Pour cet article, je vous propose de nous intéresser un peu à ce que l’on appelle la « souveraineté numérique ». Imaginons : nous sommes en 2023, et une crise économique et diplomatique majeure s’installe avec une puissance étrangère fictive que l’on appellera, pour l’illustration, la Trumpdavie (ce n’est qu’un exemple!). Du jour au lendemain, tous les comptes Gogolmail (sic), tous les carnets d’adresse Outlouque (re-sic), bref toute l’identité numérique du citoyen français est exploitée par le complexe militaro-industriel de Trumpdavie. Les données de géolocalisation de chaque individu sont décortiquées et recoupées, ainsi que celles de tous ses contacts. Des photos sont dévoilées, des emails sont analysés, des identités révélées et d’innombrables comptes bancaires piratés. Les sociétés transnationales, en liaison avec la National Supremacy Agency (oui oui, la NSA) de Trumpdavie sont chargées de déposséder les citoyens français de leur identité numérique. Sans compter les services régaliens, comme la distribution d’énergie, les transports, les télécommunications, instantanément destabilisés.
Fiction ? Non, selon Pierre Bellanger (ci-dessus), patron atypique, enthousiaste, libre penseur et président de la radio Skyrock, que j’ai récemment rencontré et qui a publié un livre sur le sujet de la souveraineté numérique. Parmi ses idées : créer un commissariat à la souveraineté numérique, développer des voies de cryptographie permettant en France de créer une « frontière du chiffrement », développer un système d’exploitation souverain, un socle permettant à l’écosystème numérique français de garantir son indépendance, et préserver les données personnelles.
Selon lui : « quand un individu donne accès à son carnet d’adresse, il fournit des informations sur lui-même, mais aussi sur d’autres sans que ces autres en soient informés et bien sûr sans qu’ils aient donné leur autorisation ».
D’où son idée disruptive : développer un système de messagerie sécurisée, et sans carnet d’adresse ! Bizarre dites-vous ? Eh bien c’est chose faite aujourd’hui : avec Jérôme Aguesse, directeur général adjoint du pôle numérique de Skyrock et pilote du projet, il lance son application gratuite Skred.
Développée par une société nommée CASCADIA, Skred est en effet une messagerie libre, cryptée, et surtout…sans carnet d’adresse! L’idée est astucieuse : au lieu de stocker des contacts (le sujet A stocke l’adresse de son contact B), ce ne sont que les liens qui sont stockés (le lien AB) et cela uniquement en association avec les terminaux doivent communiquer entre eux.
Cela crée une relation anonyme, unique et sécurisée avec chacun des contacts. Seuls les deux participants à cette relation peuvent échanger entre eux et personne d’autre…Les échanges sont chiffrés de bout en bout et de mobile à mobile, sans être stockés sur aucun serveur. Les technologies de chiffrement sont open source et reprises des travaux des hackers et citoyens activistes du Guardian Project, une initiative créée en 2009, visant à conférer un degré de protection accru pour les échanges privés sur les messageries Android.
L’origine du projet ? Des discussions et collaborations entre les fondateurs, et l’INRIA (Institut National de Recherche en Informatique et Automatique), qui a notamment développé la technologie TwinLife, dont l’idée est d’éviter de divulguer son identité numérique, facilement « capturable », et au contraire, de valoriser le lien, le contact avec son interlocuteur. Dans Skred, le terminal est associé au lien entre l’utilisateur et ses « contacts ». Pour créer ce lien, on utilise un « Skredcode » que l’on peut partager à d’autres personnes directement à proximité en le faisant scanner comme un QR-Code via la caméra du smartphone, ou que l’on peut envoyer sous forme de lien d’invitation par mail, SMS, etc.
Le système est crypté de bout en bout, il utilise la technologie WebRTC, et permet les conversations en voix, données et vidéo de manière anonyme et sécurisée avec tous les contacts, sachant que seuls les deux participants à cette relation peuvent échanger entre eux, personne d’autre ne pouvant intercepter cet échange. D’ailleurs, le contenu des échanges n’est pas stocké sur les serveurs de Skred : ce sont les mobiles des deux interlocuteurs qui se connectent pour échanger le message, l’application se bornant à notifier le destinataire qu’un message est disponible.
De plus, si vous effacez un message sur Skred, il s’efface aussi dans le mobile de votre correspondant. Bien évidemment, pas besoin de carte SIM dédiée: Skred s’adapte au réseau auquel il a accès – on peut ainsi accéder à Skred via une simple connexion wifi. La vidéo de présentation est disponible ici :
Mais cela va plus loin : en effet, Skred permet de créer des relations à différents « niveaux » de profondeur. On appelle cela le Skredboard. Comme le disent les concepteurs « le Skredboard permet de créer de nouveaux profils invisibles depuis vos premiers profils et dont l’accès est protégé par un code que vous définissez. Les contacts que vous ajoutez ensuite sont également protégés et ne peuvent vous contacter ou être contactés que lorsque vous activez votre niveau par son code. »
On peut voir cela comme des « univers parallèles », qui permettent chacun d’entrer en relation avec les liaisons qui sont associées à un niveau de profondeur donné. Et il peut y avoir beaucoup de niveaux. Autrement dit (et j’essaie de simplifier l’explication, ce qui n’est pas évident) : si l’on se fait dérober son terminal : (1) le voleur n’a pas accès à l’identité ou aux coordonnées de chaque relation, il est juste capable de rentrer en relation sauf si le vol est signalé – donc pas de capture du carnet d’adresse puisque ce dernier n’existe pas (2) il n’a accès qu’aux relations d’un niveau donné, sans savoir combien de niveaux relationnels sont présents, et à quelle profondeur ils sont accessibles.
Personnellement je trouve que Skred est une application intéressante et élégante, reposant sur un concept innovant, et qui pose les bases d’une messagerie sécurisée et « impiratable ». Bon, et si des terroristes utilisaient, comme Telegram, Skred pour communiquer sans être identifiés ? Disons que le cas est prévu, que les concepteurs sont patriotes et responsables, et qu’ils appliquent strictement la loi républicaine. Skred applique le droit français – c’est déjà bien plus que les autres applications de messagerie existantes.
Si vous voulez vous faire une idée, Skred est disponible gratuitement sur iOS et Android, et téléchargeable sur http://skred.mobi
VMF 214 - le blog 
Excellent !
Bravo pour cette initiative…
J’aimeJ’aime
Le concept d’OS souverain a déjà fait un flop pour tout un tas de bonnes raisons… Et pour ne pas divulguer son carnet d’adresse et ne l’avoir que sur son mobile, un client mail classique (pas un webmail utilisé via le navigateur ou une application qui fonctionnera via une API https) sait déjà faire depuis que le mail existe.
Alors OK, google and co peuvent toujours reconstituer ce carnet via vos échanges même si vous chiffrez vos mails. Mais est-ce vraiment pire qu’une application (principe de base: se méfier des applications!) incluant visiblement une backdoor gouvernementale (qui a des chances d’être découverte par d’autres: Quand on voit que même la NSA s’est faite hacker sa boite à outils…).
La souveraineté numérique ce n’est AMHA pas proposer des concepts intenables ou conceptuellement troués.
J’aimeJ’aime
Merci pour le commentaire. En ce qui concerne l’OS, je n’ai pas d’avis, c’était pour planter le décor. En revanche, le carnet d’adresse, même s’il n’est pas partagé, oblige à utiliser une adresse. Là, il n’y en n’a pas du tout. Même le possesseur ne connait pas l’adresse du destinataire, seul le lien entre les deux est stocké. J’ai donc du mal expliquer. En ce qui concerne l’existence d’une backdoor, ce n’est pas ce que je sous-entend, et ce n’est effectivement pas la solution. Cdt
J’aimeAimé par 1 personne
un lien entre deux terminaux … donc en changeant de téléphone tu perds tous tes liens … si c’est pas le cas, c’est qu’une « trace » du lien est transférable d’un téléphone à un autre … donc qu’un moyen de transférer est utilisable … donc qu’un pirate peut pirater ton téléphone et ce transférer les liens d’avec tes contacts …
et comme skred ne centralise pas les données échangées, il n’a pas réellement moyen de faire de la vérification type big data … SAUF a conserver des informations sur les échanges que tu passes avec tes contacts … donc on retrouve les comportements classiques …
par contre, c’est clair que ça simplifie les actions des malhonnêtes / malfrats / terroristes …
J’aimeJ’aime
2 points qui me chiffonnent :
– Le dernier paragraphe mentionne des aspect légaux : « Disons que le cas est prévu, que les concepteurs sont patriotes et responsables, et qu’ils appliquent strictement la loi républicaine. Skred applique le droit français »
1. Qu’entends-on par patriotes et responsables ? Et comment en être sûr car on a que leur parole, non ?
2. Qu’entend-on par loi républicaine et droit français ? Des textes de lois en particulier ? Cela signifie-t-il qu’ils nous assurent qu’il n’y a pas de backdoor ? Encore une fois, sans un audit d’un tiers on a aucun moyen d’en être sûr.
– Le concept de « lien » mérite d’être techniquement détaillé. Qui génère ce fameux lien AB ? Le terminal, le serveur ? Et qui fait la correspondance (Le lien AB est un lien entre A et B) ? D’une manière générale, quels sont les rôles exacts du serveur Skred (à part notifier les terminaux de l’arrivée d’un message), serveur WebRTC, etc. ?
Merci !
J’aimeJ’aime