Il s’est passé quelque chose d’assez extraordinaire ces derniers jours pour GnuPG, alors j’aimerais en parler pour que tout le monde soit au courant.lien n°1 : Journal à l’origine de la dépêchelien n°2 : La page de dons officiel

Sommaire

HistoriqueL’origine L’enquête Les évolutions jusqu’à la gloire Les événements récentsLa Core Infrastructure Initiative La suite

Historique

L’origine

C’est en 1991 que Philip Zimmerman (rien à voir avec le français Jérémie) écrit PGP, un logiciel permettant de chiffrer et déchiffrer les conversations entre personnes. À ma connaissance (et Wikipedia ne m’aide pas là-dessus) il n’existait pas de logiciel disponible au grand public permettant de le faire ; il s’agissait donc d’une petite révolution, d’autant plus que le logiciel était gratuit, donc utilisable par tout le monde sans restriction.

L’enquête

Cela lui a d’ailleurs valu une enquête en 1993 par le gouvernement américain, parce que la "force" du chiffrement (128 bits minimum) était supérieure à la "force" maximale autorisée (40 bits à l’époque), enquête qui s’achève en 1996 sans suite (lire l’anecdote croustillante sur la technique utilisée par Philip pour contourner cette loi…)

Les évolutions jusqu’à la gloire

Après l’enquête, Philip a monté une boîte pour continuer le développement de PGP. Problème, certains algorithmes (RSA, par exemple) étaient couverts par des brevets, il y avait donc un risque de se faire attaquer en utilisant le logiciel… Philip a donc, avec sa boîte, proposé une spécification ouverte du fonctionnement de PGP sans aucun algorithme couvert par ces brevets, aboutissant à OpenPGP (je référence volontairement la dernière version, pas la version originale), une RFC tout ce qu’il y a de plus standard pour rester dans la transparence. Quelque temps après Stallman a fait une conférence en Allemagne, dans laquelle il a appelé tout le monde à créer une implémentation libre de ce protocole… ce qu’a fait un certain Werner Koch, présent dans l’assistance ce jour-là. C’est ainsi que GnuPG est né.

Les événements récents

GnuPG aura donc 18 ans cette année, et il aura vécu une vie assez tourmentée. Werner a lutté, plus ou moins seul, année après année pour maintenir un logiciel (qui est devenu un ensemble de logiciel) fonctionnel, gratuit, libre, le tout en vivant de dons et de contrats temporaires. Pas la joie. Il s’est même un jour posé la question d’arrêter, puis Snowden est arrivé avec ses révélations lui donnant le courage de continuer, et même de lancer une campagne de financement… qui lui rapportera au final même pas de quoi continuer pendant une année ( 18 000 euros).

Son histoire et ses déboires sont racontés dans un article de propublica au titre quelque peu provocateur mais efficace : on y apprend que Werner a porté ce projet à bout de bras depuis le début et que le manque d’argent n’avait pas réussi à ébranler sa motivation, jusqu’à récemment.

Article publié le 5 février avec la discussion Hacker News associée dans la même journée. À ce moment-là le compteur de dons de GnuPG en est à même pas 40 000 euros, alors que la page explique qu’il faut au moins 120 000 euros pour payer les deux développeurs à temps plein nécessaire pour le bon fonctionnement de GnuPG. Mais grâce au passage sur HN, on assiste à quelque chose qui fait chaud au coeur : la barre se remplit en même pas une journée. la Core Infrastructure Initiative décide de donner 60 000 dollars à GnuPG (note : le contrat était signé avant l’article, mais divulgué seulement après) Facebook et Stripe décident chacun de verser 50 000 dollars chaque année à GnuPG

La Core Infrastructure Initiative

Petit aparté : cette Initiative a été montée suite à Heartbleed par quelques grandes boîtes qui ont voulu payer pour assurer la survie de protocoles ultra-importants pour la sécurité : NTP, OpenSSH et OpenSSL. Il semble qu’ils ne considèrent pas GnuPG comme une brique importante de sécurité (privacy, peut-être, mais pas sécurité) ce qui l’empêche d’être inclus dans les bénéficiaires, mais heureusement pour tout le monde ils ont fait une exception temporaire ici.

La suite

Tout va bien dans le meilleur des mondes, donc : GnuPG est financé pour plus d’une année ! Mais est-ce que tout va vraiment bien ? Il aura fallu un nombre d’années de galère et un article évoquant presque la fin de GnuPG pour que les gens se bougent et donnent suffisamment (il y avait quand même eu une campagne de dons juste avant !). On se rappellera : les déboires d’OpenBSD, qui a menacé tout arrêter si quelqu’un ne payait pas l’électricité les appels annuels de Jimbo Wales pour donner à Wikipedia les francophones se souviendront certainement du patron de LQDN qui a annoncé tout arrêter faute d’argent.

Tout s’est bien fini à chaque fois, mais est-ce qu’il y a vraiment besoin de pousser une gueulante, au point de menacer de fermer si les gens ne paient pas ? N’y a-t-il pas un moyen suffisamment simple pour connecter ceux qui demandent et ceux qui sont prêts à donner ne serait-ce que 10 euros par an ? J’ai pas eu l’occasion de bien tester Flattr, mais ça m’a l’air d’être une bonne chose pour les gens qui ont la flemme de sortir leur CB pour donner une petite somme, ou pour les créateurs qui ne veulent pas passer la moitié du peu de temps qu’ils ont dans de l’administration de comptes et de paiements. Je sais pas s’il y a des alternatives (notamment je sais que les associations préfèrent des abonnements réguliers aux dons ponctuels, parce que ça leur permet de prévoir et de planifier), mais on dirait que c’est quelque chose qui manque.

En bref, encore un projet sauvé par la générosité des internautes, mais combien de temps ce système pourra-t-il tenir ? La page de don officielle La page flattr de g10code, la boîte de Werner qui s’occupe de GnuPG (remarquez qu’il n’y a même pas de bouton sur le site)

Note : Ce contenu est placé sous licence CC0Télécharger ce contenu au format Epub

Lire les commentaires