slides

Il y a presque un an jour pour jour, Edward Snowden dévoilait le programme PRISM.

et depuis ?

rien (ou pas grand chose).

Paroles, paroles...

• la surveillance généralisée n'est pas un phénomène nouveau: ce qui est nouveau, c'est qu'on en parle
• démocratisation des questions de vie privée (et pas seulement de la surveillance des États)
• prise en compte politique (questions au gouvernement, débat au Parlement européen, NetMundial...)
• réflexions sur le chiffrement global (IETF, W3C)

Quelques résultats

• augmentation du trafic de GPG et de TOR
• beaucoup de projets orientés vers la protection
• Google pourrait favoriser les serveurs chiffrés et proposer le chiffrement des échanges privés (mais comment lui faire confiance ?)

Mais, en pratique, au quotidien, rien n'a changé. Et malgré la prise de conscience récente, il est toujours probable que rien ne change.

Redéfinir le problème

l'aspect grand-public

• la vie privée était une affaire de vieux cons : les jeunes cons en ont fait une affaire juteuse
• l'hypercentralisation du Web est un effet pervers du modèle économique gratuité/publicité
• la grande majorité du grand public n'est pas disposée à changer ses usages et ses habitudes
• le coût de la surveillance de masse est beaucoup trop bas (loi de Moore, centralisation)

Redéfinir le problème

l'aspect politique

• l'anonymat n'est pas possible à grande échelle
• le respect des libertés n'est pas une priorité en période de crise
• le coût politique aussi est beaucoup trop bas

Sécurité publique et surveillance généralisée

la sécurité est un des rôles que la collectivité délègue à l'État.

Mais :

• elle doit respecter les autres libertés fondamentales, surtout en période de crise (fadettes illégales, plaintes contre la NSA...)
• elle doit être proportionnelle au risque : écouter la totalité de la population ce n'est pas de la surveillance, c'est de l'espionnage.
• la conservation des données doit être encadrée.

Les réponses

• Politique (respecter la loi)
• Sociales (apprendre et militer)
• Techniques (IETF, audits, développement)

Réponse politique

• Mieux encadrer les écoutes (LPM), mais pas au prix de les étendre.
• Limiter la coopération entre services (ne pas échanger de données concernant sa propre population)
• Renforcer le contrôle démocratique.

Réponse sociale

• Mieux communiquer (feuilletonnage),
• Rappeler l'existence des solutions de protection
• Apprendre à son entourage à mieux se sécuriser.

Réponse technique

• Abandonner la croyance en l'empowerment : les outils de sécurisation doivent donner envie d'être utilisés.
• Ne plus imaginer de produits centralisés (SPOF)
• Développer de nouveaux modèles économiques
• La sécurité doit être un principe fondamental, que l'on intègre dans ses usages quotidiens

Analyse du besoin

La valeur de la vie privée est trop basse

• Espérer que les scandales à répétition pousseront plus qu'une petite fraction des utilisateurs vers les outils sécurisés est illusoire
• Il faut créer une vraie envie de migrer vers l'outil sécurisé : la sécurité n'est pas une « killer-app » en soi.
• En créant un outil attirant et qui offrira des services différents des outils habituels, on a une petite chance.

Analyse du besoin

La sécurité individuelle est un leurre

• Il est illusoire de croire qu'une personne « ciblée » puisse protéger efficacement toutes ses communications
• En créant un outil protecteur qui sera largement utilisé, on peut renchérir l'espionnage de masse suffisamment pour limiter les écoutes aux cas les plus graves pour la société
• La sécurité globale n'est pas la somme des sécurités individuelles. C'est seulement le fait de rendre l'espionnage de masse si difficile que seul l'espionnage individuel redevient rentable

Analyse du besoin

Chercher d'autres motivations

• Plus la sécurité est élevée, plus on complique la vie de l'utilisateur. On ne peut pas, par exemple, indexer des documents chiffrés dont on a pas la clé privée.
• Il faut trouver d'autres motivations que la seule protection de la vie privée pour que l'utilisateur accepte la perte de facilité
• En donnant une note à l'utilisateur, on le pousse à utiliser les fonctions de protection et à pousser ses contacts à faire de même

Caliopen

• Logiciel libre de messagerie sécurisée, aussi simple à déployer qu'un CMS, et respectant les standards
• L'UX (User eXperience) met l'accent sur la sécurité, et pousse à l'utilisation des outils de chiffrement et à une plus grande responsabilisation des utilisateurs, notamment en montrant en permanence le niveau de confidentialité de l'outil utilisé
• Un objectif clair : permettre l'existence d'un grand nombre de web-services basé sur CaliOpen, pour commencer à limiter la trop grande centralisation des communications privées

Caliopen

l'UI

Pousser la réflexion sur le design le plus loin possible avant d'envisager les aspects techniques pour s'émanciper de l'existant (effet « page blanche »).

• Plus de notion de « folders »
• Une conversation n'est plus définie par son sujet, mais par les personnes qui y participent
• Les notions « d'urgence » ou « d'indésirable » sont remplacées par un unique « niveau d'importance »
• Chaque élement de l'UI, de même que le compte de l'utilisateur et le terminal utilisé, a son propre « niveau de confidentialité » mis en évidence

Caliopen

l'UX

Le design n'est pas suffisant pour faire la « killer-app » dont nous avons besoin pour convaincre les utilisateurs à migrer.

• Intégration en une interface unique de toute la correspondance privée (mail, PM, chat, irc...)
• Effet « social » de la gamification : les contacts hors CaliOpen ont un niveau de confidentialité bas et sont poussés à changer leurs usages
• Responsabiliser les utilisateurs en leur donnant l'information sur le niveau de confidentialité à chaque instant

Caliopen

l'intégration

La sécurité d'une communication ne se limite pas à une interface sécurisée.

• Une UI seule ne peut pas avoir accès aux informations de transport (certificats, identification, chiffrement...). L'architecture doit intégrer les serveurs, leur configuration, et leur échanges avec l'UI.
• Le terminal utilisé a une importance majeure : cas d'espèce de l'utilisateur qui veut accéder à une conversation sécurisée depuis un terminal public (mode dégradé).

Caliopen

l'ouverture

Le succès se mesure au nombre d'instances.

• Développement d'une API permettant l'ajout de nouveaux protocoles (vidéo, SMS...)
• Facilité de déploiement, avec des configurations adaptées aux différents publics visés
• Nombreux modèles économiques possibles, de l'associatif à la messagerie d'entreprise

Caliopen

L'association

Il faut un suivi (associatif) des services qui utilisent Caliopen.

• Développement et évolution du produit
• Labellisation des services adhérents (respect des mises-à-jour, audits)
• Validation du modèle économique (pour garantir aux utilisateurs la pérennité de leurs données personnelles), respect de la charte
• Notation du niveau de confidentialité de l'instance

Caliopen

La labellisation

• Le label est un indice de confiance pour les utilisateurs finaux
• Il permet, par l'émission (et la révocation) de certificats, d'intégrer davantage les instances dans un écosystème de confidentialité

Quelques pistes :

• Authentification à distance entre membres (OAUTH) pour qu'un utilisateur d'un service puisse lire un document partagé par un de ses contacts sur un autre service, par exemple.
• Partage des informations de contact (l'utilisateur du service A connait le niveau de confidentialité de son contact utilisateur du service B)

Nous avons besoin d'aide.

Pour avancer plus rapidement sur le développement de notre interface utilisateur, nous avons besoin de davantage de développeurs Web (Angular, Pyramid, Python).

Nous avons besoin de compétences dans le domaine de la cryptographie aussi, pour valider nos choix ou pour les améliorer.

Et nous avons besoin d'aide dans le suivi et la direction de projet: