Temps de lecture 6 min
« Le magazine américain New Yorker a annoncé la création d’une boîte informatique sécurisée nommée Strongbox, destinée à recevoir des informations en protégeant l’anonymat des sources » pouvait-on lire récemment sur le site des Écrans, qui ajoute : « La technologie utilisée a été développée par le jeune militant d’Internet et hacker Aaron Swartz, qui était poursuivi par la justice pour avoir pénétré une base de données universitaires et s’est suicidé en janvier ».
Nous avons voulu en savoir plus en traduisant l’article ci-dessous. Difficile de se départir d’une certaine émotion quand on sait ce qu’il lui est arrivé par la suite…
Strongbox et Aaron Swartz
Kevin Poulsen – 15 mai 2013 – The New Yorker
(Traduction : anneau2fer, Penguin, Sky, lgodard, Rudloff, Asta, Jere, KoS + anonymes)
Aaron Swartz n’était pas encore une légende lorsque, il y a presque deux ans, je lui ai demandé de développer une boîte aux lettres anonyme et open source. Ses réussites étaient réelles et variées, mais les événements qui allaient le faire connaître du grand public faisaient encore partie de son futur : sa mise en cause dans une affaire criminelle au niveau fédéral ; son essor en tant que leader du mouvement contre la liberticide Sopa ; son suicide dans un appartement de Brooklyn. Je le connaissais comme programmeur et comme activiste, un membre de la tribu relativement restreinte de gens qui savent transformer des idées en code — un autre mot pour « action » — et qui ont la sensibilité nécessaire pour comprendre instantanément ce que je cherchais : un moyen sûr pour les journalistes de communiquer avec leurs sources.
Il existe une fracture technologique grandissante : les écoutes de téléphones et d’emails, le piratage d’ordinateurs, sont des armes pour quiconque cherche à identifier les sources d’un journaliste. À quelques exceptions, la presse a peu fait pour se protéger : nos efforts en matière de sécurité de l’information tendent à se concentrer sur la partie des infrastructures qui accepte les cartes de crédit.
Aaron était au fait de ce genre de problème. Je l’avais d’abord rencontré en 2006, lorsqu’avec deux autres codeurs, il avait vendu le site d’info communautaire Reddit à Condé Nast, la maison mère de Wired, où je travaille, et du New Yorker. Tous trois se sont retrouvés dans une salle de conférence improvisée près du siège de Wired à San Francisco. Aaron se distinguait de ses collègues — il était angoissé, silencieux, et a expliqué dans un billet de blog à quel point il n’aimait pas travailler là.
Un lundi, il a quitté le bureau pour passer la journée au tribunal tout proche, où une audience avait lieu dans l’affaire Kahle contre Gonzales, une bataille constitutionnelle autour du copyright menée par le professeur de droit Lawrence Lessig. Lorsqu’il est revenu, il m’a demandé, un peu timidement, s’il pouvait écrire quelque chose sur le sujet dans Wired. Le billet de blog de 700 mots qui en résultât était bien écrit et énonçait clairement le sujet. Je me suis posé des questions sur ce jeune patron de start-up qui mettait son énergie dans le débat sur le copyright. Ça, et sa co-création d’un projet d’anonymisation appelé Tor2Web, était ce que j’avais en tête lorsque je l’ai approché pour mon projet de boîte aux lettres sécurisée. Il a accepté de le faire, tout en sachant que le code serait open source — la licence autorisant n’importe qui à l’utiliser librement — lorsque le système serait lancé.
Il se mit à coder immédiatement, pendant que je cherchais les serveurs et la bande passante nécessaires chez Condé Nast. Les normes de sécurité imposaient que le système soit sous le contrôle physique de la société, mais avec sa propre infrastructure isolée. Des autorisations ont du être demandées. Les cadres avaient des questions. Les juristes avaient encore plus de questions.
En octobre 2011, Aaron est venu dans les bureaux de Wired et nous avons travaillé sur quelques détails. Durant les années qui ont suivi, le mutisme tranquille d’Aaron s’est mué en confiance provisoire, sa morosité remplacée par un sourire désarmant et une douce générosité. Avant qu’il ne parte, je suis allé avec lui dans les nouveaux locaux, bien plus grands, de Reddit, qui se trouvaient à côté. Il entra, regarda autour de lui, et ressortit sans que personne ne l’ait reconnu.
Entre-temps, Aaron avait été inculpé pour le téléchargement de 4 millions d’articles de JSTOR, une base de données académique, depuis le réseau public du MIT. Cette affaire a dû lui peser. Mais il n’en parlait pas.
Il vivait a New York à cette époque, mes contacts avec lui étaient donc essentiellement électroniques. Le système, que nous appelions DeadDrop, était, pour nous deux, un projet secondaire, et Aaron en avait beaucoup de prioritaires. J’ai appris son protocole : quand il avait le temps de programmer, je pouvais le joindre par téléphone ou sur Skype. Nous avions de long échanges à propos de sécurité et de fonctionnalités ; Aaron rejetait ceux dont il pensait qu’ils compliqueraient trop le système — clés de chiffrement individuelles pour chaque reporter, par exemple.
À New York, un expert en sécurité informatique nommé James Dolan convainquit un trio de collègues de son industrie de rencontrer Aaron pour examiner l’architecture, et plus tard, le code. Nous voulions être raisonnablement assurés que le système ne serait pas compromis, et que les sources pourraient déposer des document de manière anonyme, afin que même l’organe de presse qui les recevrait ne serait pas capable de dire au gouvernement d’où ils venaient. James a écrit un guide de sécurité pas à pas très détaillé pour les organisations qui implémentent le code. « Il va un peu trop loin », disait Aaron dans un email, « mais ce n’est peut-être pas une mauvaise chose ».
En décembre 2012, le code d’Aaron était stable, et une date approximative de lancement avait été définie. Puis, le 11 janvier, il se suicida. Dans les jours qui suivirent, il était difficile de penser à autre chose que la perte et la douleur de sa mort. Un lancement, comme beaucoup d’autres choses, était secondaire. Son suicide a également fait apparaître de nouvelles questions : à qui appartient le code désormais ? (Réponse : ses dernières volontés indiquaient qu’il voulait que toutes ses propriétés intellectuelles reviennent à Sean Palmer, qui donna sa bénédiction au projet). Est-ce que ses amis proches et sa famille approuveraient de poursuivre le lancement ? (Son ami et exécuteur testamentaire, Alec Resnick, a signalé que c’était le cas). Le New Yorker, qui a un long passé de travail d’enquête sérieux, apparut comme le premier foyer pour le système. La version du New Yorker s’appelle Strongbox et a été mise en ligne ce matin.
Neuf jours après la mort d’Aaron, son avatar Skype si familier, est apparu sur mon écran. Quelqu’un, quelque part, probablement un membre de sa famille, avait démarré son ordinateur. J’ai dû combattre l’envie irrationnelle de cliquer sur l’icône et reprendre notre conversation. Puis il a disparu à nouveau de mon écran.
Rudloff
Argh, la ligne 20 n’a pas été relue !
François
Mettre un lien vers le code source, ça aurait été bien aussi pour les intéressés :
http://deaddrop.github.io/
Merci pour avoir relayé l’info.
techbate
what happened was sad, Aaron was undoubtedly one of the best hackers and regrettably his work towards making internet more secure was never highlighted only the one went bad haunted him till his last breath, hope to see strong box come alive soon.