GnuPG devient économiquement viable et n’a plus besoin de dons

Sommaire

Note : Ceci est la suite du lien posté il y a quelques jours, GnuPG n’a plus besoin de vos dons.

L’annonce

À la mi-décembre, le projet GnuPG a publié la dernière version de sa branche de développement, GnuPG 2.3.4. S’il n’y a pas grand’chose de neuf à signaler dans cette version précise (on pourra se rapporter à cette dépêche de l’année dernière pour les principales nouveautés de la branche 2.3), sa publication était accompagnée d’un message pour le moins inattendu, surtout pour quiconque se souvient des difficultés financières qu’a connu le projet il y a quelques années : les développeurs ont annoncé qu’ils étaient finalement en mesure d’assurer le financement du projet et n’avaient plus besoin de dons de la part des utilisateurs.

Et comme pour bien signifier qu’il ne s’agissait pas de paroles en l’air, ils ont aussi annoncé avoir unilatéralement annulé tous les dons récurrents mis en place via Stripe ou PayPal, et demandé aux donateurs utilisant des virements bancaires d’annuler les ordres de virement. Tous les donateurs étant invités à soutenir à la place d’autres projets libres.

Comme on peut l’imaginer, cette annonce a fait l’effet d’une bombe parmi les utilisateurs de GnuPG¹. Et les spéculations d’aller bon train² sur ce qui a pu changer au cours des derniers mois pour permettre au projet d’atteindre la viabilité économique, les quelques mots sur l’ancienne page des dons n’apportant guère d’explications.

Finalement, le 2 janvier 2022 Werner Koch, développeur principal de GnuPG et fondateur de g10Code GmbH (la société derrière GnuPG) s’est fendu d’un billet de blog expliquant la nouvelle situation du projet.

Certification de GnuPG pour le chiffrement de données classifiées outre-Rhin

Une première étape a été franchie en 2019, lorsque GnuPG a été certifié par le BSI³ (Bundesamt für Sicherheit in der Informationstechnik, office fédéral pour la sécurité des technologies de l’information, l’équivalent allemand de l’ANSSI) pour le chiffrement de données classifiées au niveau Vs-NfD (Verschlusssache-Nur für Dienstgebrauch, équivalent au niveau français Diffusion restreinte et au niveau OTAN Restricted).

Détail important, si le BSI a certifié un variant particulier de GnuPG (sous le nom Gpg4VS-NfD), tous les changements apportés à GnuPG pour le rendre certifiable sont disponibles dans la version publique, libre, de GnuPG. En fait, la version certifiée Gpg4VS-NfD n’est rien d’autre que la version standard de GnuPG telle qu’on peut la trouver sur gnupg.org, qui est simplement pré-configurée pour être par défaut conforme aux exigences du BSI (option --compliance de-vs).

Une fois la certification obtenue, les développeurs ont entrepris de « faire de Gpg4VS-NfD un véritable produit [commercial] » (et non plus un simple build seulement destiné à être présenté aux évaluateurs du BSI), renommé pour l’occasion en GnuPG VS-Desktop et vendu via le site gnupg.com.

Comme le Gpg4VS-NfD dont il est dérivé, GnuPG VS-Desktop est construit depuis exactement le même code source que celui diffusé sur gnupg.org sous licence Gnu GPL. Il n’est pas question ici d’un modèle open core ou assimilé, où la version payante GnuPG VS-Desktop fournirait des fonctionnalités qui feraient défaut à la version « communautaire » GnuPG.

Le modèle économique derrière GnuPG VS-Desktop (ou la réponse à la question « pourquoi diable des gens voudraient-ils payer pour un logiciel librement et gratuitement disponible par ailleurs ?) repose, de manière somme toute assez prévisible dans le monde du libre, sur la vente de contrats de support et de développements sur-mesure.

La certification du BSI est aussi un avantage non-négligeable de GnuPG VS-Desktop par rapport à GnuPG, du moins pour certains clients allemands. Et justement, c’est là qu’intervient le petit coup de pouce du destin qui assure aujourd’hui à GnuPG sa viabilité économique.

La fin de Chiasmus

Depuis des années, le logiciel utilisé en Allemagne pour le chiffrement au niveau VS-NfD était Chiasmus, produit et distribué par le BSI (pas sous licence libre ; son utilisation n’était autorisée que si elle était « dans l’intérêt de la République fédérale d’Allemagne »). Il utilise un algorithme de chiffrement maison, appelé lui aussi CHIASMUS, jamais publiquement documenté par le BSI mais dont les détails ont été obtenus par rétro-ingénierie.

Or dernièrement, il est apparu que le BSI n’avait plus vraiment confiance dans son propre logiciel. Sa certification VS-NfD n’est valable que jusqu’au 30 juin 2022, et ne sera pas renouvelée. Il n’est déjà plus possible d’en demander une copie auprès du BSI.

Le retrait de Chiasmus signifie que tous ses utilisateurs (tous ceux qui manipulent des données au niveau VS-NfD) doivent maintenant chercher une alternative. Et ils n’ont le choix qu’entre deux options, deux logiciels ayant la certification VS-NfD : GreenShield de CryptoVision (propriétaire), et… GnuPG VS-Desktop de g10Code (libre).

Or, les utilisateurs de Chiasmus, ce sont non seulement la quasi-totalité des institutions et agences gouvernementales allemandes, mais aussi toutes les sociétés privées et acteurs libéraux qui doivent interagir avec ces institutions et agences. Même si une partie d’entre eux choisiront sans doute la solution propriétaire de CryptoVision, les commerciaux de g10Code estiment aujourd’hui qu’environ 250 000 lieux de travail utiliseront GnuPG VS-Desktop.

Voilà donc d’où provient la manne financière qui assure aujourd’hui à GnuPG sa pérennité. Un modèle économique somme toute classique pour du logiciel libre, mais facilité par le besoin impérieux de certains utilisateurs institutionnels (ou des utilisateurs en relation avec des utilisateurs institutionnels) pour un logiciel certifié.

Ou pas, en vrai. Le tweet du compte @GnuPG annonçant la fin du recours aux dons semble avoir eu un impact pour le moins limité (15 retweets et 64 likes, alors que le compte a 20.5K followers). L’annonce n’a suscité aucune réaction sur les listes de discussion du projet. Et la seule mention sur DLFP est celle de votre serviteur, qui d’ailleurs n’écrit ce journal que pour tenter de donner raison à sa propre affirmation selon laquelle l’annonce a fait l’effet d’une bombe, alors que selon toute vraisemblance tout le monde s’en moque comme de sa première clef DSA. ↩
Rien que sur DLFP, au moins trois personnes ont été vues se livrer à des spéculations acharnées s’étalant sur cinq messages. Une bombe, je vous dis. ↩
Document semble-t-il disponible en allemand uniquement, du moins c’est tout ce que j’ai trouvé. De manière générale, toute cette histoire est très germano-germanique, et les lecteurs désireux d’en savoir encore plus auront tout intérêt à connaître la langue de Goethe. ↩

# Quelle bombe !

Posté par tisaac (Mastodon) le 03 janvier 2022 à 09:45. Évalué à 4.

Je n'ai que cela à dire ;-)

Surtout, ne pas tout prendre au sérieux !
- [^] # Re: Quelle bombe !
  
  Posté par antistress (site web personnel) le 03 janvier 2022 à 10:42. Évalué à 6.
  
  Arrêtez avec mot, Alexa va encore en faire un défi
- [^] # Re: Quelle bombe !
  
  Posté par Benoît Sibaud (site web personnel) le 03 janvier 2022 à 11:46. Évalué à 5.
  
  Une bombe crypto ou info ? Perso je suis plus bombe.
  
  Sinon pour revenir au sujet, le BSI a son GnuPG, l'ANSSI son Keepass, etc., peut-être un jour une labellisation européenne en sécurité (autre que les certifications cloud j'entends) ?
  - [^] # Re: Quelle bombe !
    
    Posté par gouttegd (site web personnel) le 03 janvier 2022 à 14:09. Évalué à 8.
    
    Sinon pour revenir au sujet, le BSI a son GnuPG, l'ANSSI son Keepass
    
    À ce sujet, il faut noter ce qui semble être une différence assez importante entr le fonctionnement de l’ANSSI et celui du BSI en matière de certification.
    
    L’ANSSI ne certifie manifestement un logiciel que dans une version précise au patch level près, comme on peut le voir dans la liste des produits certifiés. Même pour les logiciels pour lesquels aucune version n’apparaît dans la liste (par exemple OpenVPN ou OLVID), le rapport de certification correspondant mentionne toujours une version précise (exemple avec OpenVPN). Toute version ultérieure, même mineure, doit nécessiter une nouvelle certification, parce que rien n’indique que la certification soit valable pour autre chose que la version expressément indiquée.
    
    C’est ainsi par exemple que seule la version 1.4.10b de GnuPG a jamais été certifiée.
    
    Le BSI, de son côté, s’il certifie aussi des versions précises, ne semble pas avoir de problèmes à également certifier des branches plutôt que des versions. C’est ainsi que c’est toute la branche 3.x de Gpg4Win (sous le nom GnuPG VS-Desktop, mais dans les faits c’est pareil) qui a été certifié. Cela recouvre les branches stables courantes de GnuPG (2.2.x) et de libgcrypt (1.8.x).
    
    C’est une différence importante, parce que cela signifie que les développeurs peuvent continuer à corriger d’éventuels bugs dans les branches stables sans avoir à faire re-certifier le tout. Seul le passage à une nouvelle branche invalide la certification (par exemple, une version de GnuPG 2.2 compilée avec libgcrypt 1.9.4 n’est pas conforme, parce que la branche de développement 1.9.x de libgcrypt n’a pas été certifiée).
    
    On peut discuter des avantages et inconvénients des deux approches, mais à première vue l’approche allemande me paraît plus réaliste.
- [^] # Re: Quelle bombe !
  
  Posté par Gil Cot ✔ (site web personnel, Mastodon) le 03 janvier 2022 à 23:49. Évalué à 2.
  
  Mystère bombe astique :-)
  
  “It is seldom that liberty of any kind is lost all at once.” ― David Hume
# Merci GPG !

Posté par chimrod (site web personnel) le 03 janvier 2022 à 11:49. Évalué à 8.
En fait, GPG fait partie des applications qui "fonctionnent tout simplement" et qui finissent par s’oublier :
- je n’utilise pas GPG directement, mais mes mots de passes sont chiffrés avec GPG
- je n’utilise pas GPG, mais mes sauvegardes sont réalisées avec duplicity, qui utilise GPG
J’aime déléguer la partie chiffrement à GPG, et je privilégie des applications qui font la séparation dans les deux opérations. Du coup, je n’utilise jamais GPG, et il est présent dans mon quotidien !
- [^] # Re: Merci GPG !
  
  Posté par aiolos le 04 janvier 2022 à 10:46. Évalué à 5.
  
  Si tu utilises apt ou dnf, et sans doute d'autres gestionnaires de paquets, tu vérifies aussi assez régulièrement des signatures de anière transparente…
# VS-NfD (ou : ne pas poster de journal à une heure du matin)

Posté par gouttegd (site web personnel) le 03 janvier 2022 à 12:07. Évalué à 5.

Je me suis semble-t-il emmêlé les pinceaux sur l’acronyme indiquant le niveau de confidentialité allemand, l’écrivant tantôt VS-NfD et tantôt NS-VfD.

La forme correcte est bien VS-NfD, pour Verschlusssache-Nur für Dienstgebrauch (« classifié – pour usage officiel uniquement »). À l’occasion si quelqu’un peut corriger ça… merci.
- [^] # Re: VS-NfD (ou : ne pas poster de journal à une heure du matin)
  
  Posté par Benoît Sibaud (site web personnel) le 03 janvier 2022 à 13:35. Évalué à 4.
  
  Corrigé, merci.

Suivre le flux des commentaires

Note : les commentaires appartiennent à celles et ceux qui les ont postés. Nous n’en sommes pas responsables.