Un groupe de hackers connu sous le nom de Cult of the Dead Cow a conçu un système de chiffrement pour les applications mobiles qui ne collectent pas les données personnelles des utilisateurs. Le projet, appelé Veilid, sera présenté à la conférence Def Con à Las Vegas la semaine prochaine. Il s’agit d’un framework de codage qui peut être utilisé par les développeurs d’applications de messagerie, de partage de fichiers ou de réseautage social qui utilisent le protocole Veilid pour transmettre du contenu entièrement chiffré. Le système repose sur un réseau décentralisé de type « pair-à-pair » qui se renforce avec le nombre d’appareils connectés.Autrefois connu pour distribuer des outils de hacking et faire honte aux éditeurs de logiciels pour qu'ils améliorent leur sécurité, un célèbre groupe d'activistes technologiques travaille actuellement au développement d'un système qui permettra la création d'applications de messagerie et de réseaux sociaux qui ne conserveront pas les données personnelles des utilisateurs.
Le groupe, Cult of the Dead Cow, a développé un framework de codage qui peut être utilisé par les développeurs d'applications qui souhaitent adopter un chiffrement fort et renoncer aux revenus de la publicité ciblant les individus en fonction de profils détaillés glanés à partir des données que la plupart des applications collectent désormais régulièrement.
L'équipe s'appuie sur le travail de produits libres tels que Signal, qui offre un chiffrement fort pour les messages texte et les appels vocaux, et Tor, qui offre une navigation Web anonyme en acheminant le trafic via une série de serveurs pour dissimuler l'emplacement de la personne qui effectue le recherche.
Veilid, le framework de « chiffrement P2P »
Le dernier effort, qui sera détaillé lors de la conférence annuelle Def Con à Las Vegas la semaine prochaine, vise à fournir une base pour la messagerie, le partage de fichiers et même les applications de réseautage social sans récolter aucune donnée, le tout sécurisé par un type de chiffrement de bout en bout qui rend l'interception difficile même pour les gouvernements.
Appelé Veilid (prononcé vay-lid), le code peut être utilisé par les développeurs pour créer des applications pour les appareils mobiles ou le Web. Ces applications se transmettront du contenu entièrement chiffré à l'aide du protocole Veilid, selon ses développeurs. Comme avec le logiciel de partage de fichiers BitTorrent, qui distribue simultanément différents éléments du même contenu, le réseau deviendra plus rapide à mesure que davantage d'appareils se rejoindront et partageront la charge, selon les développeurs. Dans ces réseaux « peer-to-peer » décentralisés, les utilisateurs téléchargent les données les uns des autres au lieu d'une machine centrale.
Comme pour certaines autres entreprises open source, le défi consistera à persuader les développeurs et les ingénieurs de consacrer du temps à la conception d'applications compatibles avec Veilid. Bien que les développeurs puissent facturer de l'argent pour ces applications ou vendre des publicités, les sources de revenus potentielles sont limitées par l'incapacité de collecter des informations détaillées qui sont devenues une méthode principale pour diffuser des publicités ciblées ou présenter un produit à un ensemble spécifique d'utilisateurs.
L'équipe derrière Veilid n'a pas encore publié de documentation expliquant ses choix de conception, et le travail collaboratif sur une première application de messagerie, destinée à fonctionner sans nécessiter de numéro de téléphone, doit encore produire une version de test.
Le contexte s'y prête
Il arrive dans un contexte où les gouvernements tentent d'adopter des mesures pour affaiblir le chiffrement. Nous pouvons citer le cas du Royaume-Uni avec son projet de loi sur la sécurité en ligne (Online Safety Bill), qui vise à réguler les contenus nuisibles et illégaux sur internet. Le projet de loi donne au gouvernement le pouvoir de forcer les services de messagerie à créer des portes dérobées (backdoors) dans leurs systèmes de chiffrement, ce qui compromettrait le principe du chiffrement de bout en bout.
Apple, la société mère de Facebook, Meta et Signal, ont récemment menacé de retirer certains services en Grande-Bretagne si le projet de loi sur la sécurité en ligne de ce pays était adopté tel quel.
Meredith Whittaker, la présidente de Signal, a déclaré qu’elle quitterait le marché britannique si la loi était adoptée, car elle ne compromettrait jamais la confiance que les gens placent en Signal pour fournir un moyen de communication vraiment privé. Whittaker a également critiqué un système appelé analyse côté client, qui consiste à scanner les images avant de les chiffrer. Elle a dit qu’un tel système transformerait le téléphone de chacun en un « dispositif de surveillance de masse » qui ferait des rapports aux entreprises technologiques, aux gouvernements et aux entités privées.
L'Electronic Frontier Foundation, un défenseur des droits numériques, s'est également insurgé contre ce projet :
Envoyé par EFF
C'est un droit humain fondamental d'avoir une conversation privée. Pour que ces droits soient réalisés dans le monde numérique, la meilleure technologie dont nous disposons est le chiffrement de bout en bout. Et c'est totalement incompatible avec la technologie d'analyse des messages approuvée par le gouvernement requise dans le projet de loi sur la sécurité en ligne.
C'est à cause de quelque chose que l'EFF dit depuis des années - il n'y a pas de porte dérobée au chiffrement qui n'est utilisée que par les "bons". Saper le chiffrement, que ce soit en l'interdisant, en faisant pression sur les entreprises pour qu'il s'en éloigne ou en exigeant une analyse côté client, sera une aubaine pour les mauvais acteurs et les États autoritaires.
Le gouvernement britannique veut s'accorder le droit de scanner chaque message en ligne à la recherche de contenu lié à la maltraitance des enfants ou au terrorisme - et dit qu'il protégera toujours, d'une manière ou d'une autre, comme par magie, la vie privée des gens. C'est tout simplement impossible. Des groupes de la société civile britannique ont condamné le projet de loi, tout comme des experts techniques et des groupes de défense des droits de l'homme du monde entier.
C'est à cause de quelque chose que l'EFF dit depuis des années - il n'y a pas de porte dérobée au chiffrement qui n'est utilisée que par les "bons". Saper le chiffrement, que ce soit en l'interdisant, en faisant pression sur les entreprises pour qu'il s'en éloigne ou en exigeant une analyse côté client, sera une aubaine pour les mauvais acteurs et les États autoritaires.
Le gouvernement britannique veut s'accorder le droit de scanner chaque message en ligne à la recherche de contenu lié à la maltraitance des enfants ou au terrorisme - et dit qu'il protégera toujours, d'une manière ou d'une autre, comme par magie, la vie privée des gens. C'est tout simplement impossible. Des groupes de la société civile britannique ont condamné le projet de loi, tout comme des experts techniques et des groupes de défense des droits de l'homme du monde entier.
La modération de contenu : un défi de taille
L'un des problèmes les plus complexes pour Veilid est la modération du contenu, qui a été l'un des plus gros problèmes sur Twitter et Facebook.
Certains nouveaux rivaux de ces entreprises établies, telles que Mastodon, ont opté pour ce que l'on appelle la fédération, dans laquelle des groupes ont des règles qui leur sont propres.
Le parent de Facebook, Meta, a déclaré qu'il rendrait son nouveau rival Twitter, Threads, compatible avec Mastodon et d'autres. Le conseiller informel de Veilid, Micah Schaffer, a déclaré que cela montre que les grandes entreprises envisagent d'utiliser la fédération pour « fournir cette illusion de choix. Ils adoptent la fédération d'une manière qui détourne la responsabilité de leur décision de modération – vous pouvez simplement aller sur un autre serveur ».
Le chiffrement complet signifie que les modérateurs ne pourront pas voir les interactions nuisibles, ce qui est l'une des raisons pour lesquelles la propre application de réseautage de Veilid demandera aux utilisateurs d'inviter des abonnés spécifiques.
« Veilid ouvre la porte à une nouvelle génération d'applications sociales plus sûres de par leur conception », a déclaré Schaffer, qui a créé la première équipe de sécurité de YouTube et a ensuite dirigé la politique publique chez Snap.
Source : Veilid
Et vous ?
Que pensez-vous du projet Veilid ? Quels pourraient être les modes de financement d'applications faisant appel à ce protocole ? Seriez-vous prêt à payer pour une telle application ? Utilisez-vous des applications qui protègent votre vie privée et votre sécurité ? Seriez-vous prêt à payer pour des applications qui ne collectent pas vos données personnelles ? Faites-vous confiance aux hackers du Cult of the Dead Cow ? Quels sont les avantages et les inconvénients du réseau pair-à-pair ?