Il y a quelques mois, Ladar Levison, le patron de Lavabit, une société américaine fournisseur d’email sécurisé, était interviewé par le Parlement Européen pour parler de ses déboires contre le FBI sur la confidentialité des données de ses utilisateurs et de ses clés cryptographiques privées.

Regardez cette vidéo ! Elle est courte et très intelligente, présentant le problème de la confidentialité des communications, le droit à la vie privée, comment il a combattu la requête du FBI de pouvoir espionner tous ses utilisateurs sans aucun contrôle etc.

Ladar Levison au Parlement Européen

La vie privée définie par Levison

Levison a une vision claire de la vie privée et pourquoi c’est important. Il décrit la forte méfiance des citoyens envers la surveillance de masse des communications. Lorsque notre vie privée est absente ou menacée, nous ne pouvons plus parler des libertés que nous avons déjà perdues, et comment nous organiser pour pouvoir les retrouver.

Il décrit aussi le principe des clés privées SSL, et en quoi ce sont des éléments importants du patrimoine des entreprises de l’Internet.

Il décrit aussi comment il a refusé de donner un accès illimité aux données de ses utilisateurs, demandant au FBI ce dont ils avaient besoin exactement. Il a proposé d’auditer le périphérique de surveillance qu’ils voulaient insérer dans son réseau, et de disposer de la moitié du mot de passe de ce dernier, assurant par ce fait que le FBI ne ferait que ce que la loi l’autorise à faire.

Bien entendu, le FBI refusa, Levison du finalement fermer sa société.

Il explique aussi qu’il pensait que les USA seraient le meilleur pays pour fournir ce service, et qu’il pense maintenant qu’il avait choisi le pire, peut être à part la Chine…

J’ai créé le sous-titre en anglais de cette vidéo. Grand merci à Guillaume Subiron (maethor), alarig, Floreal & Fil pour leur traduction en français et relecture de ce sous-titre.

Le texte intégral

On y va

Merci

Pour ceux qui ne savent pas que je suis Je vais commencer par quelques explications. Je m’appelle Ladar Levison j’étais le propriétaire et je suis toujours l’administrateur de Lavabit. Un service de mail qui, espérons le, sera un jour capable d’être évoqué sans faire référence à Snowden. Je pensais que c’était super Il fut un temps juste après la fermeture quand mon avocat parlait à la presse il n’a pas dit le mot Lavabit quand on lui a demandé pour qui il travaillait il a répondu « le fournisseur de mail de Snowden » et j’ai dû lui expliquer « vous ne travaillez pas pour Snowden ou pour le fournisseur de mail de Snowden vous travaillez pour Lavabit. » Donc j’espère qu’un jour Je sortirai de cette ombre et je serais capable de discuter directement du cœur du problème c’est à dire le droit à la vie privée.

Pour ceux qui ne le savent pas
C’est dans l’actualité depuis
environ une semaine
parce que je n’ai pas pu
le révéler jusqu’ici.
Ce pour quoi je me bats
en justice
c’est le droit de protéger
les clés SSL d’une entreprise.
Pour ceux qui ne connaissent pas SSL
C’est le petit icône de cadenas
dans votre navigateur web
qui protège vos transactions ecommerce.
C’est une technologie, un protocole
central en matière de cryptographie
qui protège vraiment les communications
sur Internet
et permet d’avoir confiance
en l’identité d’une personne.

Basiquement, vous chiffrez quelque chose
avec la clé publique de quelqu’un
et vous savez que seulement cette entreprise
en tout cas en théorie
seulement cette entreprise
peut déchiffrer ce que vous avez chiffré.
Ça garantit que quand vous envoyez
votre nom d’utilisateur et votre mot de passe
par exemple
à votre banque,
que seule votre banque peut déchiffrer
cette information.

Et en effet
ce qu’il s’est passé
c’est que le FBI a voulu usurper
mon identité numérique,
usurper ma clé privée
et l’utiliser pour se faire passer
pour mon entreprise sur Internet
en interceptant toutes les communications
entrantes et sortantes
de mon réseau.
Bien sûr
Je n’étais pas très à l’aise avec ça
c’est le moins qu’on puisse dire.
Encore plus dérangeant est le fait
que je ne pouvais parler à personne
de ce qu’il était en train de se passer.
Comment en débattre ?
Comment discuter de quelque chose publiquement
quand personne ne sait
qu’une loi spéciale existe ?
Et pourtant elle existe
d’une certaine façon.
C’est mon combat.
Nous sommes sortis rapidement
en appel
la semaine dernière.
Donc on s’assoit et on attend
une décision de justice
en espérant
qu’elle sera favorable

Quand j’ai commencé Lavabit
il y a 10 ans
Je pensais que les États-Unis
seraient le pays idéal
pour ça.
Après tout, nous sommes, vous savez…
« the home of the brave
and the land of the free »
Notre constitution est censée
protéger notre liberté
à son niveau le plus élémentaire
et finalement,
j’ai probablement choisi le pire
ou peut-être l’avant-dernier
pays au monde
pour héberger ce service.
Le Chine étant l’autre.
Mais au lieu de faire mes valises.
et de déménager en Europe
J’ai décidé qu’en tant qu’Américain
il était important pour moi
de rester et de me battre
pour essayer de changer la loi
avec laquelle je ne suis pas d’accord.
Comme je l’ai dit,
je m’assois et j’attends
Si je gagne cette bataille,
je réouvre Lavabit
et les affaires continuent,
Et si je perds, je devrai sûrement
abandonner mon business
à quelqu’un en Europe
qui pourra le faire tourner pour moi.
Pendant que chez moi
je laisserai tomber et deviendrai fermier,
quelque chose comme ça.

Ce que nous avons ici aujourd’hui
c’est un débat sur
la latitude
qu’un gouvernement et ses officiers
chargés d’appliquer la loi
devraient être autorisés à avoir
quand il s’agit de mener
des enquêtes.
C’est la question simple de
« surveillance contre intimité »
et beaucoup de gens m’accusent
d’être anti-gouvernement
parce que je suis anti-surveillance
et c’est tout simplement faux
Je ne suis pas anti-gouvernement
Je suis pro-liberté.

Pensez-y.

Je crois en l’autorité de la loi
Je crois au besoin
de conduire des enquêtes.
Mais ces enquêtes
sont censées êtres difficiles
pour une raison.
C’est censé être difficile
d’envahir l’intimité de quelqu’un
justement parce que c’est vraiment intrusif.
Parce que c’est vraiment perturbateur.
Si nous n’avons pas de droit à la vie privée
comment pouvons-nous avoir une discussion
libre et ouverte ?
À quoi bon la liberté d’expression
Si elle n’est pas protégée
au sens où il devrait être possible
d’avoir une discussion privée
avec quelqu’un
au sujet de quelqu’un d’autre.
Pensez à l’effet dissuasif
que ça a.
Pensez à l’effet dissuasif
que ça a sur les pays
qui n’ont pas de droit à la vie privée ?

C’est une chose que de céder
certaines de nos libertés
pour autant que nous avons la garantie
que nous pourrons parler
des libertés que nous avons perdues
avec l’espoir de pouvoir les retrouver
Si nous ne pouvons pas avoir cette discussion
nous ne pourrons jamais retrouver
aucune des libertés
que nous avons perdues.
C’est pour cette raison que j’ai une position
si ferme sur l’importance
de la protection du droit à la vie privée.
Et c’est pour cela que j’ai développé le service
fourni par ma société.

Pour faire simple, Lavabit a été conçu
pour ôter le fournisseur de service
de l’équation.
En n’ayant aucun historique sur mes serveurs
et en n’ayant pas accès aux emails
des individus en clair sur le disque.
Je n’éliminais pas la possibilité
de la surveillance.
Je ne faisais que me retirer
de cette équation.
La surveillance doit donc
être menée directement
sur la cible
que ce soit l’expéditeur
ou le destinataire des messages.
Nous avons un procès très important
dans notre histoire
aux États-Unis
l’affaire « Smith contre le Maryland ».
J’ai appris son existence
très récemment.
Mais au fond ce qu’il dit
c’est que toute information
que vous confiez à un fournisseur de service
n’est plus protégée.
Toutes les metadonnées
associées à un coup de fil
ou à un email
ne sont plus protégées.
Et effectivement
ce que cela veut dire
c’est que si vous voulez
avoir une communication,
si vous voulez communiquer
avec quelqu’un par voie électronique
et que cette discussion n’est pas protégée,
parce que vous ne faites pas confiance
à un fournisseur de service
ici dans le cloud
pour protéger ces communications.
Et ça ne devrait pas être se passer ainsi.
Utiliser simplement un service
ne devrait pas vouloir dire abandonner
votre droit à la vie privée.
Et c’est ainsi que mon service
a été pensé.
Il a été conçu pour m’ôter
la possibilité
d’être forcé à violer
la vie privée d’une personne.

J’ai vécu heureux
pendant dix ans
jusqu’à il y a peu.
À ce moment
j’ai été approché
et on m’a dit
que puisque je ne pouvais pas
divulguer l’information
on me forcerait à donner
ces clés SSL
ou à laisser le FBI les récupérer par eux-mêmes
Et de nouveau j’ai cherché à coopérer
j’ai essayer de modifier mon système
pour donner l’information par moi-même
pour cet utilisateur en particulier.
Et la réponse du gouvernement fut :
« mais nous la voulons en temps réel ! »
vous voulez dire que vous voulez être capable
de vous connecter sur un appareil dans mon réseau
et changer le programme de collecte
en temps réel
sans que personne ne le sache ?
Ils n’avaient pas de réponse à ça.
Quand j’ai proposé de les laisser mettre le périphérique
sur mon réseau,
mais en stipulant
que je pourrais l’auditer
que je pourrais
le configurer avec eux
et que je possèderais
10 caractères du mot de passe
et qu’ils possèderaient
10 caractères du mot de passe
pour que nous sachions que cet appareil
collectait seulement les informations
qu’il était légalement autorisé à collecter,
ils ont aussi refusé.
Effectivement ce qu’ils voulaient
était un accès illimité à toute
communication sur mon réseau
sans aucune forme de transparence.
Et c’est tout simplement une situation
avec laquelle je ne peux pas vivre,
qui me mettait mal à l’aise
Dans les faits c’était
une idée tellement gênante
que j’en perdais le sommeil.
Donc j’ai simplement
fini par décider :
Si je ne peux pas gagner ce combat pour ma cause,
si je ne peux pas gagner la bataille
d’être capable de dire aux gens ce qui se passe.
Alors le seul choix éthique qu’il restait
était de couper le service.

À ce moment, je ne m’attendais pas
à ce que quelqu’un remarque ma fermeture
à part les 400 000 utilisateurs
de mes serveurs.
Peut-être un peu de couverture
par les blogs techniques
Mais si il y a une chose
que l’été de Snowden
a provoqué
c’est de concentrer le débat sur la vie privée
Et par conséquent
J’ai au une bien meilleure couverture qu’espéré
C’est une des raisons pour lesquelles je suis ici aujourd’hui
parce que les gens de ce public
ont entendu ce qu’il s’est passé
ils ont voulu en savoir plus.

Mais la discussion ne sert à rien
si elle n’entraîne pas d’action.

Donc pendant que mes avocats gagnent la bataille
pour les clés SSL
Il y a un débat plus large
sur est-ce que les fournisseur de services
peuvent être forcés à abandonner
mots de passe, clés de chiffrement,
codes source,
leur propriété intellectuelle
leurs joyaux de la couronne
juste pour aider une enquête.
Ou si le fardeau
devrait reposer sur les épaules des enquêteurs.

Comme je l’ai dit
la surveillance n’est pas supposée
être facile.
C’est supposé être compliqué.
Et ce qui est en train d’arriver
c’est que les méthodes employées
sont en train de créer des armes
de forcer les gens qui veulent
avoir des conversations privées
à développer des meilleurs outils
de communication
ou des outils plus sécurisés

Et ce que cela signifie, malheureusement
c’est qu’à la fois le criminel et le citoyen
utiliseront les mêmes outils de communication.
Et que les méthodes de sécurisation
deviennent de plus en plus fortes
pour tromper les forces de police.
Et c’est un avenir qu’ils sont en train
de créer eux mêmes
et c’est dommage
mais c’est la réalité
et je pense que j’en resterai là.

Catégories : français