Ils ne remettent pas en question l’intégrité de Pretty Good Privacy, mais des utilisateurs français expriment dans une lettre ouverte leur perte de confiance dans l’évolution récente de plus célèbre des logiciels de cryptographie.
C’est une véritable déclaration d’amour déçu, empreinte de dépit, que viennent de publier le site "PGP en Français" et Michel Bouissou, l’un des rares spécialistes français à s’exprimer publiquement sur la cryptographie. Dans une lettre ouverte, les auteurs réitèrent leur confiance totale dans la fiabilité des versions précédentes de Pretty Good Privacy, le plus célèbre des logiciels de crypto (Lire Souriez, vous êtes tracés). Mais, avancent-ils, aujourd’hui "PGP® est la victime du marketing de NAI", la société qui développe et commercialise le logiciel. Leur texte est ainsi truffé de ce petit ® (registered, l’équivalent anglais de "marque déposée") caractéristique de la dérive commerciale qu’ils contestent : "Nous reprochons à NAI d’avoir transformé un logiciel de sécurité informatique en un logiciel marketing (...) et de se retrancher derrière l’argument ’Tous les logiciels ont des bugs’ pour excuser des erreurs graves de programmation. (...) PGP® n’est pas Internet Explorer ou Outlook Express : PGP® ne peut pas contenir des bugs, et des bugs, et encore des bugs. PGP® ne doit contenir aucun bug." La raison de ces bugs ? L’ajout dans les versions commerciales du logiciel de nouvelles fonctionnalités. Pour les signataires, non seulement ces dernières ne sont en général pas "indispensables au chiffrement et à l’authentification des données", mais elles affaiblissent la sécurité cryptographique globale du programme. "L’intégrité cryptographique de PGP® est en danger et il est temps de tirer le signal d’alarme", clame le texte.
Une question de confiance
Après la récente découverte du bug ADK (Lire PGP pris en défaut), Michel Bouissou avait publié sur "PGP en français" une série de neuf propositions visant à restaurer la confiance des utilisateurs. Contacté au téléphone, il qualifie la version commerciale 7.0 de véritable "usine à gaz", mais reste très attaché au logiciel : "Je ne dirai jamais que PGP est backdoré, buggué ou piraté et je ne remets pas en question la fiabilité des versions précédentes, mais il faut rester très vigilant et le principe de précaution pousse à s’en éloigner un peu, surtout quand il existe des solutions alternatives." Comme GnuPGP, la version libre de PGP, qui vient de sortir sa version 1.0.3.
Nostalgie
La lettre ouverte n’est pas exempte de nostalgie : "En 1991, PGP fut lancé comme un projet sur les droits de l’Homme appliqués à l’ère digitale et c’est pourquoi nous avons besoin de PGP et de Philip Zimmermann, de sa vision de la liberté électronique dans notre monde aux allures bigbrozériennes." Michel Bouissou avoue son amertume : "J’ai soutenu PGP très activement depuis des années et combattu certaines rumeurs, et en arriver aujourd’hui à dire que je n’ai plus confiance dans les versions actuelles, ça fait mal au cœur."