David Mirza Ahmad, président de Subgraph, lancera Subgraph OS, un système d’exploitation diminuant l’exposition de ses utilisateurs à la surveillance, d’ici la fin de l’été. [Photo : Julien Brault]

David Mirza Ahmad, président de la firme de consultation en sécurité Subgraph, était bouleversé dans la foulée des révélations d’Edward Snowden. Il était si bouleversé qu’il a jonglé avec l’idée de cesser d’utiliser Internet. Il a toutefois décidé de continuer à utiliser le Web à petite dose et de mettre au point Subgraph OS, un système d’exploitation diminuant l’exposition de ses utilisateurs à la surveillance.

«J’ai toujours été quelque peu paranoïaque, mais après Snowden, je voulais quitter Internet, évoque David Mirza Ahmad. J’avais le sentiment d’être impuissant à protéger ma vie privée. […] Quand vous tapez ce que vous pensez dans un moteur de recherche, c’est toute votre conscience que vous exposez.» Aussi, c’est d’abord pour son propre usage que le consultant en sécurité a conçu avec son équipe un nouveau système d’exploitation ouvert basé sur Linux, qui devrait être lancé d’ici la fin de l’été.

« Quand vous tapez ce que vous pensez dans un moteur de recherche, c’est toute votre conscience que vous exposez. »

Le système d’exploitation se démarque de Linux sur plusieurs points. D’abord, chaque fois qu’un logiciel qui y est installé se connecte à Internet, il le fait par l’entremise du logiciel Tor, qui a la propriété d’anonymiser le trafic qui y transige. Sans surprise, le navigateur par défaut de Subgraph OS sera également celui de Tor.

Le système d’exploitation cryptera toutes les données sauvegardées et il sera possible de conserver les clefs de cryptage sur une carte de sécurité. Il faudra ainsi disposer de cette carte, et d’un petit lecteur de la taille d’une clef USB, pour accéder à ses données. «Même si un pirate prend le contrôle de votre ordinateur, il ne pourra pas accéder à vos données», explique David Mirza Ahmad.

Pour ce spécialiste de la sécurité, aucun système n’est complètement hermétique aux attaques, si bien que Subgraph OS a justement été conçu de manière à minimiser les impacts d’une attaque ayant du succès. Aussi, le système d’exploitation compartimente le disque dur et restreint les privilèges des logiciels au strict minimum. De cette manière, même si un cheval de Troie était installé, par exemple, il ne pourrait probablement pas trouver d’information sensible, ni même la transmettre via Internet.

Tandis que David Mirza Ahmad me faisait une démonstration de Subgraph OS sur son ordinateur portable, j’ai remarqué que sa caméra était obturée par du ruban adhésif. Il a expliqué que même s’il avait confiance dans son système d’exploitation, les agences de surveillance peuvent aussi espionner en installant des composantes-espionnes dans les ordinateurs.

«Je ne pense pas que la NSA nous surveille – peut-être que c’est le cas –, mais nous pensons que tout le monde devrait pouvoir utiliser un ordinateur sans s’inquiéter de voir leur vie privée être violée», m’a ensuite expliqué l’entrepreneur.

Une autre caractéristique de Subgraph OS, et non la moindre, est qu’il sera livré avec un logiciel de courriel ultra-sécuritaire baptisé Subgraph Mail. Ce dernier permettra d’envoyer des courriels cryptés à d’autres utilisateurs du même logiciel, mais aussi, d’envoyer des courriels non cryptés à n’importe qui.

Le logiciel se démarquera des logiciels concurrents dans la mesure où les clefs de cryptage seront échangées de manière sécuritaire par l’entremise de Nyms, un service de distribution de clefs décentralisé, qui opérera comme un service caché de Tor.

Outre le cryptage, l’avantage d’utiliser un tel logiciel est qu’il sera ouvert, et qu’il pourra ainsi être examiné par la communauté de chercheurs en sécurité: «Si vous utilisez Outlook, vous devez avoir confiance en Microsoft, parce que vous ne pouvez pas examiner leur code», explique David Mirza Ahmad.

Subgraph OS sera gratuit, mais l’entreprise envisage de monétiser le système d’exploitation en vendant des licences aux entreprises et aux gouvernements, comme le fait Red Hat avec Linux.

Selon l'entrepreneur, de nombreux gouvernements, comme le Brésil, sont à la recherche de solutions de rechange aux logiciels proposés par les entreprises américaines, même si ces dernières nient fournir de l’information en gros à la NSA : «Certains gouvernements et organisations ne veulent pas prendre le risque qu’il y ait potentiellement une back door dans leurs logiciels», explique le consultant en sécurité.