Nitrokey est peut-être la réponse européenne la plus sérieuse à la domination américaine sur le marché des clés de sécurité physiques. Et pourtant, l'entreprise reste largement méconnue en France. Clés USB chiffrées, smartphones dé-googlisés, ordinateurs portables durcis : la PME berlinoise construit depuis dix ans un écosystème de souveraineté numérique fondé entièrement sur l'open source.
Dans un contexte où la dépendance aux technologies américaines n'a jamais été aussi débattue, Nitrokey fait figure d'exception européenne : une PME allemande, entièrement autofinancée, qui fabrique des clés USB de sécurité, des smartphones dé-googlisés et des ordinateurs portables durcis, en s'appuyant exclusivement sur de l'open source. Là où ses concurrents misent sur des firmwares propriétaires et des ecosystèmes fermés, Jan Suhr, son fondateur et PDG, a fait de la transparence un argument commercial à part entière. Les révélations Snowden, le règlement Chat Control, la montée en puissance de GrapheneOS : autant de sujets sur lesquels il ne mâche pas ses mots. Rencontre avec l'un des rares acteurs de la cybersécurité qui assume pleinement de ne pas vouloir ressembler à Proton.
Nitrokey reste relativement méconnue du grand public, notamment en France. Comment décririez-vous l'entreprise en quelques mots, et quelle est sa mission principale ?
Jan Surh : Fondée en 2015, Nitrokey est le premier fabricant mondial de matériel de sécurité open source. Notre mission est de sécuriser la vie numérique des particuliers et des organisations. Pour y parvenir, nous développons du matériel de sécurité informatique dédié au chiffrement des données, à la gestion des clés et à l'authentification des utilisateurs, ainsi que des équipements réseau sécurisés, des PC, des ordinateurs portables et des smartphones. Ces appareils permettent à nos clients de garder la main sur leurs données, sans avoir à les confier aux clouds des grandes entreprises technologiques.
Vous êtes une entreprise allemande de taille relativement modeste face aux géants de la cybersécurité. En quoi votre petite structure est-elle un avantage plutôt qu'un handicap dans ce secteur ?
J.S : L'essentiel, c'est de pouvoir poursuivre notre mission sur le long terme. En tant qu'organisation entièrement autofinancée, nous sommes indépendants d'investisseurs dont les objectifs financiers à court terme pourraient entrer en conflit avec notre mission. Notre taille modérée implique des besoins en capitaux plus faibles, ce qui nous garantit cette indépendance.
Votre catalogue est assez hétérogène. On y trouve des clés USB sécurisées, ordinateurs portables durcis, smartphones dé-googlisés, NAS, mais aussi outils de visioconférence… Comment choisissez-vous vos marchés ?
J.S : Nous nous concentrons sur les composantes centrales de la vie numérique actuelle, qui nécessitent généralement ce type d'équipements. Nos utilisateurs attachent de l'importance à la confidentialité et à la sécurité, ils sont donc susceptibles de s'intéresser à plusieurs segments de produits. Par exemple, quelqu'un qui utilise une Nitrokey pour une authentification sans mot de passe sera peut-être aussi intéressé par un smartphone sécurisé.
Le NitroPhone et le NitroPad ciblent clairement des utilisateurs ayant des exigences élevées en matière de confidentialité. Ces produits sont-ils conçus avant tout pour des profils techniques, ou cherchez-vous à les rendre accessibles à un public plus large ?
J.S : La facilité d'utilisation est un facteur clé pour rendre nos produits accessibles à tous. Certains pourraient toutefois encore être améliorés. Le NitroPhone est un excellent exemple de combinaison réussie entre haute sécurité et simplicité d'utilisation. Il peut vraiment s'utiliser sans expertise technique. Le NitroPad, lui, est disponible avec différentes options de firmware et de système d'exploitation, chacune adaptée à un profil particulier.
Nitrokey repose sur du matériel et des logiciels open source. Concrètement, qu'est-ce que cela change pour vos clients par rapport à une solution propriétaire. Et comment financez-vous ce modèle ?
J.S : Nous sommes fermement convaincus que la sécurité exige de la transparence, et que l'open source en est la condition. Les révélations Snowden et d'autres incidents ont prouvé que c'est la seule façon de mettre une sécurité totale entre les mains des utilisateurs. En théorie, n'importe qui peut vérifier l'implémentation. En pratique, cela garantit l'absence de portes dérobées et autres logiciels malveillants. C'est aussi le seul moyen de s'affranchir de la dépendance aux grandes entreprises technologiques.
Votre clientèle est-elle majoritairement composée de particuliers soucieux de leur vie privée, ou les entreprises et organisations représentent-elles désormais l'essentiel de vos revenus ?
J.S : C'est à peu près moitié-moitié.
Quels types d'entreprises ou d'organisations font appel à Nitrokey ? Avez-vous des secteurs de prédilection (administrations publiques, cabinets d'avocats, journalistes, ONG) ?
J.S : Notre clientèle est extrêmement diverse : particuliers, entreprises de tous secteurs, ONG et gouvernements répartis dans 150 pays.
En Europe comme aux États-Unis, des voix s'élèvent régulièrement pour affaiblir le chiffrement de bout en bout au nom de la sécurité nationale. Quel est votre point de vue sur ces tentatives, et quel impact concret auraient-elles sur vos produits ?
J.S : Nous pensons que le chiffrement de bout en bout est indispensable à la sécurité de l'information moderne et ne doit en aucun cas être compromis. Je ne pense pas que cela ait un quelconque impact sur nos produits. Nous serions toujours en mesure de fournir des équipements permettant aux utilisateurs de contrôler leurs données et leur chiffrement.
Le règlement européen « Chat Control » a suscité une vive opposition au sein de la communauté de la cybersécurité. Nitrokey a-t-elle pris position officiellement, et comment anticipez-vous l'évolution de ce cadre réglementaire ?
J.S : Nous partageons l'opposition de la majorité de la communauté cybersécurité à ce dispositif. Je n'ai pas de visibilité particulière sur son devenir, mais sa mise en œuvre me semble complexe. J'espère donc qu'il ne sera pas appliqué, ou du moins pas dans sa version intégrale.
YubiKey est souvent la première référence citée en matière de clés de sécurité physiques. Comment Nitrokey se différencie-t-elle concrètement, au-delà de l'argument open source ?
J.S : Nos clés de sécurité USB Nitrokey offrent les mêmes fonctionnalités que celles de nos concurrents, voire davantage. Par exemple, les Nitrokeys intègrent un gestionnaire de mots de passe, et nous proposons un modèle avec stockage de masse chiffré, ce qu'aucun concurrent n'offre. Les Nitrokeys sont développées et fabriquées en Allemagne, ce qui garantit une forte souveraineté. Beaucoup nous choisissent aussi parce que nous proposons des mises à jour de firmware pour corriger des bugs et ajouter de nouvelles fonctionnalités, alors que nos concurrents exigent d'acheter un nouvel appareil pour résoudre des problèmes de sécurité. C'est peut-être un bon modèle commercial pour eux, mais ce n'est pas notre conception de l'équité.
YubiKey est une marque américaine, Nitrokey est européenne. Dans un contexte de tensions géopolitiques et de défiance croissante envers les produits américains, cela devient-il un argument commercial à part entière ?
J.S : Oui. Nous constatons que de plus en plus de personnes et d'organisations en Europe, mais aussi sur d'autres continents, prennent conscience de la dépendance problématique vis-à-vis des technologies américaines.
Le NitroPhone est livré avec GrapheneOS, développé par une communauté indépendante. Quelle est la nature exacte de votre relation avec ce projet — partenariat, simple intégration, contribution financière ?
J.S : Nous soutenons financièrement le projet GrapheneOS dans le cadre d'un partenariat informel.
GrapheneOS n'est compatible qu'avec du matériel Google Pixel, ce qui crée une dépendance envers une entreprise que vous cherchez par ailleurs à contourner. N'est-ce pas une contradiction au cœur de votre démarche ?
J.S : Si, mais en pratique, c'est la meilleure solution disponible aujourd'hui. Les appareils Pixel offrent les meilleures fonctionnalités de sécurité et acceptent des logiciels non Google.
Nitrokey propose déjà un écosystème de services assez large : NitroChat (Matrix), Nitrokey Meet (Jitsi), NextBox (Nextcloud). Envisagez-vous de devenir un fournisseur de souveraineté numérique tout-en-un, et jusqu'où comptez-vous aller face à des acteurs comme Proton ou Tuta ?
J.S : Nous n'avons pas l'ambition de devenir un fournisseur de services comme Proton ou Tutanota. Nous resterons un fabricant de matériel, et nous envisageons éventuellement d'élargir notre catalogue à d'autres produits hardware et services associés.
Si vous deviez identifier le prochain grand défi de Nitrokey dans les trois années à venir (technologique, commercial ou réglementaire) lequel serait-il ?
J.S : Le plus grand défi sera l'inconnu. Cela pourrait être une nouvelle pandémie, un conflit, une pénurie de semi-conducteurs, ou tout autre type de bouleversement susceptible d'affecter notre activité.
💬 À la rencontre de la tech
Au-delà des actualités et des tests, nous avons discuté avec les leaders de la Silicon Valley et les startups en pleine croissance à travers le monde pour mieux comprendre leurs enjeux, leurs visions et leurs valeurs. Découvrez comment ces acteurs clés façonnent l’avenir des technologies.
