Le but du projet de développement logiciel « Pretty Easy Privacy » (PEP) lancé hier est d'offrir des outils gratuits qui facilitent le chiffrement des communications en ligne, courrier électronique, messagerie instantanée, SMS et autre. Le travail consiste à intégrer la technologie à des outils de communication existants sur différents ordinateurs de bureau et plateformes mobiles afin de prendre en charge la complexité de l'échange et de la gestion des clefs de chiffrement. Hier, l'équipe de développement a lancé une première preview de l'implémentation PEP pour le client de messagerie Microsoft Outlook, mais elle prévoit de développer des produits similaires pour chiffrer les communications dans Android, iOS, avec Firefox OS, Thunderbird, Apple Mail, Jabber, IRC (Internet Relay Chat), WhatsApp, Facebook Messenger, Snapchat et Twitter. Pour créer la fondation qui soutiendra le projet et permettra d'accélérer le développement des diverses implémentations pour les différentes plates-formes, les développeurs de PEP ont lancé une campagne de crowdfunding sur Indiegogo afin de récolter les fonds nécessaires. La plupart des logiciels de PEP seront livrés sous licence GNU General Public version 3 et utilisables gratuitement, mais l'équipe va également développer des produits commerciaux qui seront vendus via PEP Security, une nouvelle entreprise basée au Luxembourg. Le moteur de PEP s'appuie sur des technologies Open Source existantes, comme le GnuPG, l'implémentation GNU du standard OpenPGP; le framework GNUnet pour les communications pair-à-pair décentralisées qui garantit l'anonymat; et NetPGP, une implémentation d'OpenPGP pour les plateformes iOS, qui ne prend pas en charge le GnuPG. Mais, l'objectif principal du projet est d'offrir une solution de cryptage évidente ne nécessitant pas d'intervention de l'utilisateur.

 Un plug-in pour Outlook

Au moment de l'installation, PEP génère automatiquement les clefs de chiffrement ou les importe à partir d'un client PGP local. Le système Pretty Easy Privacy est également capable de trouver les clefs des correspondants de l'utilisateur si celles-ci ont été téléchargées sur des serveurs de clés publiques ou si elles ont été envoyées avec des courriels déjà cryptés. Cela signifie que PEP peut commencer immédiatement à crypter les échanges avec certains utilisateurs et fonctionne même si l'autre partie utilise des implémentations autres que PEP, comme PGP, S/MIME ou CMS. Le plug-in PEP pour Outlook ajoute des indicateurs de couleur pour les contacts de confiance. Par défaut, l'indicateur est en gris, ce qui signifie que la communication cryptée n'est pas encore possible avec le contact sélectionné. Lorsque les clefs du destinataire sont connues et incluses dans le trousseau, l'indicateur de confiance passe au jaune, indiquant qu'une communication cryptée est possible mais reste potentiellement vulnérable à des attaques de type « man-in-the-middle ».

Pour bénéficier du plus haut niveau de protection, signalé par un indicateur vert, les deux parties doivent échanger préalablement par téléphone un « code sécurisé » généré par PEP. « Une fois que le code est confirmé de part et d'autre, la communication est protégée contre toutes les attaques connues », affirment les développeurs de PEP sur leur page Indiegogo. La technologie ne dépend pas d'une infrastructure centralisée et utilise la technologie peer-to-peer pour le transport anonyme. Lorsque les deux parties l'utilisent, ce n'est pas seulement le contenu des messages qui est chiffré, mais les métadonnées, comme le champ « objet » dans le cas des courriels.