Rendre le chiffrement par défaut
Il n’y a pas si longtemps, protéger sa vie privée numérique signifiait souvent être un as de la technologie. Les premiers outils de confidentialité comme PGP, introduit en 1991 par Phil Zimmermann, étaient révolutionnaires pour leur époque, mais notoirement difficiles à utiliser. PGP permettait aux utilisateurs ordinaires d’envoyer des courriels chiffrés et de signer des documents, fournissant ainsi le premier outil cryptographique grand public de qualité militaire. Mais même si PGP était solide sur le plan cryptographique, son utilisation laissait à désirer selon les normes actuelles. La génération, la gestion et la vérification des clés étaient opaques pour la plupart des utilisateurs. Il fallait générer de longues clés RSA, gérer soi-même les clés privées en toute sécurité sur son ordinateur, et échanger manuellement les clés publiques par courriel ou via des serveurs de clés sans validation de confiance intégrée. Les passionnés devaient manipuler des programmes en ligne de commande ou compiler du code open source simplement pour envoyer un courriel sécurisé. Le célèbre modèle de "toile de confiance" visait à aider les utilisateurs à vérifier l’identité les uns des autres, mais en pratique, il était déroutant, reposait sur des cérémonies complexes de signature de clé, et introduisait plus de frictions que la plupart des utilisateurs pouvaient tolérer.
Historiquement, le chiffrement fort est né dans des laboratoires militaires et était réservé aux gouvernements, espions ou docteurs en mathématiques. Pendant des décennies, il n’était pas seulement difficile à utiliser, il était presque illégal à partager. Les logiciels cryptographiques étaient considérés comme des armes aux États-Unis et soumis aux lois sur le contrôle des exportations. Les partager au-delà des frontières pouvait entraîner les mêmes sanctions que l’exportation de missiles. Le véritable tournant a donc été autant politique que technique. En 1991, Phil Zimmermann a publié Pretty Good Privacy (PGP), mettant un chiffrement de qualité militaire directement entre les mains du public. Le gouvernement américain a lancé une enquête criminelle contre lui en vertu de la loi sur le contrôle des exportations d’armes. Zimmermann considérait le chiffrement comme une liberté civile et pensait que chacun devait avoir le droit de protéger ses communications. Pour prouver son point de vue, il a distribué le code source de PGP sous forme de livre imprimé, exploitant la protection du Premier Amendement sur la liberté d’expression. Cet acte de défi a marqué le début des "crypto wars" et a ouvert la voie à ce que nous appelons aujourd’hui le chiffrement de bout en bout. Comme l’a dit plus tard l’expert en sécurité Bruce Schneier, la confidentialité n’est pas un luxe ni un passe-temps secret : "La vie privée est un droit humain fondamental et une condition essentielle au respect et à la dignité humaine." Elle est indispensable pour permettre aux individus d’explorer des idées, de former des opinions et de s’exprimer sans crainte de jugement ou de représailles. Il soutenait que la surveillance nuit à la liberté personnelle et que le chiffrement crée l’espace nécessaire pour que chacun puisse être véritablement lui-même. Zimmermann n’a pas seulement inventé un logiciel, il a affirmé que la vie privée numérique appartient à tout le monde.
Pourquoi la confidentialité semblait "trop compliquée"
Malgré des avancées précoces, un stigmate est resté : communiquer de manière sécurisée était trop difficile pour les gens ordinaires. Pendant des années, utiliser un chiffrement de bout en bout signifiait se battre avec des logiciels mal conçus, échanger des clés cryptographiques mystérieuses ou faire confiance à des plugins obscurs. Un mythe persistant affirmait que protéger réellement ses données devait forcément être compliqué, que la vie privée était un domaine intrinsèquement technique et ésotérique, réservé aux experts uniquement. Comme l’a souligné Cory Doctorow, beaucoup supposaient qu’il y avait une complexité irréductible à la confidentialité numérique, ce qui en faisait "le domaine exclusif des espions et des paranoïaques professionnels".
Heureusement, tout le monde n’a pas adhéré à ce récit. Certains visionnaires ont soutenu que les véritables obstacles étaient les interfaces mal conçues et l’ergonomie défaillante, et non une complexité intrinsèque. "Je n’y crois pas", a écrit Doctorow à propos de l’idée selon laquelle les outils de confidentialité doivent forcément être difficiles à utiliser. Le moment était venu de combler cet écart en matière d’utilisabilité. En fait, Doctorow a déclaré : "Il est temps de créer des outils de confidentialité pour des gens normaux avec un niveau de compétence technique normal. C’est-à-dire, nous tous." Autrement dit, il ne devrait pas être nécessaire d’être développeur ou expert en cybersécurité pour bénéficier d’une confidentialité de base. Cet appel a lancé des efforts pour repenser les logiciels de protection de la vie privée avec des interfaces conviviales, afin de masquer les étapes complexes et rendre la sécurité aussi intuitive qu’une application grand public. Pour protéger tout le monde, le chiffrement devait devenir invisible, aussi simple que de cliquer sur "Envoyer" dans un message, sans compétences particulières requises.
Un droit fondamental et un devoir civique
Pourquoi vouloir rendre la vie privée accessible à tous ? Parce que la confidentialité n’est pas réservée à ceux qui ont quelque chose à cacher, elle est pour nous tous — un droit fondamental et même une obligation sociale. Edward Snowden, le célèbre lanceur d’alerte, a affirmé que l’utilisation du chiffrement est un acte de citoyenneté responsable. Dans une interview de 2014, il insistait : "le chiffrement est une responsabilité civique, un devoir civique." Selon Snowden, les gens ordinaires ne devraient pas négliger leur vie privée, mais plutôt exiger et adopter des outils qui protègent leurs informations personnelles. Après tout, si seuls les initiés sécurisent leurs communications, les données des autres restent une cible facile pour les pirates.
Les dirigeants d’entreprise ont également commencé à présenter la vie privée comme une valeur fondamentale plutôt qu’une fonctionnalité de niche. Le PDG d’Apple, Tim Cook, a déclaré célèbrement : "Nous rejetons l’idée selon laquelle nos clients devraient avoir à choisir entre vie privée et sécurité... Nous pouvons et devons fournir les deux en égale mesure. Nous croyons que les gens ont un droit fondamental à la vie privée." Sous la direction de Cook, Apple a commencé à intégrer un chiffrement fort par défaut dans ses appareils, et non comme une option facultative. Des iPhones qui chiffrent toutes vos données par défaut, aux applications de messagerie comme iMessage et FaceTime sécurisées de bout en bout, les grandes entreprises ont commencé à offrir la sécurité sans demander aux utilisateurs d’être des experts. Cook a clairement exprimé que la confidentialité ne devrait pas être un luxe, affirmant que les clients ne devraient pas avoir à sacrifier leurs données personnelles pour plus de commodité. Cette philosophie, selon laquelle la confidentialité doit être la configuration par défaut, résonne désormais dans toute l’industrie technologique.
Quand le chiffrement est devenu grand public
Avant WhatsApp, BlackBerry fut sans doute la première entreprise à populariser la messagerie mobile sécurisée, du moins dans les milieux des affaires, de la politique et du journalisme. Au début des années 2000, BlackBerry Messenger et le courriel push étaient réputés pour leur chiffrement solide et leur fiabilité, devenant les appareils privilégiés des responsables gouvernementaux et des PDG. Mais le système de BlackBerry, bien que sécurisé pour son époque, reposait toujours sur une infrastructure centralisée et des clés contrôlées par l’entreprise — donc pas un vrai chiffrement de bout en bout tel que nous le définissons aujourd’hui. Le plus grand saut a peut-être eu lieu en 2016, lorsque WhatsApp, l’application de messagerie la plus populaire au monde, a activé par défaut le chiffrement de bout en bout pour plus d’un milliard d’utilisateurs. Du jour au lendemain, le chiffrement n’était plus réservé aux activistes ou aux "passionnés de crypto", mais était entre les mains de centaines de millions de personnes ordinaires. Comme l’a noté l’Electronic Frontier Foundation, la mise à jour discrète de WhatsApp "a fait passer les utilisateurs du chiffrement de bout en bout de simples secrets industriels, passionnés de crypto et lanceurs d’alerte, à une portion réellement significative de la population mondiale." Il est difficile de surestimer l’importance de cette évolution pour la vie privée. Soudainement, grands-mères, étudiants et voisins — pas seulement les espions ou les PDG — bénéficiaient tous des garanties d’un chiffrement fort dans leurs conversations, sans avoir à faire quoi que ce soit.
D’autres services ont emboîté le pas. Apple avait déjà déployé le chiffrement de bout en bout dans iMessage et sécurisé les iPhones avec un chiffrement d’appareil par défaut. Signal, une application de messagerie sécurisée open source, a gagné en popularité en offrant un chiffrement de qualité avec une interface simple et conviviale (si intuitive que vos grands-parents pouvaient l’utiliser). Même Google et Facebook ont commencé à intégrer le chiffrement dans leurs produits, qu’il s’agisse de l’effort de Google pour chiffrer les connexions Gmail, ou de Facebook Messenger proposant des messages chiffrés de bout en bout. La technologie de protection de la vie privée n’est plus confinée aux logiciels spécialisés : elle devient une fonctionnalité standard. Le chiffrement est désormais omniprésent, intégré dans les applications et appareils utilisés quotidiennement par des milliards de personnes. Le chiffrement au bout des doigts, sans besoin de doctorat !
Qu’est-ce qui a rendu cela possible ? En un mot : la simplicité. La communauté technologique a compris que la sécurité fonctionne mieux lorsqu’elle est presque invisible et automatique. Les outils de confidentialité modernes s’efforcent de "masquer la fonctionnalité cryptographique sous-jacente à l’utilisateur final et de l’intégrer aussi de manière fluide que possible." En pratique, cela signifie que vous ne devriez pas avoir à comprendre les clés cryptographiques, les algorithmes ou les paramètres complexes — l’application ou le service s’en occupe en coulisses. Et surtout, rendre la confidentialité plus simple ne profite pas seulement à ceux qui auraient utilisé le chiffrement de toute façon, cela protège tout le monde. Si la sécurité par conception devient la norme, même les personnes qui n’ont jamais pensé à la confidentialité sont couvertes par défaut. Pensez à la navigation Web il y a encore peu de temps : pour bénéficier du chiffrement HTTPS, il fallait rechercher activement des liens "https://" ou installer des extensions de navigateur. Aujourd’hui, grâce à des initiatives comme Let’s Encrypt et aux changements apportés aux navigateurs, presque tous les sites Web chiffrent automatiquement votre connexion. L’utilisateur ne fait rien, la protection est activée par défaut. C’est l’idéal pour tous les outils de protection de la vie privée : opt-out au lieu d’opt-in. Quand la confidentialité est intégrée, la barrière d’entrée disparaît. En clair, une bonne technologie devrait protéger vos données sans que vous ayez besoin de comprendre comment.
Aujourd’hui, on assiste à l’émergence de startups et de projets dédiés à cette philosophie. Des services de courriel sécurisé conviviaux qui ne nécessitent aucune configuration, aux systèmes d’exploitation centrés sur la confidentialité, jusqu’à notre propre gestionnaire de favoris chiffré de bout en bout, la tendance est claire : la confidentialité au bout des doigts. L’objectif est que chacun, jeune ou âgé, expert ou novice, puisse utiliser des outils de sécurité puissants aussi facilement que n’importe quelle autre application. C’est un changement radical par rapport aux débuts, où l’utilisation du chiffrement ressemblait à un piratage de son propre appareil.
La confidentialité dès la conception
Ce ne sont pas seulement les hackers idéalistes qui militent pour une confidentialité accessible : les législateurs et la société dans son ensemble la reconnaissent aussi. Des règlements comme le RGPD de l’UE imposent même une "confidentialité par défaut et dès la conception", exigeant que les entreprises créent des produits qui protègent automatiquement les données personnelles. Le principe sous-jacent est que l’état par défaut de la technologie doit préserver la vie privée, pas l’envahir. Ce principe est progressivement adopté : appareils qui se chiffrent dès la sortie de la boîte, applications sociales qui minimisent la collecte de données par défaut, et services qui ne peuvent même pas accéder à votre contenu (les fameux services à connaissance nulle). Quand la confidentialité est la norme, les utilisateurs n’ont plus à refuser constamment le suivi ou à activer la protection — elle est déjà là, discrètement en fonctionnement.
Bien sûr, des défis subsistent. Toutes les communications ne sont pas encore chiffrées, construire un système de chiffrement de bout en bout reste très complexe pour les développeurs, et toutes les entreprises ne respectent pas la vie privée au même niveau que les leaders du secteur. Le simple fait que l’on parle aujourd’hui du chiffrement de bout en bout dans le débat public, et que les gens l’utilisent quotidiennement, montre le chemin parcouru. Ce qui était autrefois ésotérique est devenu presque banal. La confidentialité n’est plus le domaine réservé d’une minorité : c’est une attente quotidienne — et c’est exactement comme cela que cela devrait être. De la même façon que vous n’avez pas besoin d’être électricien pour profiter de l’éclairage chez vous, vous ne devriez pas avoir besoin d’être cryptographe pour bénéficier de communications privées et sécurisées. La technologie actuelle rattrape enfin cette vision. La confidentialité au bout des doigts passe du slogan à la réalité, une application et un service à la fois. Plus nous exigeons et soutenons des outils qui rendent la sécurité simple, plus nous nous rapprochons d’un monde où la vie privée est réellement accessible à tous par défaut.