Je me souviens très bien, la première fois que j’ai entendu parler de Phil Zimmermann… C’était à la fin des années 90 quand pour la première fois, j’ai installé PGP sur mon ordinateur en me disant « Trop cool, on peut chiffrer en 4096 bits, c’est dingue (en plus d’être interdit à l’époque) !« .

Philip R. Zimmermann est né en 1954 à Camden dans le New Jersey aux Etats-Unis et il est surtout connu de tous les techos que nous sommes pour avoir marqué l’histoire de l’informatique grâce à son invention : PGP (Pretty Good Privacy).

Téléchargé au début par quelques geeks, PGP est rapidement devenu le logiciel de chiffrement d’email le plus utilisé au monde. Imaginez-le en 1991, à 37 ans bien tassé, développant ce qu’il espérait devenir un outil pour aider les droits de l’homme… Notre utopiste l’a d’ailleurs rendu disponible gratuitement très rapidement, en le diffusant sur le net… Et c’était un truc de dingue ! On pouvait enfin sécuriser sérieusement nos communications électroniques grâce à ce tout petit outil de rien du tout. C’est cet événement qui a à tout jamais façonné la réputation de Zimmermann en tant que pionnier de la cryptographie moderne.

Un des aspects fascinants de PGP, c’était que ce logiciel fonctionnait déjà comme un système de chiffrement hybride. Plutôt que de choisir entre de la cryptographie symétrique (rapide mais nécessitant une distribution sécurisée des clés) et asymétrique (sécurisée mais lente), Zimmermann a opté pour une combinaison des deux, histoire d’avoir la vitesse ET l’efficacité. La première version de PGP incluait même un algorithme de chiffrement qu’il avait développé lui-même, baptisé Bass-O-matic.

Bah oui, parce qu’avant l’arrivée de PGP, envoyer un e-mail c’était comme envoyer une carte postale. Tout le monde pouvait lire ce que vous écriviez. Mais avec cet outil, les informations envoyées sont devenues tellement indéchiffrables que même les services secrets ne pouvaient plus rien y faire. Et c’est là que Zimmermann a marqué des points dans mon cœur, en offrant à monsieur et madame tout-le-monde la possibilité de protéger ses échanges personnels de manière facile et surtout ultra sécurisée.

Toutefois, cette brillante invention a rapidement attiré l’attention des autorités. L’histoire se corse en 1993, lorsque le gouvernement américain, qui voyait déjà d’un mauvais œil la prolifération d’outils de chiffrement, a mené une enquête criminelle à l’encontre de Phil pour violation de la loi sur le contrôle des exportations. Car oui, selon les autorités, faire circuler PGP sur le net, c’était comme faire passer des armes à l’étranger. Cette enquête, déclenchée par un rapport de RSA Security concernant un différend de licence sur l’utilisation de l’algorithme RSA dans PGP, a duré trois ans. Finalement, elle a été abandonnée en 1996, après que le code source de PGP ait été publié par le MIT Press.

Zimmermann, en bon résistant, a utilisé cette publication comme une manière de contourner les restrictions d’exportation de code numérique. Il a confié plus tard qu’il était confus sur la façon dont USENET gérait les limitations géographiques, pensant à tort qu’un tag « US only » empêcherait réellement la diffusion mondiale. Mais sa démarche était claire : PGP devait appartenir au monde entier.

Après cet épisode tumultueux, il a ensuite fondé PGP Inc. en 1996, sa société destinée à commercialiser sa technologie de chiffrement. Puis, les rachats de boîtes se sont succédé comme dans une partie de Monopoly: PGP Inc. a été rachetée par Network Associates en 1997, avant d’être acquise par PGP Corporation en 2002, pour finalement atterrir chez Symantec en 2010. Et bien sûr, Phil est toujours resté à bord de sa coquille de noix en tant que conseiller et consultant, veillant sur PGP comme un gardien du temple.

Puis il a créé Zfone en 2006, un projet visant à sécuriser les communications VoIP. Grâce au protocole ZRTP, Zfone était capable de sécuriser les appels vocaux en créant une clé cryptographique unique pour chaque conversation.

Néanmoins, entre les licences logicielles et les attentes de la communauté, ce projet a connu quelques déboires. Ensuite, en 2012, avec ses amis Mike Janke et Jon Callas, il co-fonde Silent Circle, une entreprise spécialisée dans la sécurisation des communications mobiles. Leurs services de messagerie, d’appels et d’emails chiffrés sont alors utilisés par tout le monde, des journalistes en zones de conflit aux agences gouvernementales.

Avec Silent Circle, Zimmermann a alors une nouvelle fois transformé l’art de la communication sécurisée en quelque chose d’accessible à tous et de fluide peu importe le réseau… On est bien loin des soucis de configuration complexe de PGP qu’on pouvait rencontré au début. Suite à l’affaire Lavabit en 2013, où le FBI a exigé l’accès aux e-mails d’Edward Snowden, Silent Circle a pris peur et a déplacé ses serveurs en Suisse car ils sont moins susceptibles d’y rencontrer des pressions juridiques qu’aux États-Unis, comme l’a expliqué à l’époque Phil.

Puis en 2013, il a rejoint le mouvement Dark Mail Alliance avec Ladar Levison de Lavabit, pour créer un nouveau protocole qui dépasse les limitations de PGP en sécurisant non seulement les emails, mais aussi les métadonnées. Il s’est également impliqué dans le réseau social Okuna, aujourd’hui disparu, qui était une alternative éthique et respectueuse de la vie privée aux réseaux sociaux existants comme Facebook ou Twitter.

Alors comme l’a déclaré Zimmermann il y a fort longtemps : « La cryptographie forte fait plus de bien que de mal à la démocratie, même si elle peut servir aux terroristes.« 

Ce postulat est pour lui autant un angle de défense face à tous ceux qui privilégient leur sécurité à leur liberté (enfin surtout celle des autres), qu’une vision claire de son engagement. Il a d’ailleurs toujours insisté sur l’importance de la vie privée à l’ère du numérique.

Les contributions de Zimmermann à la cryptographie lui ont valu de nombreuses récompenses : du Chrysler Design Award en 1995 aux distinctions les plus prestigieuses comme son entrée au Temple de la renommée de l’Internet en 2012. Y’a beaucoup trop de distinctions pour que je vous les tartine toutes ici mais croyez moi sur parole, il en a eu une flopée et a même été dans des TOP 50 de personnalités les plus influentes.

En plus de ses réalisations techniques, Zimmermann a aussi joué un rôle éducatif et politique important. Entre 2016 et 2021, il a travaillé à l’Université de Technologie de Delft en tant que professeur dans la section cybersécurité de la Faculté de génie électrique, de mathématiques et d’informatique. Il a également été impliqué dans plusieurs conseils consultatifs, notamment pour le département d’ingénierie informatique de l’Université de Santa Clara et pour Hush Communications. Il a même contribué au développement du protocole d’accord de clé cryptographique pour la norme Wireless USB, ce qui démontre une fois encore l’étendue de ses compétences et de son influence dans le domaine de la sécurité.

Il a également participé à des discussions politiques et scientifiques sur la communication sécurisée et la sécurité nationale aux Etats-Unis et en tant que membre de l’Association Internationale de Recherche en Cryptologie et de la Ligue pour la Liberté de Programmer, il a continuellement défendu les droits des individus à une communication privée et sécurisée.

Aujourd’hui, sa plus grande inquiétude n’est pas les portes dérobées dans les logiciels, mais les pétaoctets d’informations stockées par des entreprises comme Google et Facebook. Il met également en garde contre les poursuites judiciaires facilitées par la technologie et craint qu’une infrastructure de surveillance aux mains d’un gouvernement malveillant ne puisse être utilisée pour créer un régime immuable. Il plaide également pour le rétablissement d’une certaine « friction » dans le travail policier, afin d’éviter de glisser trop facilement vers un état policier.

Pour conclure, Phil Zimmermann reste un pionnier inébranlable dans le domaine de la cryptographie. Il a inspiré des générations de développeurs et d’activistes à poursuivre leur quête d’un Internet libre et sécurisé. Donc un grand merci à lui pour avoir fait de notre Internet un monde plus sûr pour notre vie privée !

Sources :

• https://en.wikipedia.org/wiki/Phil_Zimmermann
• https://philzimmermann.com/FR/background/index.html
• https://philzimmermann.com/EN/findpgp/index.html
• https://philzimmermann.com/EN/testimony/index.html
• https://cyberlaw.stanford.edu/about/people/phil-zimmermann
• https://www.internethalloffame.org/official-biography-philip-zimmermann/
• http://vadeker.net/humanite/geopolitique/pgp1.html
• https://www.theguardian.com/technology/2015/may/25/philip-zimmermann-king-encryption-reveals-fears-privacy
• https://hiddenheroes.netguru.com/philip-zimmermann

Vous êtes un étudiant en informatique, tout frais, tout nouveau, et on vous balance des exercices de programmation à faire. Panique à bord !

Mais attendez, c’est quoi ce truc là-bas ?

Ah bah oui, c’est ChatGPT, votre nouveau meilleur pote ! Il est capable de résoudre vos exos en deux temps trois mouvements, grâce à des techniques de traitement du langage naturel (NLP) et d’analyse de langage de programmation, mais attention, c’est pas si simple.

Des chercheurs ont voulu creuser la question et voir comment ces générateurs de code IA influencent vraiment l’apprentissage des étudiants et pour cela, ils ont réalisé 2 études. Dans la première, ils ont pris 69 étudiants, des novices complets en Python et les ont séparés en deux groupes : Ceux qui utiliseront l’IA et ceux qui coderont à l’ancienne sans IA.

Durant 7 sessions, ils leur ont donné des exos à faire. Les Jedis boostés à l’IA avaient accès à un générateur de code basé sur Codex, un modèle d’apprentissage automatique qui utilise le NLP et l’analyse de langage de programmation pour générer du code à partir des entrées des utilisateurs. Les autres, eux, devaient se débrouiller.

Résultat des courses ?

Les dev augmenté à l’IA ont cartonné ! Ils ont fini 91% des tâches contre 79% pour les autres. En plus, leur code était beaucoup plus correct. Toutefois, sur les tâches où il fallait modifier du code existant, les deux groupes étaient au coude à coude. Ensuite, ils ont fait passer des tests de connaissance aux étudiants, sans l’IA. Et là, surprise ! Les deux groupes ont eu des scores similaires. Mais quand ils ont refait les tests une semaine plus tard, les étudiants du goupe boosté à l’IA ont mieux retenu ce qu’ils avaient appris.

Dans la deuxième étude, les chercheurs ont analysé comment les étudiants utilisaient vraiment le générateur de code. Et là, révélations ! Certains en abusaient grave, genre copier-coller direct la consigne sans réfléchir. Pas cool ! 😅 Mais d’autres étaient plus malins et s’en servaient pour décomposer le problème en sous-tâches ou vérifier leur propre code.

Alors, que faut-il en retenir ?

Et bien que l’IA peut être un super outil pour apprendre à coder, mais à condition savoir l’utiliser intelligemment. C’est pourquoi les concepteurs d’outils et les profs doivent encourager une utilisation responsable et auto-régulée de ces générateurs de code. Sinon, c’est le drame assuré !

Pour ma part, vous le savez, le développement, c’est pas mon truc. Mais depuis que l’IA a débarqué dans ma vie, « sky is the limit » et ça m’aide énormément. Et comme ces étudiants, si je pose mon cerveau que je passe en mode copié-collé IA, à la fin, je vais avoir du caca. Mais si je comprends ce que je veux faire, si je maitrise mon code plus comme un chef de projet bien technique et bien c’est redoutablement efficace. Et ce qui est encore plus cool, c’est que j’apprends plein de trucs. On dit souvent qu’il faut forger pour devenir forgeron. Et bien là c’est le cas, car je ne m’encombre plus des problématiques de syntaxe, et je construis brique par brique mes outils en comprenant tout ce que je fais. Donc l’IA pour développer, oui !! Mais en laissant le cerveau allumé.

En tout cas, une chose est sûre, c’est en train de révolutionner l’apprentissage du code. Ça promet pour le futur mais faudra veiller à ce que les étudiants apprennent vraiment à faire les choses et ne deviennent pas des zombies du copier-coller (on avait déjà le souci avec StackOverflow, cela dit…).

Source