Solution Uhuru : La grande mystification

Dans un article paru dans le quotidien Ouest France, le 9 décembre dernier, Jérôme Notin annonçait la sortie d’Uhuru Mobile dans sa version gratuite pour le grand public.
Fébrile, je me précipitais sur le site pour enfin la télécharger et l’installer sur mon smartphone. Je rêvais à ce moment-là de communiquer en toute sécurité.

Par Alexandre Denjean

 

 

Conformémeent à la loi, Securiteoff publie à la fin de notre article un Droit de réponse de la société Nov’iT.

Nous publions également des précisions suite à ce Droit de réponse.

 

 

 

Arrivé sur un très beau site, je cliquais sur téléchargement. Hélas, je fus saisi d’effroi. Comment ? Uhuru mobile n’est pas disponible ? Pire, l’entreprise distribuant Uhuru semble fière de nous annoncer la vente flash de la plate-forme… Ah oui, mais attendez un peu, Uhuru n’a-t-il pas été développé sous une licence GPL ?
Mais reprenons l’article de Ouest France….

Jérôme Notin déclare que le projet DAVFI a été « développé avec les sociétés Teclib’, DCNS, Qosmos, l’opérateur Télécom Alphalink (…) ». Sans doute, Jérôme Notin a oublié qu’il y a deux ans, Alphalink quittait le consortium pour être remplacé par Teclib’. L’ESIEA de Laval, qui a participé dès le début à ce projet et qui a investi des compétences (via ses étudiants) et du temps, est juste cité à la fin. Pas un mot sur Éric Filiol qui a pourtant été le concepteur et le principal moteur de ce projet (né des recherches à l’ESAT, une entité militaire donc financée par le contribuable LIEN : http://www.securiteoff.com/fin-bilan-du-projet-davfi/). Il est important de souligner que ce projet a été financé par l’État et donc le contribuable pour 2 millions d’euros.
Il est donc plutôt curieux que l’État favorise un produit qui, non content de ne plus produire une version gratuite destinée à Windows, n’offre plus également la ROM aux utilisateurs. Personne ne semble s’en inquiéter outre mesure.
Plus inquiétant encore, selon une source proche de Qwant, Nov’IT conserve toutes les clefs de chiffrement de ses clients sur ses serveurs. Leur site indiquant : « Nov’It ne collecte et ne conserve aucune donnée de l’utilisateur. » Il semble donc que la politique de Nov’IT ait changé et que nous nous dirigeons doucement vers un produit d’espionnage des citoyens digne de la Stasi. Car si une entreprise dispose d’un tel pouvoir, rien ne l’empêche d’espionner ses clients. Or, si ce projet a vu le jour, c’est justement pour éviter cette dérive !

Mort de la version gratuite
Sans explications ni annonces, Jérôme Notin a supprimé de son site la ROM et enterré la version gratuite de Uhuru. Comment alors un produit sous licence libre peut-il être commercialisé ? Nul doute que les avocats du monde du logiciel libre ne vont pas tarder à s’intéresser à cette affaire.
Un autre point intéressant concerne le terme utilisé, en l’occurrence « open source ». Uhuru Mobile ne l’est pas du tout ! Pour qu’un logiciel soit considéré comme étant « open source », il faut que les utilisateurs puissent participer à son élaboration dès le début. Dans le cas présent, il est clair que l’acception de ces termes n’a pas la même signification pour tout le monde…
Pourtant, Uhuru semblait être un beau projet. Il faut en effet l’évoquer au passé. En l’état, cela ressemble de plus en plus à une opération de marketing vouée à l’échec. Un des plus beaux projets informatiques de ces dernières années risque de finir aux oubliettes comme le fut le défunt Firewall d’Edenwall Technologies. D’ailleurs, Jérôme Notin faisait partie à l’époque des cadres de cette entreprise. D’où l’envie de connaître plus précisément son parcours.

Qui est donc Jérôme Notin ?
Sur Internet, nous découvrons sans peine qu’il se présente comme étant diplômé d’un DTA MACAO. Après une recherche un peu poussée, car il n’est pas évident de savoir à quoi correspond ce diplôme, la traduction de l’acronyme indique qu’il s’agit d’un diplôme de technologie appliquée de marketing et d’action commerciale. Ce diplôme enseigné à l’IUT de Tours n’est plus disponible, il m’a donc été impossible de vérifier si oui ou non Jérôme Notin dispose bien de ce DTA MACAO…
Quoi qu’il en soit, Jérôme Notin rejoint Edenwall Technologies en 2004 en tant que membre fondateur (obtenant donc des parts sociales) en compagnie de Vincent Defontaine et Éric Leblond. Il est nommé Directeur des Opérations. En 2010, suite à une gestion désastreuse d’Edenwall Technologies, les actionnaires changent de direction et toute l’ancienne équipe est remplacée. Jérôme Notin est licencié en 2010. Une des explications de ce changement concerne principalement l’évolution du chiffre d’affaires de la société qui était de 6,94 % en 2008 et qui plonge brutalement à -12,81 % en 2009 soit une baisse de 19,75 %.
Le 6 avril 2011, Jérôme Notin fonde Nov’IT qui sera l’éditeur de l’antivirus français DAVFI en compagnie de Alexandre Nicaise et Alain Duvivier. Les relations qu’ils entretiennent sont particulièrement intéressantes pour plusieurs raisons, car Alexandre Nicaise et Alain Duvivier ont six sociétés en commun :
– Dimension Telecom
– Alphalink (toujours active selon societe.com)
– Groupe Alphalink
– SCI du Val Saint-Martin
– Telco Immobilier
– Init Sys

 

Éric Leblond est R&D Engineer chez Alphalink, il est donc fortement probable qu’une mise en relation entre Mr Notin, Mr Nicaise et Mr Duvivier soit du fait de Mr Leblond. La preuve, Jérôme Notin est actuellement (depuis avril 2014) directeur chez Stamus, entreprise d’Éric Leblond…
Selon certaines rumeurs (non vérifiables), la chute d’Edenwall Technologies serait en partie due à un profond désaccord entre les fondateurs techniques qui voulaient se concentrer sur l’édition dès 2007 et Jérôme Notin qui voulait rendre plus rentable le firewall.
La tragédie d’Uhuru semble donc être la continuité de la désastreuse aventure de Edenwall Technologies. Jérôme Notin, fidèle à lui-même, profite des technologies nouvelles (et dans ce cas-là sous licence GPL) pour essayer sans succès de vendre un produit. Nous estimons que Nov’IT a trahi la communauté du Libre et tous ceux qui ont participé au lancement de ce projet.
Je préfère donc me tourner vers des produits américains qui, au moins, ont le mérite d’être clairs sur leurs objectifs commerciaux. De plus, j’en ai assez d’attendre une hypothétique sortie prochaine d’Uhuru Mobile. Peut-on espérer une sortie en 2017 ?
Comme je l’ai souligné précédemment, ce produit est à bannir si vous souhaitez conserver vos données confidentielles.

 

 

DROIT DE RÉPONSE DE NOV’IT
Suite à la publication de l’article « Les antivirus Uhuru : la grande mystification » du 6 janvier 2015 sur le site internet à l’adresse suivante
http://www.securiteoff.com/les-antivirus-uhuru-la-grande-mystification/,
la société Nov’IT souhaite apporter les réponses suivantes, point par point, en reprenant les passages contestés de l’article.

« Dans un article paru dans le quotidien Ouest France, le 9 décembre dernier, Jérôme Notin annonçait la sortie d’Uhuru Mobile dans sa version gratuite pour le grand public ».

Ceci est inexact. Nous vous invitons à relire l’article paru dans Ouest France, il est écrit « Les produits sont commercialisés sous la marque Uhuru, en version gratuite grand public (uhuru antimalware) et en version mobile payante (Uhuru mobile). ».

« Uhuru n’a t il pas été développé sous une licence GPL ? ».

Nov’IT n’a jamais indiqué que Uhuru serait sous licence GPL. Il convient d’insister sur le fait que nous avons toujours précisé qu’une partie seulement du logiciel serait sous licence libre.

« Il est donc plutôt curieux que l’État favorise un produit qui, non content de ne plus produire une version gratuite destinée à Windows (…)». Comme indiqué dans l’article paru dans Ouest France, que votre auteur cite pourtant en référence, Nov’IT confirme qu’une version gratuite pour MS-Windows sera disponible.

« Plus inquiétant encore, selon une source proche de Qwant, Nov’IT conserve toutes les clés de chiffrement de ses clients sur ses serveurs. Leur site indiquant : « Nov’IT ne collecte et ne conserve aucune donnée de l’utilisateur ». Il semble donc que la politique de Nov’IT ait changé et que nous nous dirigeons doucement vers un produit d’espionnage des citoyens digne de la Stasi ».

Sans polémiquer sur les termes employés, nous vous rassurons sur le fait que Nov’IT ne collecte et ne conserve aucune données des utilisateurs. Nov’IT crée des certificats pour permettre à certains de ses clients de s’authentifier et donc de se connecter à un serveur VPN qu’elle gère, afin d’établir des communications en voix chiffrées. Ces certificats, une fois fournis au client, sont détruits par Nov’IT. De plus, dans ce tunnel VPN, les communications vocales sont chiffrées de bout en bout en utilisant les protocoles et SIPS et SRTP.
Nous tenons à rappeler que la protection des données personnelles de nos clients est le socle fondateur de notre projet et de la création même de Nov’IT.

« Mort de la version gratuite ».

Une fois de plus, comme l’indique l’article paru dans Ouest France, Nov’IT s’est engagée à proposer une version gratuite de la partie antimalware pour les particuliers. Nov’IT met un point d’honneur à respecter ses engagements et celui-ci sera tenu. Il s’agit de bien insister sur le point suivant : il n’a jamais été prévu de version gratuite de la version Mobile. Et ce, même si Nov’IT a proposé, à titre de démonstrateur, une ROM en 2014.

« Sans explication ni annonce, Jérôme Notin a supprimé de son site la ROM et enterré la version gratuite de Uhuru ».

Encore une fois, il n’a jamais été prévu de fournir une version gratuite d’Uhuru Mobile. En revanche, nous vous rassurons sur le fait que la version gratuite de la partie
antimalware est toujours prévue (comme indiqué dans l’article de presse paru dans Ouest France). Par ailleurs, il nous paraît important de faire preuve de précision
envers les lecteurs potentiels de cet article. Monsieur Notin ne modifie pas le site Internet de la société Nov’IT au gré de ses envies. Il ne s’agit donc pas de « son » site mais bien de celui de la société qu’il préside, Nov’IT, grâce à l’expertise et la grande motivation des collaborateurs qui la compose.

« Un autre point intéressant concerne le terme utilisé, en l’occurrence « open source ». Uhuru Mobile ne l’est pas du tout ! ».

Contrairement à ce qui a pu être rapporté dans la presse, Nov’IT n’a jamais indiqué qu’Uhuru Mobile serait « open source ».

« Sur Internet, nous découvrons sans peine qu’il [Monsieur Notin] se présente comme étant diplômé d’un DTA MACAO. Après une recherche un peu poussée, car il n’est pas évident de savoir à quoi correspond ce diplôme, la traduction de l’acronyme indique qu’il s’agit d’un diplôme de technologie appliquée de marketing et action commerciale. Ce diplôme
enseigné à l’IUT de Tours n’est plus disponible, il m’a donc été impossible de vérifier si oui ou non Jérôme Notin dispose bien de ce DTA MACAO … ».

Pour la parfaite information du public, nous vous confirmons que Monsieur Notin est bien diplômé du DTA MACAO (promotion 1993).

« Quoi qu’il en soit Jérôme Notin rejoint Edenwall Technologies en 2004 en tant que membre fondateur (obtenant donc des parts sociales) en compagnie de Vincent Deffontaines et Éric Leblond. ».

Toujours dans un souci de parfaite information du public, Monsieur Notin a rejoint Edenwall Technologies en 2005 et non en 2004. Par ailleurs, il n’en était pas membre fondateur. Enfin, ses parts sociales n’ont été obtenues qu’en 2009 avant d’être diluées après la première levée de fonds (2009). Nous doutons cependant de l’intérêt de telles informations dans la compréhension et l’évaluation de nos produits.

« (…) Jérôme Notin est actuellement (depuis avril 2014) directeur chez Stamus Networks, entreprise d’Éric Leblond … ».

Monsieur Notin n’est pas « directeur chez Stamus Networks ».

« La tragédie d’Uhuru semble donc être la continuité de la désastreuse aventure de Edenwall Technologie. ».

Lorsque la société Edenwall Technologies a fermé ses portes, Monsieur Notin ne faisait plus partie des effectifs depuis plusieurs mois. Nous nous interrogeons sur la qualification de « tragédie » en l’absence de toute donnée financière communiquée.

« De plus j’en ai assez d’attendre une hypothétique sortie prochaine d’Uhuru Mobile. Peut-on espérer une sortie en 2017 ? ».

Nous tenons à vous rassurer sur le fait qu’Uhuru Mobile est déjà disponible et, par exemple, commercialisé depuis octobre 2014 par l’UGAP qui est la centrale d’achat public.

Jérôme Notin
Président
Nov’IT

 

 

LA RÉPONSE DE SECURITEOFF
Suite au droit de réponse de Nov’it, la rédaction de SecuriteOff souhaite apporter des précisions.

Nov’IT n’a jamais indiqué que Uhuru serait sous licence GPL. Il convient d’insister sur le fait que nous avons toujours précisé qu’une partie seulement du logiciel serait sous licence libre.
Contrairement à ce qui a pu être rapporté dans la presse, Nov’IT n’a jamais indiqué qu’Uhuru Mobile serait « open source ».

Monsieur Notin oublie qu’il a parlé de « code ouvert » pour DAVFI. Dans un communiqué de l’ESIEA publié en 2012 et dont le contenu est accessible ici (http://www.esiea.fr/recherche/projets/projets-cns), il est indiqué : « DAVFI, premier antivirus open source made in France ».
Sur cette même page, nous pouvons lire cette citation de M.Notin : « Le fait qu’il s’agisse d’un antivirus libre est un tout d’abord un gage de qualité, car les éventuels bugs seront corrigés plus rapidement par la communauté de développeurs ». Le chef de file du consortium précise également : « les clients pourront auditer le produit et savoir exactement ce qu’il fait. Les antivirus actuels ne sont pas transparents. Ils transmettent dans la plus grande opacité des informations à leur éditeur, ce qui pose tout de même quelques problèmes. Le code ouvert de Davfi est un gage de confiance. »
Par ailleurs, dans l’Expansion (et l’AFP) de 2012, monsieur Notin indique que « la confiance que l’on pourra lui accorder en tant qu’outil de sécurité sera notamment garantie par l’ouverture du code. Un fondamental pour ce type de solution est en effet de pouvoir valider que son comportement réel est bien le comportement attendu ».
(http://lexpansion.lexpress.fr/high-tech/un-antivirus-francais-pour-contrer-les-americains-en-2014_1361051.html)

Nov’IT confirme qu’une version gratuite pour MS-Windows sera disponible.

Certes, SecuriteOff veut bien le croire. Mais en mai 2014, monsieur Notin a déclaré : « la version pour Windows et Linux (…) devrait sortir le 1er octobre 2014. » À ce jour, nous n’avons pas vu de version définitive pour la version Windows.
(http://www.globalsecuritymag.fr/Jerome-Notin-President-de-Nov-IT,20140501,44716.html)

Concernant les clés de chiffrement, monsieur Notin reste très vague et n’a pas répondu précisément à nos questions techniques (que nous lui avons envoyées par email le 12 et 15 février) à propos des clefs de chiffrement utilisées pour le VPN et pour la VoIP chiffrée.
Or l’analyse d’un téléphone que nous avons eu entre les mains (en novembre 2014, numéro VoIP 2002 dans l’annuaire Nov’It) montre :
– la présence d’un client VPN (openVPN), mais il est impossible pour l’utilisateur de changer ni sa clef ni son mot de passe (d’ailleurs, aucun n’est jamais demandé, la connexion étant automatique)
– la présence d’un client CSimple pour la VoIP chiffrée. Là encore il est impossible ni de changer la clef ni le mot de passe (aucun n’est jamais demandé)
Quelles conclusions peut-on en tirer ?
Soit, chaque téléphone possède en dur des clefs, soit ces clefs sont obligatoirement sur le serveur Nov’It, voire les deux. Dans le premier cas, la négociation des clefs passe par l’utilisation d’une clef privée spécifique à chaque utilisateur. Seul Nov’It peut installer ces clefs (lors de l’installation de UhuruMobile sur chaque téléphone) et elles ne peuvent pas être changées.  Malheureusement, aucune ROM n’est disponible sur le site de Nov’It pour faire des vérifications…
Il est impossible de lever le doute sur ces interrogations légitimes. Rien ne permet de garantir que Nov’IT ne conserve pas les clefs créées et mises au départ par cette société ou qu’elles ne sont pas stockées sur leur serveur. Une assurance aurait été que l’utilisateur puisse changer à tout moment ses paramètres secrets, s’ils existent sur le téléphone, ou que le protocole permette une réelle négociation des clefs et la communication point-à-point, ce qui n’est pas le cas puisque passant par le serveur Nov’IT.

SecuriteOff a tenté de contacter Monsieur Filiol, concepteur du projet DAVFI, pour avoir des explications. Il n’a pas souhaité nous répondre. Il a juste tenu à rappeler que la version Android a été livrée en octobre 2013 sans les applications OpenVpn et VoIP chiffrée. L’industrialisation de DAVFI Androïd (qui inclut l’ajout des fonctionnalités de VPN, VoIP chiffrée…) a été réalisée par Nov’IT. Les récentes déclarations de Monsieur Notin plusieurs fois dans la presse semblent confirmer les propos de Monsieur Filiol.

Monsieur Notin n’est pas « directeur chez Stamus Networks ». C’est exact. Il est conseillé en stratégie.