Sale temps pour le chiffrement. Il y eut d’abord, à l’été 2013, la disparition de Lavabit, le service américain de courriels chiffrés qui préféra se saborder plutôt que de collaborer avec le FBI, suivi peu après de la fermeture partielle, pour des raisons similaires, de son concurrent Silent Circle.
Lavabit, Heartbleed, Truecrypt, Silent Circle...
Au printemps 2014, on découvrait « Heartbleed », une faille béante dans le protocole OpenSSL utilisé par les sites marchands et les banques pour sécuriser leurs transactions en ligne.
Peu après, l’annonce de la disparition du logiciel de chiffrement TrueCrypt, par sa propre équipe, qui aurait découvert des « problèmes de sécurité », laissait incrédule les milieux de la sécurité.
Aujourd'hui, les internautes désireux de chiffrer leurs fichiers et leurs communications, sont à la recherche d’une solution de remplacement, qui serait à la fois sûre, facile à utiliser, et bon marché.
>> Lire nos articles sur la disparition de Lavabit, celle du logiciel Truecrypt et à propos du bug « Heartbleed »
Une alternative française
Parmi les nouvelles offres apparaissant sur le Net, la petite start-up française, Gith, installée en banlieue parisienne, propose un service complet baptisé SubMeet : messagerie instantanée et courriels chiffrés automatiquement de bout en bout, et chiffrement à la volée de tous types de fichiers. L’utilisateur peut choisir de stocker ses documents dans son appareil, ou dans le cloud. Tout est gratuit, sauf le service dans le cloud, qui coûte de 2 à 12 euros par mois. SubMeet fonctionne sous Windows, Apple, Android et Linux.
Chaque clé privée est créée directement par l’utilisateur, grâce à une petite interface ludique : un dessin ou un gribouillis tracé au hasard dans une fenêtre avec le doigt ou la souris. La chaîne de caractères ainsi générée reste stockée dans l’appareil, sous le contrôle exclusif de son propriétaire.
Un patron au parcours atypique
De Thalès à sa start-up en passant par le ministère de la défense
Sans état d’âme, Benoît Girard se dit totalement acquis à la cause de la protection de la vie privée et du secret des données personnelles. Il affirme que Gith n’a jamais été contactée par un service de renseignement de l’Etat français, « peut-être parce que nous sommes trop petits. Quand nous aurons des millions d’utilisateurs, ils nous rendront peut-être visite, pour s’informer... ».
Cela dit, il n’est pas inquiet : « Même si un jour, nos serveurs étaient perquisitionnés, nous ne pourrions livrer que ce que nous possédons, à savoir les pseudos choisis par nos clients, et éventuellement leurs fichiers, mais seulement sous forme chiffrée, puisque nous n’avons pas les clés. »
Protection en amont
En fait, Gith a pris en amont le maximum de précautions :
« Nous n’utilisons pas les solutions proposées par Apple ou Microsoft, qui sont assez opaques. Nous avons codé notre propre générateur de clés aléatoire, ainsi que nos algorithmes, et notre implémentation cryptographique. Nous maîtrisons intégralement le cœur de notre système. Par ailleurs, nos serveurs sont en France, chez le prestataire OVH, à Roubaix. »
A l’avenir, Benoît Girard envisage d’ouvrir des serveurs dans d’autres pays, dotés de lois protectrices en matière de données personnelles : « Nous donnerons à nos clients le choix du pays d’hébergement, selon leurs besoins juridiques spécifiques. »
« Si vous êtes une cible prioritaire de la NSA, personne ne peut rien pour vous »
Bientôt en open source
SubMeet n’a pas encore été soumis à un audit indépendant, car cela coûte cher : « Nous sommes encore fragiles, nous gardons notre code fermé. Quand nous serons plus solides commercialement, nous le publierons en open source. »
Gith vise d’abord les PME, les TPE et les professions libérales comme les avocats ou les notaires, qui ont besoin de sécuriser leurs bases de données, mais ne possèdent de compétences dans ce domaine. En ce qui concerne les particuliers, c’est plus vague :
« Nos premiers utilisateurs sont surtout des gens de plus de 50 ans, qui ont connu la vie avant Internet, et pour qui la protection de la vie privée a encore un sens. En revanche, les ados qui racontent leur vie intime sur Facebook se moquent complètement du chiffrement. »
Est-ce à dire que le marché est en voie d’extinction inéluctable ? « Pas forcément, mais il faudra que les mentalités évoluent. »
>> Lire notre enquête : Accéder à ses propres données personnelles, le parcours du combattant
