Hier, Laurent Chemla a annoncé qu'il relançait le « projet Caliop », dans l'espoir de fournir à tout un chacun une plateforme de courrier électronique à même de garantir la confidentialité des communications. L'informaticien, auteur de « Confessions d'un voleur : Internet, la liberté confisquée » et co-fondateur de Gandi, a accepté de répondre aux questions de PC INpact.
Laurent Chemla, en 2009 - CC BY-NC 2.0 - chezyann
Qu'est-ce que le « projet Caliop » ?
L'idée, avant que Gmail n'arrive, c'était de se dire qu'il fallait un système de mail un peu plus transparent pour l'utilisateur. À l'époque, on se posait déjà des questions sur les garanties que pouvaient apporter les fournisseurs d'accès à la confidentialité des courriers électroniques. On avait donc lancé ce projet avec des amis il y a une dizaine d'années.
Aujourd'hui, entre les révélations sur Prism et la prise de conscience des gens, je perçois autour de moi un nouveau besoin. Du coup, je relance ce projet qui, au départ, est un projet technique : comment faire en sorte que le mail soit à la fois pérenne, facile d'accès, le plus sécurisé possible - même si on ne pourra jamais sans doute le sécuriser totalement, etc.
Quelles sont vos pistes à l'heure actuelle ?
J'en ai beaucoup ! Maintenant, je me dis que certaines des idées qu'on avait il y a neuf ans doivent être remises au goût du jour. C'est la raison de cet appel : je ne vais pas faire ça tout seul dans mon coin, donc si vous avez des idées, donnez-les ; si vous voulez discuter des miennes, discutons-en et voyons comment on va faire !
Le fondamental, c'est la cryptographie - même si ça ne résout pas toujours tout. Il va y avoir des couches et des surcouches. Par exemple, je pense que même si on n'est pas capables de systématiquement garantir qu'un email n'ait pas été intercepté, on peut indiquer à l'utilisateur quel degré de confidentialité l'on peut garantir pour tel ou tel mail. Ainsi, un mail qui n'aura transité que par Caliop de façon totalement chiffrée de bout en bout entre l'émetteur et le récepteur, l'on pourra l'afficher un degré de sécurité proche de 100 %, alors qu'un mail qu'on aura reçu depuis Gmail sera affecté d'un degré de sécurité bien moindre.
Ce genre de choses permet déjà de garantir pas mal de confidentialité aux gens. J'ai l'impression que le mail, c'est un des seuls trucs qui n'a pas évolué sur Internet depuis 15 ans. Il est peut-être temps de le re-réfléchir aujourd'hui, de repartir de zéro et de retrouver des bases un peu plus sécuritaires.
Comment ce nouveau système pourrait-il échapper à la surveillance potentielle de différentes agences gouvernementales (NSA,...) ?
À partir du moment où c'est l'utilisateur qui a la clé de sa cryptographie, même si la NSA venait saisir tous nos serveurs, elle ne pourrait rien en faire car il lui faudrait les clés des clients. Pour que les clients aient leurs propres clés, il existe déjà des solutions. On pourrait par exemple envisager de distribuer des clés USB qui, en fonction de votre OS, vont vous permettre de créer votre clé privée et de chiffrer tout ce qui viendra de votre ordinateur. Vous, vous vous baladez avec votre clé. Nous, on stocke uniquement du mail chiffré, lequel arrive directement sur nos serveurs. Face à ça, la NSA ne pourra rien en faire.
Au-delà de ça, je remarque qu'en France, toute interception de communication privée est interdite par la loi. Le fait d'être sur un territoire national sur lequel la législation garantit la confidentialité des communications privées permet aussi de s'affranchir d'un certain nombre de choses dans la mesure où l'on ne peut pas nous-même enfreindre la loi, y compris à la demande du gouvernement. Sauf s'il y a des commissions rogatoires ou des volontés judiciaires pour en arriver-là. Mais là, ça signifie qu'il n'y a pas de surveillance, juste des enquêtes de police et des demandes qui sont traitées au cas par cas par les tribunaux.
Justement, comment l'hébergeur de ce service réagirait-il si jamais une autorité gouvernementale lui demandait des comptes, par exemple dans le cadre d'une enquête ?
Nous nous y plierions peut-être dans le cadre d'une enquête de justice, à la demande de la justice. Si c'est l’État qui nous le demande, nous n'avons absolument rien à lui répondre. Si c'est la justice, on peut lui fournir ce que l'on a en fonction des commissions rogatoires et de ce que le juge décide.
Avez-vous également des pistes s'agissant du modèle économique sur lequel pourrait se baser Caliop ?
J'aimerais qu'on puisse offrir un service dont une partie sera proposée aux entreprises et aux professionnels qui le voudront. C'est cette partie professionnelle et commerciale qui paiera pour la partie grand public, qui sera quant à elle gratuite. C'est un modèle pas tout à fait « freemium », mais presque. On va sans doute s'orienter vers quelque chose comme ça.
De toute façon, on va avoir pour commencer le soutien de Gandi [bureau d'enregistrement de noms de domaine et hébergeur français, ndlr], qui est d'accord pour nous prêter une infrastructure et des ressources humaines afin de démarrer le projet. On développera sans doute ce type d'activité économique, dans la mesure où eux proposeront ça en service payant à leur propres clients, pendant que Caliop offrira un service gratuit à ceux qui n'ont pas besoin de services à valeur ajoutée (envoi de mail en marque blanche pour leur entreprise,...).
Concrètement, qu'attendez-vous désormais des internautes ?
Aujourd'hui, c'est vraiment un appel à idées qui est lancé. Ça fait des années que j'y réfléchi, donc on a déjà un peu avancé sur tout ça... Mais je me dis que si moi j'ai plein d'idées, à 30, 40 ou 50, on aura des milliers d'idées et que l'on pourra pour le coup faire quelque chose de vraiment chouette !
Pour l'instant, on a ouvert la mailing list (voir ici). On va voir ! Je vais essayer d'ici lundi de faire un résumé de mes idées sur ce projet, qui seront ensuite à la discussion de tous. Rien n'est figé pour le moment. Ensemble, on va essayer de redéfinir ce projet en partant de zéro, et même si j'ai toutes les propositions, on va les discuter. S'il y a des gens qui veulent participer, ils sont les bienvenus sur la liste. On va s'efforcer de développer le projet le plus possible avant de l'écrire. J'espère qu'on ouvrira quelque chose d'ici la fin de l'année, même si ce n'est pas fini, que ce n'est qu'à l'état d'embryon.
Merci Laurent Chemla.
