Frédéric Jacobs, le hacker belge qui rend la cryptographie accessible au grand public

1

Frédéric Jacobs part en me tendant des stickers. Les hackers aiment bien coller des autocollants sur le capot de leurs ordinateurs, et en distribuer aux autres, codeurs ou non. L'un d'eux représente le logo d'un projet auquel il a contribué: Cryptocat, une application web qui vise à offrir un système de "chat" chiffré.

Le monde des hackers s'est penché depuis longtemps sur la question de la vie privée et de la surveillance sur le web. Les révélations sur la NSA, permises par Edward Snowden, ont accéléré le cours d'une réflexion qui, pour les passionnés du code, remonte presque à l'origine d'Internet en lui-même, et, surtout, à sa massification au cours des années 90.

Frédéric Jacobs, 21 ans, est justement né dans les années 90. "Geek de service" durant ses secondaires, selon ses propres mots, il étudie désormais l'informatique à l'École polytechnique de Lausanne, après être passé par la plateforme de curation Storify (créée par le Nivellois Xavier Damman et le journaliste Burt Herman). Apache.be l'a rencontré pas très loin du Lac Léman, pour discuter des enjeux de la crypto, de son rôle dans Telecomix et de ses soucis avec les avocats de la SNCB.

Frederic Jacobs, novembre 2013 (Photo: Quentin Noirfalisse, Creative Commons)

Frédéric Jacobs, novembre 2013 (Photo: Quentin Noirfalisse, Creative Commons)

A quel moment bascule-t-on de simple utilisateur d'un ordinateur à passionné du code?

"Quand j'ai commencé à manipuler un ordinateur, c'était à une époque où l'on était encore confronté à pas mal de réglages, de bidouillages pour faire en sorte que les choses marchent. J'ai commencé sur un Windows 3.1 et me suis penché beaucoup plus, après, sur du Windows 95. J'ai décroché puis je me suis remis dedans: j'ai relu des livres de programmation, étendu mes compétences, mes plateformes d'expérimentations. Je n'ai plus abandonné.

Quand tu regardes les enfants, ils jouent avec un iPad, et on leur offre une interface simplifiée, il n'y a pas de réglages, il reste des bugs mais il ne faut plus bricoler pour que les choses marchent. J'ai eu la chance de pouvoir démonter l'ordinateur pour le réparer."

Tu apprends désormais l'informatique à l'École polytechnique de Lausanne, et tu souhaites te spécialiser en cryptographie. Au sein du milieu des hackers, il existe un débat sur les pistes pour contrer des projets de surveillance sur Internet. En gros, il y a une piste législative (des lois pour limiter ou empêcher ces programmes) et la piste technique, qui passe par le chiffrement des messages. Tu penches vers quelle solution?

"Petit, j'ai toujours été intéressé par les codes secrets et la protection de l'information. Aujourd'hui, on voit comment les états sont devenus boulimiques de données. Selon moi, on peut mettre toutes les lois possibles pour protéger les informations personnelles des citoyens. Mais la crypto reste la seule chose qui nous garantira qu'ils n'abuseront pas de ces lois. "Crypto works", comme on dit. C'est basé sur les mathématiques et ça nous garantit que si l'on veut protéger une info elle ne pourra pas être déchiffrée sans le consentement de la personne.

J'ai donc tendance à penser que la crypto est obligatoire. D'ailleurs, elle est partout, sans que l'on ne s'en rende compte. Quand tu déverrouilles ta voiture il y a un système de crypto, il y en a aussi dans la carte SIM de ton téléphone. Sur le web, la crypto la plus utilisée, ce sont les certificats SSL. C'est une forme très simple à utiliser alors que Pretty Good Privacy (PGP) [1], n'est pas encore assez facile, à mon sens. On peut aussi détourner la cryptographie, comme beaucoup de hackers aiment le faire: c'est-à-dire s'en servir dans un autre but que son usage traditionnel, qui est la protection des communications. Les Bitcoins, par exemple, sont générés sur base cryptographique.

A son arrivée en Arabie Saoudite, un utilisateur de "Text Secure" a été arrêté car les services de sécurité n'avaient pas pu lire son SMS.

Pour protéger nos communications, il faut donc des outils de cryptographie qui soient à la disponibilité des utilisateurs pour leur permettre de discuter librement sur le réseau. Le problème, c'est que beaucoup de gens ne comprennent pas comment ça marche et ce n'est pas facile d'expliquer cela aux politiciens. Dès le début de PGP, les USA ont tenté de bloquer l'exportation de cette technologie. Zimmermann, son créateur, voulait évidemment diffuser ce système qui permettait de renforcer la confidentialité des échanges mais on ne l'a pas autorisé à exporter PGP. Il a alors eu l'idée de publier un livre sur les pages duquel il a imprimé le code source de son programme, car le premier amendement (qui sanctifie la liberté de presse) le protégeait dans ce cas de figure. Depuis lors, l'utilisation de PGP a été acceptée. Plus personne ne pose trop la question."

Alternatives

Tu travailles actuellement sur des solutions de chiffrement à la portée du grand public, dans le cadre d'un projet qui s'appelle "Open WhisperSystems". Peux-tu nous en dire plus?

"Open WhisperSystems a été lancé par un hacker assez reconnu dans le milieu de la crypto: Moxie Marlinspike. Il a trouvé plusieurs failles dans le mise en place de la vérification des certificats SSL, et sa réputation a mené au fait qu'il soit engagé comme consultant en sécurité chez Twitter. Les médias avaient fait leur gros titres sur le "rachat" de WhisperSystems, en ne s'intéressant uniquement qu'à l'idée d'acquisition, mais en réalité, ça reste un projet indépendant, et Moxie a depuis pris ses distances avec Twitter.

WhisperSystems vise à rendre le chiffrement accessible au grand public. Je travaille ainsi sur l'application "Text Secure", qui permet de chiffrer les SMS sur les smartphones (sous Androïd et iOS), avec un très bon niveau de sécurité et une facilité d'utilisation similaire à iMessage ou What's App. La firme Apple prétend qu'elle ne peut lire les messages envoyés via "iMessages", mais un rapport prouve le contraire. Sur What's App, tout est "en clair". WhisperSystems est une structure décentralisée, sans bureaux: il y a deux gars à San Francisco, un designer aux USA et deux autres personnes en Suisse."

Comment es-tu rentré dans WhisperSystems?

"C'est sans doute parce que je contribuais déjà à une plateforme de messagerie instantanée chiffrée, Cryptocat, et que j'avais déjà fait plusieurs interventions sur la sécurité d'iOS et de l'iPhone en général. J'ai été longtemps actif dans la communauté du jailbreak, c'est-à-dire des gens qui visent à autoriser l'iPhone à exécuter du code qui n'est pas autorisé par Apple. Mais j'ai quitté cette communauté quand j'ai compris que la plupart des gens "jailbreakaient" pour pirater des applis. Ce n'était pas mon but. Je désirais davantage permettre aux gens de customiser leur iPhone, de disposer d'un Appstore alternatif et d'une technologie plus libre en général."

Chat malin

Quels sont les éventuels risques posés par la cryptographie?

"Il y a deux mois, j'ai reçu un mail d'un Belge, qui m'a dit qu'il avait utilisé TextSecure lors d'un voyage en Arabie Saoudite. A son arrivée à l'aéroport, il a été arrêté car les services de sécurité n'avaient pas pu lire son SMS. Si le trafic n'est pas bien caché, des gens peuvent se retrouver en danger. Ici, la crypto a attiré l'attention. On essaye donc de passer de plus en plus par des canaux liés à la data (donc à Internet et la 3G), et non plus par la technologie SMS.

PGP n'est pas non plus la solution ultime, car l'utilisateur se servira toujours de la même clé privée pour déchiffrer ses mails. Si tu te fais arrêter quelque part et qu'on te prend ta clé PGP sur ton ordinateur, ils pourront déchiffrer tous tes messages. Des alternatives se développent actuellement pour, en gros, faire en sorte que plusieurs clés de chiffrement soient utilisées. Il existe un concept très important en crypto: la Perfect Forward Secrecy (ou confidentialité persistante), qui permet de ne pas compromettre la confidentialité des échanges passés au cas où votre clé privée serait découverte.

En gros, grâce à la PFS des clés de session sont générées mais elles ne sont jamais stockées et n'existent que pendant la communication. Après déconnexion, elles ne seront plus présentes et si l'ordinateur est compromis, les conversations ne pourront pas être déchiffrées, même si elles avaient été enregistrées."

 

Aujourd'hui, le rôle positif joué par les hackers a encore du mal à percer auprès du grand public. Une étiquette défavorable leur colle encore à la peau.

"On essaye sans cesse de montrer qu'être hacker, ce n'est pas commettre des choses illégales, mais bien créatives. On ne cherche pas spécialement à rentrer dans les systèmes. Toutes les appellations sont malmenées et encore plus dans le monde francophone qu'anglophone. Quand on voit ce que les gens appellent aujourd'hui un geek..."

Edward Snowden a sans doute contribué à une prise de conscience du potentiel rôle démocratique des hackers...

On désire amener la crypto à beaucoup de gens. Notre but est de rendre l’espionnage à une taille globale le plus cher possible

"En effet. Quand on voit les vidéos, il a un autocollant Tor sur son ordinateur. Ça en disait déjà pas mal sur le personnage: il connaissait et soutenait un système de navigation, assez connu dans les milieux hackers, qui permet d'anonymiser les utilisateurs. De plus, probablement personne d'autre qu'un informaticien n'aurait pu faire sortir les données qu'il a révélées. Snowden était administrateur système, il touchait à beaucoup de serveurs et c'est son savoir-faire qui lui a permis de tirer l'alarme sans "lever de flags" (sans se faire remarquer, ndlr). Si une personne au profil plus administratif avait tenté de "leaker" les fichiers de la NSA, elle aurait eu bien plus de chances de passer directement par la case "prison à vie"."

Est-ce que les fuites de Snowden ont amené un changement de comportement chez les utilisateurs du net?

"Je pense que les chiffres sont souvent de bons indicateurs. Donc, pour parler d'un projet auquel je contribue, je vois que l'utilisation de Cryptocat augmente à chaque fois qu'il y a une nouvelle info concernant la NSA qui sort. Il y a donc une recherche des outils permettant la protection de la vie privée. Récemment, un médecin américain m'a contacté: il en avait marre de se faire pirater par des compagnies d'assurance voulant récupérer les dossiers de ses patients.

Aux États-Unis, encore, il y a énormément d'avocats qui recherchent des outils simples de crypto et d'anonymisation, parce qu'ils se disent: "Comment puis-je avoir un procès correct si l'état est en mesure de lire le contenu de ma défense dans les communications que j'ai avec mon client?"."

Combien de personnes utilisent Cryptocat?

"Notre but est d'avoir très peu de statistiques là-dessus. On ne va pas non plus aller placer un tracker Google Analytics dans le code! Donc nous nous basons sur le nombre de téléchargements de l'extension pour les navigateurs. D'ailleurs, des applications Cryptocat Androïd et iOS vont sortir au mois de décembre. Mais il faut faire attention: ce n'est pas parce que Cryptocat permet de chiffrer vos communications que la NSA ne va pas réussir à intercepter les connexions. Dans les diaporamas de la NSA, on a bien vu qu'ils ont investi beaucoup d'argent pour casser TOR. Sans oublier qu'aucun projet de crypto n'est à l'abri. Dans Cryptocat, nous avons déjà eu des bugs cryptographiques qui ont réduit la sécurité promise. Nous avons essayé d'être honnêtes et transparents à chaque fois que c'est arrivé.

On essaye de montrer qu'être hacker, ce n'est pas commettre des choses illégales. Mais bien de produire des choses créatives.

Maintenant, beaucoup de personnes critiquent Cryptocat parce que ça passe par les explorateurs – il s'agit d'une extension – et ils estiment que la structure de ces explorateurs n'est pas assez sûre. Mais c'est en passant par l'explorateur, en proposant un canal d'utilisation similaire à Facebook, qu'on a pu amener la crypto à beaucoup de gens. Notre but est de rendre l'espionnage à une taille globale le plus cher possible. Nous voulons éviter le "drag net surveillance", une surveillance comme à la pêche au gros où une agence peut choper tout ce qui circule."

Service public

Il y a à peu près un an, tu as eu quelques soucis avec la SNCB, lorsqu'une base de données contenant des informations sur un million et demi de clients s'est retrouvée accessible en ligne durant plusieurs semaines. Que s'est-il passé?

"Quand quelqu'un a retrouvé la base de données sur le web, j'ai pensé que les gens voudraient surtout savoir s'ils étaient dedans ou non. La SNCB refusait de communiquer, ils avaient peur que les personnes portent plainte et laissaient donc leurs clients dans le doute. J'ai décidé de créer un outil qui permettaient de chercher et de voir si on était dedans ou non. J'étais persuadé que les gens voulaient juste savoir ça et que l'outil allait, en quelque sorte, empêcher la propagation de la base de données.

J'avais pris des mesures de protection de la vie privée. Tu pouvais mettre par exemple l'adresse email de quelqu'un pour vérifier, mais après, cela ne montrait pas le numéro de téléphone, ou l'adresse, mais juste un "oui" ou un "non" pour indiquer si le contenu était présent ou pas. J'avais mis une limite de requêtes pour que l'on ne puisse pas tester un trop grand nombre de résultats."

Puis la SNCB t'a demandé de couper le site web?

"J'ai décidé de fermer le site suite aux menaces légales de la porte-parole de la SNCB, qui a dit durant un sujet de JT qu'ils considéraient des options juridiques quant à mon outil de recherche. J'ai décidé de fermer le site à ce moment là, cela ne valait plus la peine de continuer. J'ai reçu la lettre de leurs avocats quelques jours après. Je ne comprenais pas le pourquoi de ces menaces: je faisais un outil de recherche, ils auraient d'ailleurs pu le reprendre car le code source était disponible. Le problème ne semble toujours pas être résolu, car il paraît que la base circule toujours sur le web.

Cet épisode reflète bien ce qui se passe par rapport aux hackers en général. Avant même qu'on analyse ce qu'ils font, ce sera vu de manière hostile. C'est la même chose avec l'Open Data. Les gouvernements voient qu'il y a des gens qui bidouillent des applis avec ces données, ils se disent: "c'est bizarre", mais avec un peu de recul ils voient que ce n'est non seulement pas si mal, et qu'en plus ça peut être utile à la collectivité."

  • [1] Pretty Good Privacy ("Assez Bonne Confidentialité", en français) est un logiciel de chiffrement développé par Phil Zimmermann au début des années 90, qui a été assez mal perçu dès le début par le gouvernement américain, qui ouvrit une enquête en 1993 pour « exportation de munitions sans licence », les clés de chiffrement utilisées par PGP étant au moins de 128 bits, alors que la limite dans la réglementation US sur l'exportation était de 40 bits. L'enquête fut abandonnée après plusieurs années.