultat de perte de valeur d'un côté, et de surveillance très peu chère de l'autre. Donc vraiment, ce sont des questions économiques quelque part.

(Non ça ne marche pas ça. Oui, c'est chiant)

Je parlais du grand public, j'ai fait mes slides en anglais. On m'avait demandé de faire une conférence en anglais, mais vraiment il ne vaut mieux pas, donc je fais la conférence en français, mais j'ai fait les slides en anglais, au cas où. Voilà. Alors je parlais du grand public. On pourrait imaginer que les plus technophiles d'entre nous, eux savent comment faire, savent comment se protéger, ont compris cette problématique et font de leur mieux pour retrouver un peu de vie privée. En réalité, j'identifie, en général, quand je fais des confs, trois catégories de technophiles. Ceux qui croient qu'ils peuvent se protéger, mais qui ne le font pas. Simplement, ils sont sûrs de pouvoir le faire, du coup, ça ne sert à rien. Ceux qui savent se protéger, pour le coup, vraiment, mais qui ne le font pas, parce que leur vie privée n'a pas d'importance, comme pour la grande majorité de la population. Et peut-être les pires, ceux qui se protègent, en tout cas qui croient se protéger. Mais ça ne sert à rien.

Dans le temps j'utilisais une image qui n’existe pas, une image que je racontais, qui était « Imaginez-vous en vacances, en train de prendre un selfie et imaginez que derrière vous il y a un opposant politique ». Vous, vous vous en fichez, vous êtes en vacances, vous diffusez votre photo sur les réseaux sociaux. L'opposant politique qui est dans le champ, lui, il ne sait pas que vous avez pris un selfie. Par contre, une fois qu'il est sur Facebook, le régime totalitaire dans lequel il vit le repère, et l’arrête, parce qu'ils savent où il est. Cette image je la trouve plus rigolote, c'est quoi ? Ça dit : « Si vous prenez de photos des rhinos, les chasseurs vont savoir où ils sont ». Donc faites gaffe, quoi ! Ce n'est pas vous que vous protégez en faisant attention, ce sont les autres. Et la vie privée c'est ça en réalité. Ce n'est pas se protéger soi-même. On peut, pourquoi pas, chiffrer son courrier électronique, utiliser PGP. Combien dans la salle utilisent PGP tous les jours ? Question habituelle. Voilà, tous les jours. ! Deux sur une quarantaine. C'est un beau score, je crois.

Donc voilà, on peut imaginer que dans un public technophile comme celui-là il y en aurait un peu plus, c'est en général entre 10 et 15 %, mais pas plus. Et ça ne sert à rien. Ça ne sert à rien pourquoi ? Parce que vous, vous l'utilisez, très bien. Avec qui ? Avec une, peut-être deux personnes, une mailing-liste, grand maximum, si vous y arrivez parce que c'est compliqué. Mais 99 % des gens avec qui vous échangez n'ont pas PGP en face, et ne savent pas s'en servir. Donc, de toutes façons, vous échangez 99 % en clair. Donc, en pratique, ça ne sert à rien de se protéger soi-même, parce que les gens avec qui on discute ne le sont pas, et surtout, ça ne sert à rien de se protéger soi-même, parce que, ce qu'il faut, c'est protéger les gens avec qui on discute, justement. Le but du jeu c'est de faire en sorte que les gens avec qui on discute soient protégés. C'est ça la vie privée. Donc, essayez de ne pas tirer sur le rhino, c'est vraiment ça. C'est ne faites pas attention à vos données, même si c'est important de le faire, mais ça n'a aucune importance sauf si vous ne discutez avec personne.

D'autres raisons pour lesquelles, jusqu'à présent, la façon dont le public technique, en général, a mal évalué la situation, c'est que la plupart de solutions offertes aujourd'hui, que ce soit PGP, mais ProtonMail et d'autres projets en cours, sont tous orientés sur le mail. C'est très bien de protéger le mail, ça protège vos échanges avec Amazon quand vous passez une commande. Voilà les logs de vos serveurs, à la limite peut-être, mais avec qui vous discutez tous les jours par e-mail aujourd'hui ? En moyenne peut-être deux/trois personnes. Avec combien de personnes vous discutez par Facebook, par Tweeter, par SMS, par chat ?

Si on ne protège que le courrier électronique, c'est déjà énorme, c'est déjà beaucoup mieux que ce qui se fait actuellement. Mais si on ne protège que le courrier électronique, on laisse, à nouveau, dans la nature, tout son réseau. Or c'est ça qui intéresse, on le sait, la NSA. Ce ne sont pas vos petits papotages entre potes, c'est de pouvoir vous identifier à l’intérieur d'un réseau, savoir quels sont vos contacts, pour que si, un jour, un de ces contacts-là intéresse des espions, on puisse dire : « Tiens je vais le surveiller, lui aussi, parce qu'il fait partie de ses contacts », et ainsi de suite. Ce qu'on appelle les métadonnées. Et les métadonnées, ce n'est pas que le mail aujourd'hui, ce sont les réseaux sociaux, c'est le chat, c'est l'IRC, ce sont tous ces outils qu'on utilise pour les correspondances privées. Si on veut vraiment réinventer une vie privée en ligne, se limiter au courrier électronique, ça ne servira à rien.

D'autre part, la plupart des projets dont je parle, que ce soit le nouveau ProtonMail ou celui qu'on m'a présenté tout à l'heure, j'ai oublié son nom, mais je vais aller le voir de plus près dès que j'aurais le temps, bref, la plupart des projets qui proposent du courrier sécurisé aujourd'hui sont des services centralisés.

Le problème d'un service centralisé, évidemment, c'est qu'il y aura toujours un trou. ProtoMail s'est fait trouer il y a très peu de temps, en plus par un hack assez bête. Bon ! Tout le monde se fera trouer. CaliOpen, s'il existe un jour, se fera trouer aussi. La question n'est pas de se faire trouer ou pas se faire trouer, c'est d’être centralisé. Si on en a un qui propose du courrier sécurisé, la NSA rajoute un micro. Elle en avait quatre avant, elle en aura cinq demain, ça ne va pas lui coûter beaucoup plus cher. Le problème de la centralisation c'est ça. Ce n'est pas « on va se faire trouver », c'est qu'on est trop peu nombreux pour pouvoir rajouter suffisamment d'entropie à la vie privée pour que la surveillance de masse ne puisse plus se faire à un coût aussi bas qu'aujourd'hui.

(J'ai toujours besoin de beaucoup d'eau, sinon, voilà.)

09' 07

Donc voilà, on est sur Internet, il faut respecter les normes d'Internet, ce qui a toujours fait Internet, c’est-à-dire la décentralisation, l'ouverture, ne pas se limiter, ne pas essayer d'inventer un nouveau protocole qui fera que « Ah, celui-là il est hyper sécurisé, il n'y a aucune trace, il n'y a aucune méta-data qui est échangée avec les autres ». Et, du coup je discute avec uniquement les autres personnes qui utilisent ce protocole-là, qui n'existe encore que pour, peut-être, un pour mille de la population des plus technophiles geeks, qui sont les plus paranos, qui vont décider d'utiliser, je ne sais pas moi, « geek message ». Super, mais quand je vais discuter avec ma famille, mes potes, mes machins, je vais continuer à utiliser Gmail, donc ça ne sert strictement à rien. Utilisons les protocoles existants, c'est ça internet, rester ouvert, respecter les normes et être décentralisé. Toute solution qui irait en sens inverse, d'abord ne respecte pas internet, et, en plus, ne marche pas.

(Ah, mais saleté de souris.) C'est du Gimp. Cool. Bien.

Public : Il est beau !

Laurent Chemla : Oh, ça va. Il y a trop de couleurs, mais je n'ai pas retrouvé le??? avec lequel je l'ai fait. Du coup. Bon, bref ! Je le présente une première fois rapidement. Donc toute cette partie-là, c'est juste pour expliquer CaliOpen. Son objectif ça va être ça. Un de ses objectifs ça, ça va être de dire on ne protège pas que le courrier électronique, pas que le SMTP. On répond à toutes les normes qui existent, qui permettent les échanges de correspondance privée, donc SMTP, donc XMPP évidemment. Mais y compris l’utilisateur qui va arriver sur un CaliOpen un jour, va rajouter son compte Gmail, son compte Yahoo, et va recevoir sur son CaliOpen toute sa correspondance privée. Ce qui permet, évidemment, d'abord de proposer un service intéressant pour le public, donc d'attirer un maximum de gens, et pas juste les technophiles qui disent « moi je veux que mon mail soit sécurisé », parce que ça, ça ne compte pas. Et, en plus, parce qu'on reçoit tous ces protocoles-là, on les sécurise tous, aussi. En tout cas on va proposer de les sécuriser tous. Donc CaliOpen a ces deux objectifs-là. Quand il propose tous les protocoles et de tout réunir, c'est d'abord de proposer un produit attirant pour le grand public, qui ne viendra pas juste pour avoir de la sécurité, parce que, aujourd’hui, pour lui, la sécurité n'a pas d'importance. Donc il viendra parce que c'est un outil pratique, qui lui permet d'avoir, au même endroit, toute sa correspondance, voilà, simplement. Mais nous aussi, derrière, ça va nous permettre ensuite, dans un second temps, de lui proposer de sécuriser tous ces protocoles-là.

Pour ça, on a eu une idée, pour le pousser donc à sécuriser tous ces protocoles-là, on a eu une idée, c'est d'attacher à tout message qu’il va recevoir un index, une valeur, on l'appelle, en français, niveau de confidentialité. Les termes ne sont pas encore tout à fait définitifs. En anglais ça donne mieux privacy index, ça fait fille en plus, c'est joli.

(Merde, je n’arrête pas de me prendre le pied dedans).

Donc on définit cet index, qu'on attache à tous les messages. Pourquoi faire ? D'abord parce que, quand on reçoit un message et que, en évidence il y a marqué « hou là, là, il y a une chance sur deux qu'il ait été lu par un tiers, ça redonne de la valeur à la vie privée. Le simple fait d'afficher une valeur avec un message, une valeur qui dit la probabilité que ce message ait pu être intercepté ou non, ça donne une valeur, qu'on avait dans le temps, pour le courrier papier, par exemple. On recevait une lettre, elle était collée. Aujourd’hui, avec Internet et la dématérialisation de tout ça, cette notion qu'on avait avant de dire « la lettre elle est collée donc il y a peu de chances que quelqu'un d'autre que moi l'ait lue ». Peut-être, mais en tout cas ça lui a demandé des efforts supplémentaires à si ça avait été une carte postale. Donc j'ai une idée de la valeur de la vie privée qui est attachée à ce courrier. Sur internet on n'a plus cette notion-là. Le fait de la réintroduire, en affichant cette valeur en permanence, ça permet de redonner, pour le public qui va la voir, de se dire « tiens ce courrier-là, il n'a été lu par personne. Tiens celui-là, il a été lu par la terre entière. Donc peut-être celui-là est plus intéressant que l'autre, je ne sais pas ». En tout cas, d'agir en fonction de ça.

Et évidemment, en plus de ça, parce que le fait de recevoir des choses très peu sécurisées donne envie de s'améliorer, de donner, quand on va passer la souris sur « tiens ton niveau il est de deux sur cent, mais tu peux l'améliorer en faisant ça et ça. Tiens, par exemple, si tu veux, tu peux te créer une paire de clefs, ça permettra à tes correspondants de chiffrer les messages que tu reçois, et du coup tes messages ont une plus grosse valeur ».

Donc, par ce jeu-là, on espère pouvoir réintroduire dans l'esprit du public la notion de la valeur de la vie privée. Et, du coup, on étend ce principe à absolument tout dans CaliOpen.

Un message a une valeur associée, mais une conversation a une valeur en tant que telle, qui va dépendre de la valeur de chacun des messages. Mais un contact a une valeur, parce que cette personne-là fait super attention non seulement à sa vie privée, mais aussi à celle de tous les autres et de ses contacts, il a une clef publique donc on sait qu'avec lui on va pouvoir chiffrer les données. Il a déclaré que son terminal n’était utilisé que par lui, il a fait tout un tas d’actions simples, mais qui font que son niveau est haut. Donc les contacts ont, eux aussi, un niveau de confidentialité.

Les terminaux qu'on utilise ont un niveau de confidentialité. Par exemple, l'ordinateur de bureau que je suis seul à utiliser, qui est protégé par un mot de passe, a une valeur de confidentialité supérieure à mon smartphone que je peux perdre n'importe où, qui a encore une valeur supérieure à l'ordinateur que j’utilise dans un web bar quand je suis à l’étranger. Je vais y revenir sur cet exemple-là. Donc tout a une valeur la-dedans, y compris et jusqu'aux comptes de l'utilisateur lui-même. C'est à-dire que vous arrivez, vous créez votre compte sur un CaliOpen, vous avez un niveau nul. Mais on va tout de suite vous proposer de l'améliorer, donc de déclarer un terminal comme étant plus sûr que les autres, de vous créer des clefs si vous n'en avez pas, et ainsi de suite, pour pouvoir monter de niveau. Et là, pour le coup, on rentre dans un second aspect de CaliOpen qui est la ludification. C'est-à-dire que quand quelqu'un arrive et qu'il a un niveau de zéro, mais qu'il a possibilité de monter, il a envie de le faire. Et d'autant plus qu'on va le pousser par d'autres jeux, en essayant de le récompenser à chaque fois qu'il a une action, qu'il protège un peu mieux, à la fois, son compte et encore une fois ceux de ses correspondants.

Pour que ça fonctionne il faut d'abord, évidemment, que la métrique qu'on utilise, donc le calcul qu'on va faire pour afficher ces valeurs-là, soit compréhensible par l’utilisateur. Il faut qu'il sache que s'il perd des points, c'est à cause de ça, que s'il en gagne, c'est à cause de ça. C'est comme ça qu'on va lui apprendre à changer ses habitudes et à faire les quelques efforts nécessaires pour mieux se protéger, mieux protéger ses contacts.

Et je le disais, on va lui apprendre à avoir un meilleur comportement. Donc, par nécessité, une partie de la valeur au moins attachée à son compte utilisateur, dépend de son comportement. Donc il faut à la fois le pousser à avoir un meilleur comportement, mais, en même temps, faire en sorte qu'il comprenne pourquoi, et dans quelles conditions ça se passe.

Un exemple pratique. La photo je l'ai prise en Tunisie pendant la révolution, donc « Internet agréé par l’État », ça dit bien ce que ça veut dire. Si vous êtes à l'étranger, que vous avez besoin d'aller lire votre courrier, mais que vous n'avez pas de terminal sur place, vous allez dans un web bar, vous utilisez une connexion que vous ne connaissez pas, un ordinateur qui est accessible par n'importe qui. Dans ce cas-là, que va faire CaliOpen ? D’abord, il va vous demander une double authentification, être sûr que c'est bien vous, ça c'est la base. Mais il ne va pas vous montrer les messages les plus sûrs. Donc tout message qui aura une valeur associée supérieure à zéro ne sera pas, par défaut, affiché, et il ne vous laissera pas, non plus, utiliser votre clef privée. Parce que si vous utilisez votre clef privée sur un terminal que vous ne maîtrisez pas, vous risquez de la mettre dans la nature, non seulement elle, mais y compris votre passphrase, ce qui permet de déchiffrer un message chiffré. Donc par défaut CaliOpen ne va pas permettre ça. Mais, en cas d'urgence, évidemment l'utilisateur peut décider quand même. Il va aller lire son courrier. Simplement par défaut on ne va pas le faire.

Si, par hasard, il a vraiment envie de passer outre ce type de limitation dans CaliOpen, d'abord on va le prévenir « fais gaffe si tu fais ça. Non seulement tu te mets, toi, en danger, mais les personnes qui t'ont envoyé ce message-là, au moment où elles te l'ont envoyé, elles considéraient que tu avais un niveau de confidentialité de tant. Ce message-là, sur leur terminal, il est affiché avec un niveau de confidentialité assez élevé. Là tu es en train de le diffuser à la terre entière. Donc, non seulement, toi, tu te mets en danger, mais tes contacts qui t'ont envoyé ce message ils comptaient sur toi, ils doivent être informés du fait que le message peut être diffusé à la terre entière, et devenu public ». Je ne sais pas moi, s'il t'annonçait une ??? de la police, il faut que tu puisses déménager vite par exemple. Donc on va leur dire, donc les contacts vont être informé, quand un message comme ça arrive, et puis vous, vous allez perdre des points, forcément, parce que là, vous avez mal agi vis-à-vis de vos contacts. Bon, c'est un exemple un peu extrême. Mais, en même temps, il raconte bien l'histoire. L'idée c'est vraiment ça, c'est qu'on va apprendre aux utilisateurs quelle est la valeur de la vie privée avec ce type d'incitation, mais pas en lui imposant des choix, mais en lui proposant, en permanence, de s'améliorer.

(Vous me dites si je vais trop vite, mais si je ne vais pas assez vite je n'aurais jamais fini.)

Alors, en échange de son bon comportement, on va lui donner des récompenses, c'est bon chien. Mais ça marche, c'est comme ça que les choses fonctionnent, et, encore une fois, on est dans un système ludique, en tout cas on essaye de l’être. Donc quand on est dans un jeu il faut qu'il y ait des récompenses en fonction des actions. Plus on clique vite, plus on gagne de points-là. Là, plus on fait des efforts pour protéger sa vie privée et celle de ses contacts, plus on gagne de points aussi. Et pas seulement des points, les points ne servent pas à grand-chose en tant que tels.

Mais, par exemple, on a une deuxième valeur dans CaliOpen qui permet d'afficher, dans une timeline où toutes les conversations s'affichent, qui permet de trier en fonction d'un niveau d’importance. Parce que le niveau d'importance, il dépend aussi du niveau de confidentialité des gens qui vous envoient les messages. Donc si quelqu’un a un niveau de confidentialité très élevé, que vous avez vous, fait les efforts pour avoir un bon niveau de confidentialité, quand vous envoyez un message à quelqu'un, il est dans le bon niveau de confidentialité, mais aussi dans un niveau d'importance supérieure. Donc vous êtes affiché plus en avant que les autres. Donc ce type dereward, d'incitation, fait qu'on gagne quelque chose quand on fait les efforts nécessaires, parce que ce sont toujours des efforts.

L’exemple le plus habituel là-dedans, c'est quoi ? C'est quand Edward Snowden a contacté Laura Poitras, la première chose qu'il lui a dite c'est « je ne peux rien vous dire tant que vous ne serez pas mieux protégée ». On est vraiment dans ce système-là. Dans CaliOpen, quelqu'un pourra dire « moi je refuse de recevoir des messages de gens qui n'ont pas un niveau de confidentialité supérieur à », je ne sais pas, « cinquante sur cent ». Du coup vous, pour pouvoir leur écrire, il va falloir que vous vous amélioriez aussi. On est toujours dans ce système d'incitation. Mais ça va plus loin, c'est que vous, vous allez vous améliorer parce que vous aurez envie d'écrire à Laura Poitras pour dénoncer votre employeur, mais, du coup, vous aurez un niveau assez élevé pour dire « tous mes contacts, là, tous mes potes d'enfance, machin, ils ont un niveau nul, parce qu'ils sont chez Google, parce qu'ils sont chez Yahoo, et du coup, ils s'affichent avec un niveau d'importance très bas dans ma timeline, alors j'aimerais bien qu'ils s'affichent mieux. Je n'ai pas d'autre solution pour ça que de leur dire comment se sécuriser davantage, par exemple en venant utiliser un autre CaliOpen, par exemple, même sans aller utiliser CaliOpen en se créant des clefs privées, en se créant des paires de clefs, en faisant les efforts nécessaires pour s’améliorer eux aussi. De façon à ce que quand je reçois, moi, leurs messages, ils s'affichent avec un niveau d'importance supérieure ».

Donc on crée, comme, ça non seulement une envie pour l’utilisateur de s'améliorer lui, mais, en plus, de pousser tous ses contacts à s'améliorer aussi. On est dans une espèce de cercle vertueux et c'est comme ça peut-être, en tout cas c'est un des efforts nécessaires il me semble, pour réintroduire ce qu'on a perdu depuis des années, donc cette notion de valeur de la vie privée. Ça ne se fera pas du jour au lendemain, ce sera un long effort, il y aura sûrement pas que CaliOpen qui essaiera de faire ça. Mais en tout cas voilà, un pas en sens inverse de la tendance actuelle qui est on s'en fiche. On ne s'en fiche pas sinon tous les rhinos meurent.

22' 10

Donc j'ai déjà dit un mot de l'interface utilisateur.

Récupérée de « http://wiki.april.org/index.php?title=CaliOpen_-_Correspondance_sécurisée_-_Laurent_Chemla&oldid=68738 »