Quiconque s’intéresse aux technologies de protection de la confidentialité sur Internet a un jour ou l’autre entendu parler de Tails, un système d’exploitation live (installé sur DVD, clé USB ou carte SD) qui utilise le réseau Tor, embarque les outils de cryptographie réputés les plus fiables, et ne laisse ni ne conserve aucune trace, sauf à le demander explicitement.
Depuis que les journalistes contactés par Edward Snowden ont révélé, au printemps dernier, avoir utilisé Tails pour travailler sur les documents fuités par le lanceur d’alerte, la réputation de l’outil a définitivement dépassé les cercles purement techniques. En témoigne son usage par de plus en plus de journalistes et d’ONG.
J’ai eu l’occasion, cet été, d’interviewer l’équipe de Tails lors de la tenue à Paris de leur premier hackfest 1. Cette interview « away from keyboard » (ou presque) et à plusieurs voix a largement nourri un article tout juste paru sur Lemonde.fr/pixels. Il m’a semblé intéressant, pour un public un peu plus « spécialiste », d’en publier ici la transcription intégrale.
***
Comment est né Tails, et pourquoi ?
Les systèmes d’exploitation live qui existaient à l’époque étaient compliqués à utiliser. L’outil principal, c’était Incognito, mais il n’y avait pas d’interface graphique pour accéder à des conteneurs chiffrés et permettre à l’utilisateur d’y stocker des données. D’un point de vue technique, Incognito était dérivé de Gentoo, une distribution Linux qui n’est pas la plus répandue. Ça rendait difficile de trouver de nouveaux contributeurs. D’où le choix de Debian, une distribution plus populaire.
L’idée de Tails, c’est de rendre l’anonymat et la confidentialité plus accessibles. On peut dire que c’est un projet politique ?
Ces dernières années, le grand public s’est rendu compte que la protection des données, la confidentialité, c’est un problème social, pas seulement un problème technique. Rendre ça accessible au plus de monde possible, avec des outils faciles à prendre en main, c’est une solution politique à un problème de société.
Chez les gens qui se préoccupent de confidentialité des communications, l’aspect collectif n’a pas toujours été mis au premier plan…
C’est pensé collectivement dans la sécurité en entreprise : ce qui est en jeu, c’est la sécurité informatique de l’entité. Mais c’est vrai que dès qu’on sort de ce cadre, la façon de penser ces questions « par défaut » relève de la privacy, de l’individu, de sa liberté d’avoir des secrets, de protéger sa liberté d’expression… C’est très lié à la culture politique des États-Unis. Ça explique le fait que dans la scène qui parle de sécurité informatique ailleurs que dans l’entreprise ou dans les institutions, la façon de penser majoritaire s’attache en priorité à l’individu. Les hackers ont tendance à penser qu’ils vont se protéger en « bétonnant » leurs machines, alors que quand les communications sont en jeu, c’est souvent l’entourage qui finit par donner les informations. Le problème est aussi là.
Ça veut dire que Tails est pensé comme un écosystème ?
Oui, mais on n’avait pas forcément cette analyse-là au début du projet. C’est venu en avançant, en voyant les différences avec d’autres outils, en ayant des retours sur notre travail… Développer un outil qui permette à plus de monde d’avoir accès à l’anonymat et à la confidentialité, c’était déjà partir du principe que ça ne doit pas être réservé à quelques « techniciens », mais qu’il faut que toutes les entités qui veulent communiquer puissent le faire. Ces dernières années, la perception de la menace a évolué : on n’en est plus à essayer de se protéger soi, on est dans une épidémie de surveillance généralisée. On se rend compte que ceux qui gagnent de l’argent ou du pouvoir en espionnant les populations le font aussi en étudiant les métadonnées : qui communique avec qui, à quel moment. Ça n’a pas de sens de protéger juste un point d’un réseau de relations. On essaie de proposer une solution à ça, en rendant l’outil accessible au plus de monde possible. La proposition s’est affinée.
Améliorer la facilité d’usage, ça demande des compromis ?
Il y a toujours une balance à faire entre la sécurité offerte par un outil, les obstacles éventuels pour l’utilisateur, et aussi notre capacité à maintenir l’outil sur le long terme. Il faut en permanence choisir où on place la barre. Il faut aussi évaluer à quel point ce qu’on propose est compréhensible par les utilisateurs. Si on propose trop d’options, c’est beaucoup plus difficile de faire le bon choix, même si, techniquement, ce serait plus affiné, plus précis. Cela dit, la plupart du temps, on ne ferait pas nous-mêmes des choix différents de ceux qui sont implémentés dans Tails. On essaie toujours d’aller au plus près de la sécurité et de la confidentialité.
Se retrouver dans le viseur de la NSA, ça change quoi ?
D’abord, ça veut dire que ça marche ! Ça valorise aussi ce qu’on fait, d’une certaine manière : merci pour la publicité… Et puis ça valide nos hypothèses de travail. Ça montre que les besoins auxquels Tails veut répondre, ce n’est pas un truc de parano. C’est ça, le principal changement : la vision que les autres ont de notre travail, plutôt que le travail lui-même, ses implications, le sens qu’on y met.
C’est ça qui vous a poussé à travailler sur l’ergonomie, sur la documentation ?
Ce travail-là était déjà lancé avant les fuites de Snowden, et avant qu’on sache que Tails était mentionné dedans. Ça a peut-être aidé à trouver des experts pour nous aider à avancer sur l’interface utilisateur, par exemple, mais ça n’a pas été un facteur déclencheur du fait qu’on s’en préoccupe.
Ça fait peut-être que plus de gens s’intéressent au projet, ont envie d’y contribuer ?
C’est difficile à évaluer. Ça fait deux ans qu’une de nos priorités, c’est de faciliter les contributions au projet. Ça commence à payer, mais savoir si ça vient du travail qu’on a mis là-dedans ou de la popularité du projet, du point de vue des utilisateurs ou du point de vue des gens qui préféreraient qu’il n’existe pas, c’est difficile à dire. Il y a sans doute plusieurs éléments qui entrent en compte.
Vous savez combien Tails compte d’utilisateurs ?
On sait combien d’utilisateurs démarrent Tails et se connectent au réseau. En ce moment, c’est autour de 11 000 par jour, un toutes les sept secondes. Ça double tous les neuf mois, depuis deux ou trois ans.
Il y a eu un « effet Snowden » ?
Sur les téléchargements, oui. Il y surtout eu un effet de « buzz » au moment où les journalistes qui travaillent sur les documents de Snowden ont rendu public le fait qu’ils utilisent Tails : à ce moment-là, on a eu un pic de téléchargements. Mais sur les démarrages, on ne l’a pas vu, la progression est restée constante. Elle est exponentielle, donc savoir à quel facteur l’attribuer exactement…
Et en interne, Tails, c’est combien de divisions ?
Si on regarde la mailing-list de développement, il y a en moyenne, tous les mois, entre dix et vingt personnes qui proposent des changements. Les contributions sont de natures très différentes : ça peut être de la traduction, de la documentation, du code, des idées… En réalité, il y a très peu de travail de programmation. C’est de la « glu » entre des outils. Le travail de traduction, par exemple, est assez énorme.
Les pseudonymes, les interviews collectives, c’est une manière de vous protéger ?
Jusqu’à présent, ça n’avait jamais été pensé comme une protection collective sur le projet, même si la question peut se poser maintenant. C’était plutôt une agrégation de choix individuels. C’est une pratique répandue dans la scène hacker. Et que ce soit pour les interviews ou pour le reste, on fonctionne collectivement.
Il y a déjà eu des tentatives de s’attaquer aux utilisateurs ? Via de fausses versions de Tails, par exemple ?
On a vu passer sur les serveurs de clés publiques une clé au nom de Tails, qui n’était pas la nôtre ; de la même façon qu’il y a eu une fausse clé au nom de la personne qui signe les paquets du Tor Browser. À part ça, on n’a jamais eu encore de retours en ce sens. Ça ne veut pas dire que ça n’arrive pas : il est possible que ça existe, de façon ciblée. Si c’était une pratique très répandue, on s’en sans doute serait rendu compte : nous-mêmes, on télécharge Tails et on le vérifie. Mais de toute façon, ça fait partie du modèle de menace : c’est pour ça que l’étape de vérification est affichée comme étant aussi importante que le téléchargement et l’installation. Effectivement, ce n’est pas l’étape la plus facile. On essaie d’améliorer ça, c’est une préoccupation qu’on a depuis le départ.
Le développement de Tails est public. C’était logique ?
Notre background technique, c’est la culture du logiciel libre. C’est un présupposé de travailler ouvertement, de mettre le code à disposition, d’avoir des processus de décision transparents, publics, des listes de discussion ouvertes. On sait que le projet ne pourrait pas tenir s’il ne se basait que sur une petite équipe technique de codeurs.
Vous avez des retours ? Vous savez si Tails est audité ?
Pas suffisamment. Ce serait d’ailleurs intéressant d’identifier les parties de Tails qui mériteraient spécifiquement d’être auditées. La difficulté, c’est qu’on écrit peu de code, on fait surtout de l’intégration. Là où les problèmes de sécurité peuvent se placer, c’est dans les articulations. Auditer ce genre de chose demande de savoir dézoomer, pour voir comment le système fonctionne dans son ensemble. Par exemple, si on inclut dans Tails une application de messagerie instantanée, on va la faire passer par le réseau Tor. Savoir comment elle va se comporter implique de bien connaître Tor, de bien connaître l’application, et de savoir comment les deux vont interagir. C’est plus difficile de trouver des experts pour ça que pour auditer un programme. Mais il faudra le faire.
Il y a des échanges avec d’autres communautés de développeurs ?
On travaille d’assez près avec les gens de Debian, et on essaie de faire le plus de choses possibles directement dans Debian, pour que notre travail puisse profiter à quiconque utilise cette distribution ou une de ses dérivées, par exemple Ubuntu. C’est plutôt payant. L’ancien leader du projet Debian disait récemment qu’on était exemplaires de ce point de vue, dans notre manière d’interagir avec eux.
La manière dont ils vous perçoivent a évolué ?
Elle a évolué par notre implication de plus en plus intensive, le fait qu’ils voient quel travail on fait. Elle a aussi évolué après les révélations sur la NSA d’un utilisateur célèbre de Tails… Une partie non négligeable de la communauté qui travaille sur Debian est devenue beaucoup plus sensible aux questions de confidentialité et d’anonymat. De manière générale, ces aspects-là sont pris de plus en plus au sérieux dans le monde du logiciel libre, au-delà des projets spécifiquement dédiés à la privacy, et de mieux en mieux compris.
Et au-delà de Debian ?
Ça commence, même si ce n’est pas simple. Il y a des liens avec les gens qui travaillent sur Off-The-Record, un peu avec les gens de Gnome… On en est à se rencontrer, à échanger, à voir comment on peut les aider et réciproquement. Par rapport à il y a trois ans, on a beaucoup avancé. C’est aussi parce que le projet dure depuis longtemps. Des systèmes d’exploitation live de ce type-là, il y en a beaucoup qui ont duré deux ans avant de mourir. Que le projet tienne, c’est ce qui le rend plus crédible vis-à-vis de la communauté.
Le hackfest de juillet, à Paris, c’était votre première apparition publique. C’est devenu nécessaire dans le contexte actuel ?
C’est compliqué de faire venir des gens juste par une mailing-list. Les rencontres physiques, c’est très porteur. Le lien qu’on crée à ce moment-là, c’est aussi ce qui permet aux gens de s’impliquer plus facilement dans le projet. Ils savent avec qui ils communiquent. C’est difficile de s’en passer.
Et quel bilan vous en faites ?
Concrètement, ça ressemblait plus à une conférence qu’à un hackfest avec les mains dans le cambouis. C’était un premier contact avec des gens qui pouvaient avoir envie de contribuer, mais qui n’avaient pas encore identifié comment le faire. C’était moins concret que ce qu’on aurait pu imaginer et espérer, mais c’était sans doute plus adapté au public qui s’est présenté. On évaluera plus clairement les retombées au fur et à mesure, en voyant avec qui on continue à travailler. C’est une étape dans un processus, qui peut prendre du temps. Même s’ils ne contribuent pas, ceux qui sont venus en parleront à d’autres. Faire savoir qu’on est là, qu’on travaille, qu’on a besoin d’aide, c’est important.
Il y a une nouvelle version de Tails toutes les six semaines. C’est rapide…
Au début, on faisait des releases quand on en avait envie. Il y a deux ans, on a décidé d’avoir un processus plus régulier. On a choisi six semaines, parce que c’est le cycle de mise à jour de Firefox, donc du Tor Browser, et que la navigation est sans doute la fonction la plus utilisée, ou la plus sensible. Évidemment, en interne, c’est du boulot et ça va vite ; d’ailleurs, on travaille à automatiser le processus plus qu’il ne l’est à l’heure actuelle. Mais entre une version de Tails et la suivante, du point de vue de l’utilisateur, ce sont souvent de petits changements. L’intérêt d’avoir un cycle de publication prévisible, c’est que ça permet aux contributeurs et contributrices de mieux s’organiser dans leur travail.
C’est quoi, le modèle économique de Tails ?
Il y a toujours eu un petit soutien du Tor Project. Il y a aussi un peu de dons – pour le moment on n’accepte que les bitcoins, donc le public est limité, mais on devrait bientôt accepter les monnaies plus traditionnelles. On n’a pas encore les chiffres définitifs des dons qui passent par la Freedom of the Press Foundation, mais ça commence à donner quelque chose. On a déjà eu à plusieurs reprises des subventions d’ONG, qui elles-mêmes reçoivent des subventions de sources, disons, moins non-gouvernementales. Cette année on a aussi gagné un prix, l’Access Prize For Innovation. Mais ça reste un budget microscopique par rapport à l’ampleur du projet, et le travail payé n’est qu’une toute petite partie du travail mis dans le projet. Ça reste essentiellement bénévole.
Vous ne voulez pas faire une campagne de crowdfunding ?
C’est à l’étude, mais on a peur que ce soit beaucoup de travail de mener une campagne à bien. On se garde ça sous le coude pour la lancer au moment opportun, soit parce qu’on en a besoin, soit parce qu’on a quelque chose de nouveau à proposer aux utilisateurs. Mais ce n’est pas un domaine dans lequel on a beaucoup de compétences. Trouver des sous, ce n’est pas quelque chose qu’on sait bien faire.
Vos objectifs, aujourd’hui ?
Ça a été pas mal de travail de migrer Tails vers la nouvelle version de Debian. On va essayer de lever un peu le pied sur le développement du logiciel en soi pour se concentrer sur l’amélioration de l’infrastructure, avec entre autres l’allègement du travail de préparation des releases. Ça permettra de dégager du temps pour rendre le projet maintenable à long terme, et de pouvoir sortir une nouvelle version rapidement en cas de correction d’un bug de sécurité important. L’autre gros objectif, c’est ce qu’on appelle le sandboxing, l’isolation des différentes applications les unes par rapport aux autres. Concrètement, il s’agit de rendre plus difficiles les attaques ciblées qui permettraient de désanonymiser un utilisateur ou d’accéder à ses données. En parallèle, le travail sur l’ergonomie continue, il y aura quelques gros changements sur des aspects qui sont pour l’instant difficilement compréhensibles pour un nouvel utilisateur, comme l’écran d’accueil au démarrage, et la procédure de téléchargement et d’installation.
Qu’est-ce que vous pensez d’un projet comme iCloak ? C’est la même promesse que Tails, en version start-up ?
On verra quand on aura vu le logiciel et son code source : pour l’instant, on n’a vu ni l’un ni l’autre. Il faut voir aussi combien de temps ils maintiendront leur projet. Le fait de commencer en cherchant de l’argent, ça peut laisser entendre que s’ils n’en ont pas assez, ils n’iront pas jusqu’au bout. L’autre gros doute qu’on a, c’est sur la sécurité. Pour nous, pouvoir vérifier l’authenticité de ton système d’exploitation, c’est crucial. À l’heure actuelle, si on te donne une clé USB avec Tails installé dessus, c’est très compliqué de vérifier que le système est authentique, qu’il n’est pas vérolé. La seule manière de faire, c’est de vérifier l’intégrité de ce que tu as téléchargé avant de l’installer. Le business model d’iCloak, c’est de dire : Tails, c’est compliqué à télécharger, à vérifier, à installer, alors on va vous l’envoyer et vous allez payer pour ça. Ça casse une des principales sécurités qu’on essaie de fournir avec Tails. Qu’ils fassent sauter cette possibilité, ce n’est pas un problème en soi, mais si l’utilisateur n’en est pas conscient, s’il ne s’adapte pas, alors ça devient dangereux. Dans la pratique, il y a de très grandes chances que l’utilisateur n’ait pas conscience de ces limites, qu’il ait une impression non justifiée de sécurité, surtout que le produit est très « marketé »… Nous, on n’a rien à vendre, on est réalistes sur ce qui est possible ou pas, on n’a jamais prétendu que Tails était parfait, ou 100 % sécurisé. C’est un outil qui, utilisé de la bonne façon, protège contre certaines menaces, pas contre d’autres.
—
- Événement lors duquel je suis intervenue, pour un retour d’expérience sur les cas d’usage, la réception et les obstacles rencontrés par les utilisateurs. J’avais en outre participé à l’un des ateliers organisés par Numa, « l’incubateur numérique » francilien, pour en améliorer l’ergonomie. Tails fait partie des outils de sécurisation des communications et des données auxquels je forme dans divers cadres (écoles de journalisme, ONG, cryptoparties). Voilà pour ma (fort modeste) participation au projet. ↩