Interview de Lunar ("Défis passés et futurs pour Tor") vendredi 20 juin 2014 RMLL : Bonjour Lunar ( lunar@torproject.org ), tu viens aux RMLL faire une présentation sur le projet Tor. Pourrais-tu tout d’abord te présenter brièvement ? Lunar : Mes premiers bouts de code, je devais avoir 7 ans. Pas très longtemps après mon premier serveur tournait derrière un minitel. Je n’ai jamais vraiment arrêté de bricoler des outils de communication depuis. J’ai grandi dans cette époque où le numérique est venu se faire une place dans des aspects de nos vies toujours plus nombreux. On peut dire que je ne suis pas très fan du monde qui en résulte. RMLL : Peux-tu nous retracer ton implication dans le mouvement du logiciel libre, de sa découverte à maintenant : ton parcours, tes motivations passées et actuelles, si elles ont évoluées. Lunar : Mes premières rencontres avec le logiciel libre ont eu lieu en 1996. À l’époque, logiciels libres et Internet étaient encore indissociables. Ça devient vite une évidence d’utiliser des Unix libres quand on n’a pas de revenus et quand même envie de participer au réseau. Ensuite, découvrir la communauté permet d’apprendre énormément. Mon implication en tant que bénévole s’est faite de plus en plus importante. Je suis devenu officiellement Debian Developper en 2007. Devoir me plier aux besoins d’un ordinateur plutôt que de plier l’ordinateur à mes besoins m’a toujours énervé. Souhaiter être en mesure de modifier les logiciels qu’on utilise est donc vite devenu une évidence. Au-delà de ça, pendant un moment, on a été plusieurs à considérer les logiciels libres comme un facteur de changement social. Alors certes, l’entraide qui existe au sein des communautés de création libre est remarquable et sort le processus de production des schémas capitalistes traditionnels, mais visiblement ce n’est pas Linux qui mettra fin à la pauvreté. Il y a maintenant des logiciels libres dans toutes les maisons et les poches… et on assiste plutôt à un renforcement des inégalités. Ces jours-ci, mes ambitions sont plus modestes, mais peut-être plus cruciales : je souhaite simplement que la désobéissance reste possible dans ce monde de surveillance généralisée. Pouvoir construire des outils de communications que nous contrôlons plutôt que des outils qui nous contrôlent passe nécessairement par l’écriture et l’utilisation de logiciels libres. RMLL : Sur quels projets t’investis-tu le plus actuellement ? Quel rôle occupes-tu actuellement dans ces projets : développeur, animation de la communauté, team leader etc ? Lunar : Tor me prend l’essentiel de mon temps. Sous diverses formes : le support, la newsletter hebdomadaire, l’automatisation de certaines tâches quand c’est possible, la documentation, les conférences et parfois des bouts de code… Je reste actif dans Debian où je maintiens des paquets liés à Tor, ainsi que plusieurs paquets Ruby nécessaires à l’application web Coquelicot, que j’ai écrite pour pouvoir partager des fichiers simplement. Suivant l’exemple donné avec le Tor Browser, j’ai également démarré l’initiative visant à rendre la compilation de paquets Debian reproduisibles. L’idée sous-jacente est de pouvoir s’assurer que le binaire produit par la compilation correspond bien au bout de code de départ. C’est important pour la sécurité de tout l’écosystème car on audite bien plus facilement le source que le binaire. RMLL : Focus sur Tor : comment t’es-tu intéressé à ce projet ? Quelles ont été tes contributions ? Te concentres-tu sur la partie cliente, sur la partie infrastructure, touches-tu un peu à tout ? Lunar : Tor est un vaste écosystème. Au-delà des formations, ma première contribution a été en 2009 d’utiliser mes connaissance en Haskell pour mettre à jour TorDNSEL — le logiciel qui permet d’interroger la liste des nœuds de sortie — afin qu’il puisse fonctionner sous Debian Lenny. Depuis, j’essaye d’être actif dans la communauté là où ça paraît utile. Pour donner quelques exemples : L’année dernière, j’ai réalisé que le flux sur les listes de discussions était devenu trop important pour que les personnes les plus actives de la communautés puissent à la fois tout lire et continuer à contribuer. De là est née Tor Weekly News, une lettre d’information hebdomadaire qui informe de l’actualité de la communauté. Lorsqu’avec d’autres bénévoles, nous avons monté l’association Nos oignons en France dont le but est de faire tourner des nœuds de sortie Tor, j’ai passé du temps pour trouver une représentation graphique permettant de mieux visualiser la diversité du réseau en terme de pays, d’opérateurs et de réseaux. Cela afin de choisir au mieux les hébergeurs à démarcher. L’EFF avait réalisé une infographie très utile pour expliquer la relation entre Tor et HTTPS. Malheureusement, cette dernière n’était disponible qu’en anglais. Après avoir récupéré les sources, j’ai récemment pu utiliser des technologies libres afin de la rendre intégrable à d’autres documentations et traduisible. Elle est maintenant disponible en 24 langues, et s’affiche correctement pour les écritures de droite à gauche. RMLL : Les projets de sécurité open source ont connu des failles importantes récemment mettant en évidence le peu de développeurs impliqués dans le développement et la revue de code. D’autre part, des tentatives d’actions de la NSA en vue d’affaiblir la sécurité cryptographique ont été divulguées. Enfin, on a vu avec TrueCrypt que ces logiciels fonctionnent avec très peu de contributeurs qui peuvent lâcher prise et laisser le projet orphelin de ses développeurs. D’après toi, est ce que Tor peut courir de tels risques et si oui, comment Tor peut-il s’en protéger ? Lunar : Tor est un des rares projets libres où j’ai ressenti que le code était réellement audité par des personnes extérieures à l’équipe de développement. On a régulièrement des rapports de bugs pour nous signaler une structure de code un peu dangereuse, voir carrément un défaut dans l’implémentation. Quant au design, il est scruté par toutes les équipes de recherches qui s’intéressent aux questions d’anonymat. Tor est le réseau le mieux déployé, il est donc devenu un passage obligé dans le monde académique. Contrairement à TrueCrypt, Tor est un « vrai » logiciel libre avec une communauté de développement ouverte. Même si le nombre de personnes capables de comprendre tout l’écosystème est préoccupant comparé à la charge de travail, des patchs sont régulièrement proposés par des bénévoles. Une des difficultés pour le projet est le financement et plus généralement comment tenir face à la charge de travail qui augmente sans cesse. Pour l’instant, beaucoup de financements proviennent de sponsors. Ces derniers financent rarement la maintenance et travaillent toujours sur des durées limitées. Augmenter la part de dons réguliers venant de particuliers ou d’entreprises aiderait grandement à stabiliser le projet. RMLL : Dernière question sur Tor : on lit de manière récurrente des articles rapportant des chiffres franchement faux sur Tor ou mettant en avant uniquement des usages négatifs de Tor (malwares, botnets etc). Quelle est la position du projet sur ces attaques : on ignore, on communique, on travaille à minimiser les usages potentiellement négatifs etc ? Lunar : Les médias cherchent à vendre, et veulent donc du « sensationnel ». Cela a donné beaucoup d’articles bien trop vite rédigés. En même temps, cela a peut-être donné la chance à davantage de personnes de découvrir que Tor existait et de comment cela pouvait les aider à se protéger contre la surveillance — d’un conjoint violent, par exemple. Dans le cas de malwares ou de botnets, on travaille activement avec les personnes dont c’est la spécialité pour essayer d’en diminuer l’impact sur le réseau et sur les gens. On préfère voir les capacités du réseau utilisées par des personnes bien intentionnées. Quoiqu’il en soit, chaque fois que je lis un article ouvertement mensonger, je me rappelle de ces personnes qui nous ont témoigné que c’était sûrement grâce à Tor qu’elles étaient encore en vie. RMLL : Tu viens présenter "Défis passés et futurs pour Tor" dans le thème Sécurité cette année. Quelles sont tes attentes pour cette présentation et plus largement pour ces 15ièmes RMLL ? Lunar : « L’anonymat, c’est dur. » On le répète souvent car les problèmes soulevés par de tels réseaux sont souvent beaucoup plus complexes qu’il paraît au premier abord. Beaucoup de décisions sont en fait des compromis dont il est difficile d’évaluer les impacts. J’espère que la présentation permettra de familiariser davantage de personnes aux problèmes que nous avons rencontrés et qu’elle encouragera les plus curieuses à nous aider à résoudre les problèmes présents et futurs. RMLL : Merci beaucoup d’avoir répondu à cet interview, Lunar, et rendez vous pour ta conférence sur Tor aux RMLL 2014 (Mardi 8 Juillet 16:00). Interview réalisée par email en Juin 2014 par Christophe Brocas, co responsable du thème Sécurité des RMLL 2014.