[Dossier] Phil Zimmermann : Père de PGP et gardien de notre vie privée
-
Je me souviens très bien, la première fois que j’ai entendu parler de Phil Zimmermann… C’était à la fin des années 90 quand pour la première fois, j’ai installé PGP sur mon ordinateur en me disant “Trop cool, on peut chiffrer en 4096 bits, c’est dingue (en plus d’être interdit à l’époque) !”.
Philip R. Zimmermann est né le 12 février 1954 à Camden dans le New Jersey aux Etats-Unis et il est surtout connu de tous les techos que nous sommes pour avoir marqué l’histoire de l’informatique grâce à son invention : PGP (Pretty Good Privacy).
Diplômé en informatique de la Florida Atlantic University en 1978, Zimmermann s’est installé à Boulder dans le Colorado où il a mené une double vie fascinante : ingénieur logiciel le jour, et analyste politique pour la campagne de gel des armes nucléaires le soir.
Téléchargé au début par quelques geeks, PGP est rapidement devenu le logiciel de chiffrement d’email le plus utilisé au monde. Imaginez-le en 1991, à 37 ans bien tassé, développant ce qu’il espérait devenir un outil pour aider les droits de l’homme… Notre utopiste l’a d’ailleurs rendu disponible gratuitement très rapidement, en le diffusant sur le net… Et c’était un truc de dingue ! On pouvait enfin sécuriser sérieusement nos communications électroniques grâce à ce tout petit outil de rien du tout. C’est cet événement qui a à tout jamais façonné la réputation de Zimmermann en tant que pionnier de la cryptographie moderne.
Un des aspects fascinants de PGP, c’était que ce logiciel fonctionnait déjà comme un système de chiffrement hybride. Plutôt que de choisir entre de la cryptographie symétrique (rapide mais nécessitant une distribution sécurisée des clés) et asymétrique (sécurisée mais lente, environ 4000 à 200 000 fois plus lente selon la taille de clé), Zimmermann a opté pour une combinaison des deux, histoire d’avoir la vitesse ET l’efficacité. La première version de PGP incluait même un algorithme de chiffrement qu’il avait développé lui-même, baptisé Bass-O-matic. Cet algorithme, basé sur le travail de Charlie Merritt, avait quelques faiblesses, notamment une vulnérabilité à la cryptanalyse différentielle et une erreur qui empêchait le dernier bit de chaque octet d’être correctement chiffré. Heureusement, il l’a vite remplacé par IDEA dans PGP 2.0.
Bah oui, parce qu’avant l’arrivée de PGP, envoyer un e-mail c’était comme envoyer une carte postale. Tout le monde pouvait lire ce que vous écriviez. Mais avec cet outil, les informations envoyées sont devenues tellement indéchiffrables que même les services secrets ne pouvaient plus rien y faire. Et c’est là que Zimmermann a marqué des points dans mon cœur, en offrant à monsieur et madame tout-le-monde la possibilité de protéger ses échanges personnels de manière facile et surtout ultra sécurisée.
Toutefois, cette brillante invention a rapidement attiré l’attention des autorités. L’histoire se corse en 1993, lorsque le gouvernement américain, qui voyait déjà d’un mauvais œil la prolifération d’outils de chiffrement, a mené une enquête criminelle à l’encontre de Phil pour violation de la loi sur le contrôle des exportations, plus précisément l’Arms Export Control Act de 1976. Car oui, selon les autorités, faire circuler PGP sur le net, c’était comme faire passer des armes à l’étranger. La cryptographie forte était littéralement classée comme “munition de guerre”, avec des peines pouvant aller jusqu’à 10 ans de prison et 1 million de dollars d’amende ! Cette enquête, déclenchée par un rapport de RSA Security concernant un différend de licence sur l’utilisation de l’algorithme RSA dans PGP, a duré trois ans avec le FBI et la NSA sur le coup. Finalement, elle a été abandonnée en 1996, après que le code source de PGP ait été publié par le MIT Press en 1995.
Zimmermann, en bon résistant, a utilisé cette publication comme une manière de contourner les restrictions d’exportation de code numérique. L’exportation de livres était protégée par le Premier Amendement, contrairement au code numérique ! Il a confié plus tard qu’il était confus sur la façon dont USENET gérait les limitations géographiques, pensant à tort qu’un tag “US only” empêcherait réellement la diffusion mondiale. Mais sa démarche était claire : PGP devait appartenir au monde entier.
Après cet épisode tumultueux, il a ensuite fondé PGP Inc. en 1996, sa société destinée à commercialiser sa technologie de chiffrement. Puis, les rachats de boîtes se sont succédé comme dans une partie de Monopoly: PGP Inc. a été rachetée par Network Associates en 1997, avant d’être acquise par PGP Corporation en 2002, pour finalement atterrir chez Symantec en 2010 pour 300 millions de dollars. Et bien sûr, Phil est toujours resté à bord de sa coquille de noix en tant que conseiller et consultant, veillant sur PGP comme un gardien du temple.
Puis il a créé Zfone en 2006, un projet visant à sécuriser les communications VoIP. Grâce au protocole ZRTP, Zfone était capable de sécuriser les appels vocaux en créant une clé cryptographique unique pour chaque conversation.
Néanmoins, entre les licences logicielles et les attentes de la communauté, ce projet a connu quelques déboires. Ensuite, en 2012, avec ses amis Mike Janke (ancien Navy SEAL) et Jon Callas (co-auteur d’OpenPGP), il co-fonde Silent Circle, une entreprise spécialisée dans la sécurisation des communications mobiles. Leurs services de messagerie, d’appels et d’emails chiffrés sont alors utilisés par tout le monde, des journalistes en zones de conflit aux agences gouvernementales.
Avec Silent Circle, Zimmermann a alors une nouvelle fois transformé l’art de la communication sécurisée en quelque chose d’accessible à tous et de fluide peu importe le réseau… On est bien loin des soucis de configuration complexe de PGP qu’on pouvait rencontré au début. Suite à l’affaire Lavabit en 2013, où le FBI a exigé l’accès aux e-mails d’Edward Snowden, Silent Circle a pris peur et a détruit préventivement ses serveurs mail avant de déplacer ses opérations en Suisse car ils sont moins susceptibles d’y rencontrer des pressions juridiques qu’aux États-Unis, comme l’a expliqué à l’époque Phil.
Puis en 2013, il a rejoint le mouvement Dark Mail Alliance avec Ladar Levison de Lavabit, pour créer un nouveau protocole qui dépasse les limitations de PGP en sécurisant non seulement les emails, mais aussi les métadonnées. Il s’est également impliqué dans le réseau social Okuna, aujourd’hui disparu, qui était une alternative éthique et respectueuse de la vie privée aux réseaux sociaux existants comme Facebook ou Twitter.
Alors comme l’a déclaré Zimmermann il y a fort longtemps : “La cryptographie forte fait plus de bien que de mal à la démocratie, même si elle peut servir aux terroristes.” Une autre de ses citations marquantes est que : “Si la vie privée est hors-la-loi, seuls les hors-la-loi auront une vie privée.”
Ce postulat est pour lui autant un angle de défense face à tous ceux qui privilégient leur sécurité à leur liberté (enfin surtout celle des autres), qu’une vision claire de son engagement. Il a d’ailleurs toujours insisté sur l’importance de la vie privée à l’ère du numérique.
Les contributions de Zimmermann à la cryptographie lui ont valu de nombreuses récompenses : du Chrysler Design Award en 1995 aux distinctions les plus prestigieuses comme son entrée au Temple de la renommée de l’Internet en 2012. Y’a beaucoup trop de distinctions pour que je vous les tartine toutes ici mais croyez moi sur parole, il en a eu une flopée et a même été dans des TOP 50 de personnalités les plus influentes.
En plus de ses réalisations techniques, Zimmermann a aussi joué un rôle éducatif et politique important. Entre 2016 et 2021, il a travaillé à l’Université de Technologie de Delft en tant que professeur dans la section cybersécurité de la Faculté de génie électrique, de mathématiques et d’informatique. Il a également été impliqué dans plusieurs conseils consultatifs, notamment pour le département d’ingénierie informatique de l’Université de Santa Clara et pour Hush Communications. Il a même contribué au développement du protocole d’accord de clé cryptographique pour la norme Wireless USB, ce qui démontre une fois encore l’étendue de ses compétences et de son influence dans le domaine de la sécurité.
Il a également participé à des discussions politiques et scientifiques sur la communication sécurisée et la sécurité nationale aux Etats-Unis et en tant que membre de l’Association Internationale de Recherche en Cryptologie et de la Ligue pour la Liberté de Programmer, il a continuellement défendu les droits des individus à une communication privée et sécurisée.
Aujourd’hui, sa plus grande inquiétude n’est pas les portes dérobées dans les logiciels, mais les pétaoctets d’informations stockées par des entreprises comme Google et Facebook. Il met également en garde contre les poursuites judiciaires facilitées par la technologie et craint qu’une infrastructure de surveillance aux mains d’un gouvernement malveillant ne puisse être utilisée pour créer un régime immuable. Il plaide également pour le rétablissement d’une certaine “friction” dans le travail policier, afin d’éviter de glisser trop facilement vers un état policier.
Pour conclure, Phil Zimmermann reste un pionnier inébranlable dans le domaine de la cryptographie. Il a inspiré des générations de développeurs et d’activistes à poursuivre leur quête d’un Internet libre et sécurisé. Donc un grand merci à lui pour avoir fait de notre Internet un monde plus sûr pour notre vie privée !
– Source :
https://korben.info/histoire-phil-zimmermann-pgp-cryptographie.html
-
Merci Phil Zimmermann et @Violence pour cet article
