Pretty Good Privacy, le standard de fait de la cryptographie, vient de perdre son père. Philip Zimmermann vient en effet d’annoncer qu’il quittait NAI, la société qui commercialisait PGP. En route pour de nouvelles (crypto)aventures...
Le site OpenPGP en français s’en était fait l’écho il y a quelque temps, c’est maintenant confirmé : Phil Zimmermann quitte la société Network Associates (NAI), qui lui avait racheté le logiciel de cryptographie PGP. Rideau, fin d’une époque, presque dix ans après le big bang causé par cet informaticien américain. En 1991, celui qu’on surnomme PRZ s’était fait connaître en lançant Pretty Good Privacy, un logiciel, gratuit, conçu pour protéger la confidentialité des communications électroniques. Destiné à améliorer la protection des droits de l’homme et de la vie privée à l’ère informatique, PGP avait valu à son auteur quelques années de déboires judiciaires avec la justice américaine, qui considérait son logiciel comme une "arme de guerre" et voulait en interdire la distribution, notamment à l’international. En 1997, sa société, et l’équipe qu’il avait constituée, était rachetée par Network Associates. Spécialisée dans les antivirus, cette dernière élargissait ainsi ses activités à la sécurité informatique. Mais ce changement de propriétaire a aussi marqué une évolution de la stratégie. En 2000, deux cryptographes français lançaient une "lettre ouverte pour restaurer la confiance en PGP", dénonçant la dérive commerciale de NAI, accusée de faire de PGP une véritable "usine à gaz".
De PGP à OpenPGP...
Zimmermann explique aujourd’hui, à son tour, qu’il quitte NAI parce que la société n’a plus la même vision que lui de l’avenir de PGP. Elle aurait en effet décidé de ne plus donner accès à l’ensemble du code source des futurs développements du logiciel, alors que c’est dans cette transparence même que réside, principalement, la confiance accordée en PGP. Dans ce domaine, tout produit ne livrant pas son code source est en effet considéré d’emblée comme suspect, en tout cas pour les férus de crypto et de sécurité informatique. PRZ explique par ailleurs qu’"il est temps pour [lui] de passer à d’autres projets plus en accord avec [ses] propres objectifs de protection de la vie privée". Il compte ainsi se focaliser sur OpenPGP. Sa version libre de PGP® est en passe de devenir la norme en la matière, implantée en standard dans un nombre grandissant de logiciels. Et de préciser qu’il devient ainsi, et entre autres, cryptographe en chef d’HushMail, un service d’e-mails gratuits et sécurisés dont la version 1.4 vient tout juste d’être lancée. Ce service passe pour être l’un des plus prometteurs du marché, lui-même très porteur, de la protection de la vie privée.
... & GnuPG
Will Price, l’un des collaborateurs les plus connus de Zimmermann, évoque, comme beaucoup d’autres, la tristesse qui l’emplit suite à la décision du mentor de PGP. Il rappelle cependant que l’équipe chargée de développer le logiciel est pour moitié la même que celle qui entra à NAI en 1997. Autrement dit : cela n’entame en rien la confiance que l’on peut avoir en PGP. PRZ a lui-même précisé que la version 7.0.3, sortie début février, est à ses yeux la plus sécurisée de toutes celles qu’il a personnellement supervisées. Des arguments qui ne convainquent pas les supporters de PGP. S’ils confirment leur confiance dans les versions précédentes de PGP, ils contestent l’orientation prise par NAI et l’ajout de "gadgets inutiles voire dangereux pour la sécurité", pour reprendre le commentaire, acerbe, du site OpenPGP en français. Celui-ci reproche ainsi à NAI d’avoir privilégié l’environnement Microsoft "pourtant notoirement moins sûr et moins stable" que les autres, et oppose à la dérive marketing du logiciel les perspectives offertes par GnuPG. Logiciel libre conçu sous OpenPGP, son utilisation, même sous Windows, tend en effet à être de plus en plus conviviale, et tout aussi sécurisée que celle de son grand frère. NAI ne cache pas que c’est la version commerciale de PGP, destinée aux sociétés privées, et non la version freeware, développée pour les particuliers, qui a ses faveurs. Et si de plus en plus de particuliers passent sous Linux, la majeure partie des sociétés restent sous Windows. PGP fera peut-être le bonheur de certains salariés. Les défenseurs des droits de l’homme, eux, iront voir ailleurs.