Le chiffrement des données : l’indispensable garantie des libertés et de la sécurité [Note #4]
A nos lecteurs.
La présente contribution prolonge le débat ouvert par la note n°2 (« Projet de loi Collomb : l’injustifiable agonie de nos droits »), publiée le 22 septembre dernier par L’Hétairie.
En effet, dans la quatrième partie de cette note, les auteurs préconisaient d’engager une réflexion sur les questions de déchiffrement, plaidant en faveur de la capacité d’accès des autorités judiciaires à des données mises au clair par les opérateurs eux-mêmes, en application d’obligations légales qu’il convient de rénover. Ils y défendaient toutefois l’idée selon laquelle le chiffrement participe de la protection de la vie privée des citoyens et ne doit pas être affaibli.
Cette optique, comme tout choix stratégique, s’avère clivante, ainsi que François Viète* le défend dans la note qui suit. Celle-ci doit donc être lue comme une « opinion dissidente », à l’image de ce que pratique une partie des cours constitutionnelles au moment de publier une décision.
En effet, le respect des opinions dissidentes participe tant du processus de maturation de la décision que des principes élémentaires de la réflexion.
L’Hétairie souhaite promouvoir un débat d’idées libre et étayé, sans autre contrainte que celle de l’indispensable technicité des arguments.
Car, toute décision politique procède d’un choix entre des options présentant des éléments techniques à charge et à décharge.
Or, derrière cette technicité, se manifestent d’irréductibles clivages qu’il est vain de nier.
La décision politique découle donc d’une prise de position philosophique – techniquement étayée – par rapport à ces clivages.
Et L’Hétairie souhaite participer de cette démarche programmatique.
Dans le cas présent, cette note et sa devancière s’opposent sur la capacité de régulation juridique d’internet. Faut-il tenir compte du rapport de force technique et économique ou lui opposer un volontarisme juridique qui se situe, nécessairement sur une ligne de crête ? Les pays doivent-ils chercher à contraindre des entreprises internationales ou prendre acte des évolutions techniques qu’elles promeuvent ? Deux visions irréductibles s’affrontent donc, les auteurs de la première note maintenant leurs positions.
Mais autant que faire se pourra, nous encouragerons ceux de nos contributeurs ou lecteurs qui souhaiteront faire valoir des arguments opposés à les publier, pour que vive le débat d’idées à/de gauche.
Floran Vadillo
Président de L’Hétairie
La loi du 21 juin 2004 pour la confiance dans l’économie numérique dispose, en son article 30 : « l’utilisation des moyens de cryptologie est libre ». Elle s’inscrit en cela dans la continuité de la libéralisation des moyens de chiffrement en France depuis la fin des années 1990.
Or, la question du chiffrement est redevenue d’actualité à l’occasion des nombreux débats liés aux lois relatives aux questions de sécurité, de renseignement et de lutte contre le terrorisme votées ces dernières années. Pour certains, le chiffrement pourrait constituer un frein à la lutte contre la criminalité ou le terrorisme. Pour d’autres, le compromis est impossible à trouver sans créer un danger pour les libertés individuelles, la sécurité des données stratégiques des entreprises, des administrations, ou celle de l’infrastructure informatique du pays.
Il convient donc de mieux poser les termes de cette controverse politique en examinant dans le détail les aspects techniques du chiffrement et, en particulier, les méthodes disponibles pour déchiffrer un message sans pour autant disposer de la clé de chiffrement.
Le chiffrement : comment ça marche ?
Aux origines du chiffrement
Dans son principe même, le chiffrement permet d’échanger des messages sans qu’ils puissent être ni lus par des tiers, ni modifiés lors de leur transmission, mais aussi dans le but que le destinataire soit certain de l’identité de l’expéditeur. Son développement est donc concomitant de celui des communications, quel que soit leur support (épistolaire ou informatique).
Si les techniques ont évolué depuis l’Antiquité, les principes restent les mêmes : l’expéditeur et le destinataire doivent convenir d’une méthode de chiffrement, en général associée à une « clé » qui rend la seule connaissance de la méthode insuffisante pour déchiffrer un message. A titre d’exemple, dans le code de César[1] Suétone, dans Vita Divi Julii, rapporte en effet que César chiffrait sa correspondance privée : A devenait D, et ainsi de suite., les lettres sont décalées (la méthode de chiffrement, l’algorithme) d’un certain nombre de positions dans l’alphabet (trois en l’occurrence, soit la clé).
Il est donc possible de déchiffrer un message en essayant toutes les clés possibles (la méthode dite de la force brute). Pour le code de César, 26 décalages sont possibles ; si l’un des 26 messages obtenus est intelligible, il s’agit très probablement du texte en clair et la clé aura été trouvée.
Une analyse de l’algorithme permet cependant d’en découvrir facilement une faiblesse qui limitera le nombre de possibilités à explorer : si une lettre est très fréquente dans le texte en clair (par exemple le « e » en français), alors sa contrepartie chiffrée sera elle aussi très fréquente dans le texte chiffré et, pour des textes assez longs, une seule tentative suffira. Pour un texte plus court, ou pour certains écrits de Georges Perec, il faudra une seconde tentative, supposant que le « s » est la lettre la plus fréquente.
De manière plus contemporaine, le centenaire de la naissance d’Alan Turing et le film Imitation Game ont été l’occasion de réexaminer la conception de la machine de chiffrement allemande Enigma, et le cassage du code par les équipes de Bletchley Park[2] Principal site anglais de décryptage des messages allemands pendant la Seconde Guerre mondiale..
L’Enigma utilisait une méthode plus complexe de chiffrement : elle transposait les caractères, tout en changeant le décalage à chaque fois, grâce à un système de rotors qui tournaient à chaque caractère tapé. Ce procédé rendait par exemple inutilisables les analyses de fréquences de caractères. En outre, la configuration de la machine (la clé) était changée chaque jour.
Une première version – civile – de l’Enigma disposait d’environ 106 clés possibles. La version militaire utilisée pendant la Seconde Guerre mondiale bénéficiait d’un dispositif supplémentaire portant le nombre de combinaisons à environ 1017, c’est-à-dire une complexité similaire au chiffrement DES sur 56 bits[3] Le chiffrement DES, utilisé à partir des années 1970, recourt à des clés codées sur 56 bits, ce qui produit 256 combinaisons possibles, soit le même ordre de grandeur.. Si cette complexité est à la portée des ordinateurs modernes (DES n’est d’ailleurs plus considéré comme robuste), à l’époque, il était impossible d’explorer toutes les combinaisons.
Cependant, l’analyse du mécanisme de la machine, la découverte de diverses faiblesses à la fois dans sa conception et dans les habitudes des opérateurs, ainsi que l’existence de fragments de messages en clair attendus (noms propres, informations météorologiques…)[4] K. GAJ & A. ORLOWSKI, « Facts and myths of Enigma: breaking stereotypes », in Advances in Cryptology — Eurocrypt 2003, Heidelberg, Springer, p. 106., ont permis la conception de machines électromécaniques capables de retrouver la clé du jour en quelques heures. Le déchiffrement des messages d’Enigma a donc associé :
- une analyse de l’algorithme pour rechercher des faiblesses et réduire ainsi l’espace de clés à explorer (la cryptologie est une science complexe qui utilise les mathématiques, les statistiques, l’algorithmique, la connaissance de la langue du message…)
- à de la puissance brute de calcul pour explorer cet espace.
On procède toujours ainsi actuellement. Par ailleurs, ces techniques classiques de chiffrement imposent que la clé soit transmise au préalable entre expéditeur et destinataire. Dans le cas d’Enigma, des cahiers contenant la clé utilisée chaque jour étaient imprimés et diffusés au sein de l’armée allemande. Sur internet, cet échange préalable pose un problème qui a été résolu par l’invention de méthodes de chiffrement asymétriques.
Les évolutions contemporaines : chiffrement symétrique et asymétrique
Les méthodes modernes de chiffrement sont de deux types :
• Les méthodes symétriques fonctionnent sur les mêmes principes que les méthodes historiques : une clé unique sert au chiffrement et au déchiffrement. On trouve parmi elles AES, IDEA, Blowfish[5] Certaines méthodes sont déconseillées parce qu’elles recourent à des clés trop courtes (DES, clés de 56 bits) ou qu’elles présentent des vulnérabilités identifiées (RC4). Les méthodes … Continue reading… La nécessité d’avoir partagé de manière secrète une clé les rend inadaptées, à elles seules, à la sécurisation sur internet (messagerie, commerce électronique…), mais elles peuvent par exemple être utilisées pour chiffrer un disque dur.
• Les méthodes asymétriques permettent de se dispenser d’une clé commune au préalable. Elles reposent sur une paire de clés, l’une rendue publique et l’autre tenue secrète. Ce qui est chiffré par l’une des clés peut être déchiffré par l’autre, et il est très difficile de reconstituer une clé à partir de l’autre. On trouve dans cette catégorie le système d’échange de clés Diffie-Hellman, la cryptographie RSA, ElGamal et les algorithmes reposant sur les courbes elliptiques. En utilisant la clé publique du destinataire, ces méthodes permettent d’envoyer des messages chiffrés que seul celui-ci pourra lire. Associées à un algorithme de « hash »[6] Un algorithme de « hash » crée un résumé cryptographiquement fort d’un message. Il est conçu pour être à sens unique (il est impossible de reconstituer le message à partir du … Continue reading, les méthodes asymétriques permettent de signer des messages afin de les authentifier. Les clés sont très longues : 1024, ou plus généralement 2048 voire 4096 bits. Pour éviter que le chiffrement ne soit trop coûteux en calcul, une méthode symétrique est en général utilisée en renfort : on tire au hasard une clé, transmise via chiffrement asymétrique, puis le message est chiffré avec cette clé en utilisant un algorithme symétrique[7] À ceci s’ajoute ce qu’on appelle la confidentialité persistante (forward secrecy). Cette dernière garantit que la découverte de la clé privée ne permette pas de déchiffrer les … Continue reading.
En définitive, le détail technique de ces méthodes met en exergue le fait qu’elles présentent au moins quatre points faibles : l’algorithme de chiffrement symétrique ; l’algorithme asymétrique utilisé pour signer et échanger les clés ; l’algorithme de hash ; et le générateur aléatoire utilisé pour créer les clés temporaires.
Le chiffrement de bout en bout
La nature des réseaux modernes fait qu’un message transite en général par plusieurs intermédiaires (serveurs de courriel, opérateurs de messageries instantanées) avant d’arriver à sa destination. Deux possibilités existent donc pour protéger la communication :
• chiffrer seulement les échanges entre les clients et le serveur centralisé, tandis que les données seront stockées sur des serveurs en clair ou chiffrés avec une clé connue du prestataire ;
• ou chiffrer de bout en bout (end-to-end) : dans ce cas, le fournisseur n’a pas accès aux données, déchiffrables uniquement par le destinataire final. En revanche, il a en général la possibilité d’accéder aux métadonnées (par exemple X a envoyé un message à Y à tel moment).
Seul le chiffrement de bout en bout garantit qu’un piratage du prestataire, ou une écoute (légale ou frauduleuse) sur le réseau de ce prestataire, ne dévoilera pas le contenu des messages.
Comment casser le chiffrement ?
Les techniques de décryptage
Un tiers (service de renseignement, autorité judiciaire, pirate informatique, …) peut souhaiter déchiffrer un message qui a été intercepté. Six possibilités s’offrent alors à lui :
1) Obtenir la clé de chiffrement auprès de l’expéditeur ou du destinataire, ou encore d’un tiers en ayant connaissance. Si le chiffrement a été effectué dans le but de commettre un crime ou un délit, le code pénal punit le fait de refuser de déférer à une réquisition judiciaire qui réclame la clé[8] article 434-15-2 du code pénal.. Seul un tiers « ayant connaissance de la convention secrète de déchiffrement » est concerné ; de fait, dans le cas d’un chiffrement de bout en bout, un intermédiaire ne peut être poursuivi.
2) Utiliser la force brute pour déchiffrer le message, ou un mélange d’analyse cryptographique et de force brute (dans la lignée de Bletchley Park).
En France, le centre technique d’assistance (CTA) de la DGSI[9] Direction générale de la sécurité intérieure, l’un des principaux services de renseignement français peut fournir de tels moyens, comme prévu par l’article 230-1 du code de procédure pénale pour des peines encourues supérieures à deux ans. Le recours à des prestataires privés est également possible.
Côté américain, des informations ont récemment fuité sur un projet porté par le DoD[10] Département de la défense américain., IBM et NYU[11] New York University visant à développer un ordinateur spécialisé dans le déchiffrement (WindsorGreen), probablement mis en production vers 2014 et présentant 128 millions de cœurs[12] Peu de détails sont disponibles sur l’architecture de cette machine. On ne sait pas si ses cœurs sont généralistes ou spécialisés pour certaines tâches. Il est donc difficile d’en estimer … Continue reading. Mais en l’absence d’éventuels progrès – tenus secrets – sur des faiblesses des algorithmes classiques de chiffrement, ces machines ne peuvent déchiffrer des messages utilisant des clés longues (256 bits en symétrique, 4096 en asymétrique) : les chiffreurs ont toujours un coup d’avance car ils peuvent augmenter la taille des clés utilisées.
On pourrait s’interroger sur la pertinence de mettre en œuvre de tels moyens pour un objectif voué à l’échec. La combinaison de la force brute et de l’exploitation de failles (découvertes ou anticipées) permet cependant de décrypter ou d’envisager de décrypter des messages chiffrés avec des clés réduites ou affaiblies d’une manière ou d’une autre ; une agence comme la NSA se doit de poursuivre ces développements.
3) Changer de paradigme avec des ordinateurs quantiques[13] Un ordinateur quantique calcule non comme un ordinateur classique avec des bits pouvant valoir soit 0, soit 1, mais avec des « qubits » quantiques qui permettent de superposer plusieurs … Continue reading. RSA et ElGamal utilisent des produits de grands nombres premiers et des logarithmes discrets. Sur le papier, des algorithmes quantiques[14] Algorithme de Shor, inventé en 1995 : https://arxiv.org/abs/quant-ph/9508027. permettent de casser ces chiffrements de manière rapide : il ne resterait qu’à construire un ordinateur quantique pour les implémenter.
Il s’agit d’un domaine de recherche très actif qui bénéficie de progrès rapides. Le pays qui mettra au point un tel ordinateur aura accès à tout ce qui est chiffré avec ces méthodes : l’essentiel de la sécurisation d’internet sera alors compromis.
En parallèle se développe donc une « post-quantum cryptography ». Des cryptographes, suivis par le NIST[15] National Institute of Standards and Technology. et la NSA, ont appelé à anticiper la migration de la sécurisation d’internet vers des algorithmes résistant au décryptage quantique[16] Mise à jour de la NSA sur les algorithmes cryptographiques : https://web.archive.org/web/20150905185709/https://www.nsa.gov/ia/programs/suiteb_cryptography/ ; NIST report on post-quantum … Continue reading.
En effet, modifier la sécurisation d’internet est une opération complexe et longue, qu’il faut prévoir avant l’arrivée d’une telle technologie. En revanche, des organisations pourront très rapidement modifier leurs pratiques : là encore, les chiffreurs ont un coup d’avance.
4) Contraindre les opérateurs (fournisseurs de matériel ou de services, opérateurs de communications électroniques actuellement enregistrés comme tels ou non en France, par exemple Apple, Google, WhatsApp…) à disposer de clés de déchiffrement qu’ils pourraient remettre à l’autorité judiciaire sur demande, voire les contraindre à faciliter des interceptions judiciaires sur le flux qu’ils gèrent[17] Constant BERT, Guillaume FARDE, Tristan FOVEAU et Floran VADILLO, « Projet de loi Collomb : l’injustifiable agonie de nos droits », L’Hétairie, note n°2, 22 septembre 2017.. À nos yeux, il s’agit d’une suggestion à la fois illusoire et inefficace, voire dangereuse, pour de multiples raisons.
• Ces entreprises opèrent depuis des pays divers, aux législations variées : il serait très difficile de les contraindre à de telles dispositions depuis la France[18] On peut considérer, comme les auteurs de la note citée précédemment, que les entreprises concernées jouent sur un conflit de normes (droit local contre droit états-unien, droit européen, … Continue reading. En outre, bloquer leur activité en France est techniquement difficile, sauf à contrôler en profondeur le trafic internet aux frontières comme le font des pays comme la Chine, et interdire tout usage de VPN.
• Au demeurant, on voit des sociétés, comme Signal/OpenWhisper, se mettre en position de n’avoir aucune information utile à transmettre aux autorités[19]https://signal.org/bigbrother/eastern-virginia-grand-jury/ : l’enjeu est justement de ne pas posséder d’informations sur ses clients et de l’utiliser comme argument de vente.
• Il existe des outils (PGP/GPG par exemple pour les mails, ou Silence pour les SMS) qui chiffrent de bout en bout les échanges en utilisant des canaux standards. Dans ce cas, les opérateurs n’ont aucun contrôle ni sur le chiffrement, ni sur l’existence même d’un chiffrement[20]Google réfléchit à ces questions de longue date: dès 2014 un projet proposait un chiffrement de bout en bout sur Gmail … Continue reading. Les logiciels de cryptographie étant dans le domaine public, il est aisé de chiffrer des messages sans passer par ces opérateurs.
• Par ailleurs, de plus en plus de téléphones et ordinateurs proposent des systèmes d’enclaves sécurisées dont il est impossible d’extraire des informations. Le fait que le constructeur dispose d’un autre moyen d’accès constituerait, de fait, une porte dérobée, avec les risques induits.
• La fuite de ces clés compromettrait la sécurité de tous les clients de ces sociétés, dont les communications seraient écoutables ou les téléphones déverrouillables par tous ceux ayant accès à ces clés. Cela imposerait à ces sociétés des contraintes très fortes de sécurisation, sans garantie absolue. Les conséquences sont donc similaires à celles causées par l’affaiblissement des méthodes de cryptographie (cf. infra).
• Enfin, comment ces sociétés décideront-elles à quelles autorités et à quels pays remettre ces clés ? Ne risqueront-elles pas de mettre en danger la vie de journalistes, militants ou dissidents dans certains pays ?[21] Ce problème n’est pas récent. Il y a plus de dix ans, Yahoo a fourni à la Chine des données qui ont conduit à l’emprisonnement d’un … Continue reading.
5) Affaiblir de diverses manières les méthodes de cryptographie afin de les rendre attaquables à moindre coût. La NSA a mis en place un programme dédié à ce type d’opérations (Bullrun), de même que le GCHQ[22] Government Communications Headquarters, l’agence britannique de renseignement électronique (analogue de la NSA). (Edgehill). Ces programmes, combinés aux développements de machines dédiées au décryptage, pourraient permettre aux deux agences de décrypter une partie importante de l’actuel trafic chiffré d’internet.
Les méthodes utilisées peuvent correspondre à :
• du piratage, par exemple pour dérober des clés de chiffrement[23] Par exemple le piratage de la société néerlandaise Gemalto par la NSA et le GCHQ pour voler ses clés de chiffrement https://theintercept.com/2015/02/19/great-sim-heist/. ou modifier des logiciels tels que des pare-feu[24]https://www.wired.com/2015/12/researchers-solve-the-juniper-mystery-and-they-say-its-partially-the-nsas-fault/ On ne sait pas en revanche comment le bug «goto fail» des ordinateurs Apple a été … Continue reading) ;
• de l’introduction de backdoors (portes dérobées) dans des algorithmes dont ils sont co-développeurs qui permettent d’en simplifier le décryptage [25] On peut classer dans cette catégorie la certification de l’algorithme Dual_EC-DRBG https://en.wikipedia.org/wiki/Dual_EC_DRBG. ;
• des accords financiers avec des industries du logiciel ou des microprocesseurs[26] Par exemple un accord pour 10 millions de dollars entre la NSA et RSA afin d’affaiblir des technologies de RSA … Continue reading ;
• des pressions (peut-être la clé de l’affaire truecrypt[27] Truecrypt est un logiciel de chiffrement de disques durs, fiable et largement recommandé. Les auteurs, anonymes, ont soudainement arrêté tout développement. Pour une liste de liens, voir par … Continue reading, les développeurs ayant probablement été identifiés par les autorités américaines et ayant refusé d’implanter des portes dérobées) ;
• une interception de la négociation initiale du protocole : client et serveur commencent par choisir la méthode la plus sécurisée qu’ils puissent d’utiliser. Cette négociation est normalement protégée, mais existent plusieurs exemples de failles permettant de pousser des serveurs mal configurés à choisir des longueurs de clés vulnérables[28]https://korben.info/les-attaques-ssltls.html.. Une telle technique peut être mise en œuvre par des agences de renseignement ou des pirates.
L’impact de ces méthodes est délétère : lorsque la porte dérobée est découverte par d’autres — et l’expérience montre qu’elle finit toujours par l’être — tous ceux qui ont accès aux détails de la faille (par exemple en les ayant achetés sur le marché parallèle des failles de sécurité, cf. infra) peuvent l’exploiter. Ces techniques affaiblissent donc directement la sécurité d’internet, elles mettent en danger les données des particuliers et des entreprises.
6) Intercepter les données avant leur chiffrement ou après leur déchiffrement en installant un dispositif de captation sur une machine (par exemple un keylogger) tel que le prévoit le droit français depuis la LOPPSI de 2011[29] Loi n° 2011-267 du 14 mars 2011 d’orientation et de programmation pour la performance de la sécurité intérieure qui a créé les articles 706-102-1 et suivants du code de procédure … Continue reading pour la police judiciaire ou depuis la loi renseignement de 2015 pour la police administrative[30] Loi n° 2015-912 du 24 juillet 2015 relative au renseignement qui a créé l’article L. 853-2 du code de la sécurité intérieure..
Cependant, en l’absence d’accès physique à la machine, il faut passe par du phishing[31] Par exemple un email dont la pièce jointe, lorsqu’elle est ouverte, installe le keylogger sur la machine., ou une exploitation de faille, ou les deux (c’est ce que signifie le second alinéa de l’article 706-102-5 du code de procédure pénale). La nécessité d’exploiter ces failles conduit donc les agences à les acheter sur le fructueux marché des « zero-days ». Inconnues des éditeurs, elles se vendent très cher entre pirates et agences de sécurité et contribuent ainsi à entretenir ce marché. En conséquence, de telles pratiques affaiblissent indirectement mais efficacement la sécurité d’internet : plusieurs « rançongiciels » du début de 2017 utilisaient ainsi des outils que la NSA s’était fait dérober…
De fait, les restrictions légales au chiffrement affectent principalement ceux qui veulent en faire une utilisation non criminelle tandis que l’exploitation de failles de sécurité contribue au développement de la cybercriminalité et du cyberterrorisme : une agence de renseignement n’est jamais pour longtemps le seul exploitant d’un zero-day. Alors que le risque d’attaque sur des infrastructures critiques est actuellement très important[32] Entretien avec G. Poupard … Continue reading. la correction rapide des failles de sécurité devrait plutôt être une priorité.
Quels impacts d’un affaiblissement du chiffrement ?
En France, plusieurs organismes ont pris position en faveur du chiffrement : la CNIL, le Conseil national du numérique, l’Agence nationale de sécurité des systèmes d’information (ANSSI)[33] Lettre de G. Poupard http://www.liberation.fr/france/2016/08/02/controler-le-chiffrement-un-calcul-difficile-pour-le-gouvernement_1469978 et, par exemple, … Continue reading.
Du côté des services de renseignement, on retrouve au niveau des directions en place un écho aux positions politiques incitant à la lutte contre le chiffrement. Mais il est éclairant de lire par exemple la position pro-chiffrement de Mike McConnell, ancien directeur de la NSA.
Les fournisseurs de services sur internet ont bien compris, et intégré dans leur modèle, la valeur ajoutée d’un chiffrement de bout en bout. De leur côté, les GAFA ont ajusté leur modèle de menace après les révélations Snowden et se protègent aussi du piratage gouvernemental. Microsoft a annoncé pour son cloud Azure la possibilité de déchiffrer les données uniquement le temps de leur traitement, dans une enclave sécurisée du processeur[34]« Introducing Azure confidential computing », Microsoft, 14 septembre 2017, https://azure.microsoft.com/en-us/blog/introducing-azure-confidential-computing/. Enfin, des sociétés comme ProtonMail utilisent les lois suisses pour fournir un service de mail chiffré de bout en bout, aux particuliers et aux sociétés. La protection des données prend la suite du secret bancaire…
Du côté européen, en mai 2018 le règlement général sur la protection des données entrera en vigueur. Il prévoit explicitement le chiffrement comme moyen de protéger les données personnelles. Et, dans sa communication d’octobre 2017 sur l’Union de la sécurité[35] COM (2017) 608, Eleventh progress report towards an effective and genuine Security Union., la Commission a réaffirmé son « commitment to strong encryption »[36] « Engagement en faveur d’un chiffrement robuste ». ; elle a également souligné que les aides aux pays membres sur le sujet du chiffrement et des enquêtes criminelles doivent intervenir « without prohibiting, limiting or weakening encryption »[37] « Sans interdire, limiter ou affaiblir le chiffrement »..
Car un affaiblissement du chiffrement induit de réels dangers : comme déjà évoqué, les transactions sur internet peuvent être piratées ainsi que les données personnelles des utilisateurs, les données stratégiques des entreprises et administrations, les données de journalistes et militants opérant dans des pays dictatoriaux. Aucune technique n’échappe à ces conséquences.
Mais un affaiblissement du chiffrement peut aussi être contre-productif pour les buts officiellement affichés, tels que la lutte contre la délinquance ou le terrorisme. On voit en effet que l’État islamique utilise actuellement des outils tels que Telegram et WhatsApp, aisément accessibles et qui offrent un niveau de sécurisation lui paraissant suffisant. Si l’offre publique n’est plus satisfaisante, l’EI pourra aisément développer ses propres applications de communication sécurisée, qui seront par conséquent plus difficiles à infiltrer[38] Rappelons que l’un des grands succès antiterroristes de 2016 a reposé sur une infiltration d’un canal Telegram par un agent se faisant passer pour un djihadiste et qui, à force de patience, a … Continue reading. Il dispose d’ailleurs de toutes les compétences pour développer des applications Android, à l’instar de celles déjà produites pour sa propagande. En outre, des outils de chiffrement bien conçus sont disponibles en open source, comme le protocole utilisé par Signal.
Au demeurant, les chiffreurs auront toujours un coup d’avance sur les décrypteurs, même si ces derniers tentent de garder secrets leurs progrès cryptologiques. C’est en particulier le cas pour les chiffreurs opérant dans l’illégalité.
Il semble de plus en plus évident que, au cours de la brève période entre le développement des communications électroniques et leur chiffrement massif, les agences de sécurité ont mangé leur pain blanc. Cette époque est révolue, il faut en faire son deuil. À ce titre, de nombreux signes démontrent qu’au niveau opérationnel ce constat a été posé et que la phase suivante est amorcée.
Du côté des services de renseignement, on se met à exploiter d’autres techniques. Sur ce point, les métadonnées accessibles contiennent déjà beaucoup d’informations utiles[39]https://linc.cnil.fr/fr/lart-ventriloque-des-metadonnees ; https://cdn2.nextinpact.com/medias/d2015-455-decretloirensdonneesdeconnexion-vs.pdf ; https://www.arcep.fr/uploads/tx_gsavis/16-0025.pdf.. Il est aussi possible de réaliser des analyses statistiques sur les flux de données, d’analyser les corrélations pour, en l’absence de métadonnées en clair, établir l’existence de communications entre deux terminaux. La société française Qosmos s’est fait une spécialité de ce genre d’analyses.
De telles techniques ne sont cependant pas anodines. Elles posent la question de l’interprétation des signaux faibles, de l’immaturité de l’analyse prédictive, du risque de faux positifs alors que les services sont déjà noyés sous les remontées de signalements et dans l’incapacité de suivre toutes les cibles potentielles. De manière plus générale, reste posée la question de l’évolution de notre société vers une société de surveillance[40] T. NITOT, « Surveillance ://, Les libertés au défi du numérique : comprendre et agir », C&F 2016..
Notes
↑1 | Suétone, dans Vita Divi Julii, rapporte en effet que César chiffrait sa correspondance privée : A devenait D, et ainsi de suite. |
↑2 | Principal site anglais de décryptage des messages allemands pendant la Seconde Guerre mondiale. |
↑3 | Le chiffrement DES, utilisé à partir des années 1970, recourt à des clés codées sur 56 bits, ce qui produit 256 combinaisons possibles, soit le même ordre de grandeur. |
↑4 | K. GAJ & A. ORLOWSKI, « Facts and myths of Enigma: breaking stereotypes », in Advances in Cryptology — Eurocrypt 2003, Heidelberg, Springer, p. 106. |
↑5 | Certaines méthodes sont déconseillées parce qu’elles recourent à des clés trop courtes (DES, clés de 56 bits) ou qu’elles présentent des vulnérabilités identifiées (RC4). Les méthodes les plus utilisées sont AES, Blowfish, Serpent, Twofish, CAST, IDEA… avec des tailles de clé de 128 ou, de préférence, de 256 bits. |
↑6 | Un algorithme de « hash » crée un résumé cryptographiquement fort d’un message. Il est conçu pour être à sens unique (il est impossible de reconstituer le message à partir du résumé) et sans « collision » (il est très difficile de concevoir un second message qui aurait le même résumé). |
↑7 | À ceci s’ajoute ce qu’on appelle la confidentialité persistante (forward secrecy). Cette dernière garantit que la découverte de la clé privée ne permette pas de déchiffrer les conversations passées : c’est l’équivalent informatique du fait de déchirer, dans le cahier de clés d’Enigma, les clés de la veille. |
↑8 | article 434-15-2 du code pénal. |
↑9 | Direction générale de la sécurité intérieure, l’un des principaux services de renseignement français |
↑10 | Département de la défense américain. |
↑11 | New York University |
↑12 | Peu de détails sont disponibles sur l’architecture de cette machine. On ne sait pas si ses cœurs sont généralistes ou spécialisés pour certaines tâches. Il est donc difficile d’en estimer exactement la puissance. Mais il s’agit probablement d’un des ordinateurs les plus puissants du monde, si ce n’est le plus puissant. Pour mémoire, l’ordinateur aujourd’hui officiellement classé numéro un, le Sunway TaihuLight du centre de Wuxi, dispose de dix millions de cœurs. |
↑13 | Un ordinateur quantique calcule non comme un ordinateur classique avec des bits pouvant valoir soit 0, soit 1, mais avec des « qubits » quantiques qui permettent de superposer plusieurs états. Voir par exemple « NSA seeks to build quantum computer that could crack most types of encryption », Washington Post, 2 janvier 2014. |
↑14 | Algorithme de Shor, inventé en 1995 : https://arxiv.org/abs/quant-ph/9508027. |
↑15 | National Institute of Standards and Technology. |
↑16 | Mise à jour de la NSA sur les algorithmes cryptographiques : https://web.archive.org/web/20150905185709/https://www.nsa.gov/ia/programs/suiteb_cryptography/ ; NIST report on post-quantum cryptography : http://nvlpubs.nist.gov/nistpubs/ir/2016/NIST.IR.8105.pdf |
↑17 | Constant BERT, Guillaume FARDE, Tristan FOVEAU et Floran VADILLO, « Projet de loi Collomb : l’injustifiable agonie de nos droits », L’Hétairie, note n°2, 22 septembre 2017. |
↑18 | On peut considérer, comme les auteurs de la note citée précédemment, que les entreprises concernées jouent sur un conflit de normes (droit local contre droit états-unien, droit européen, droit international) pour se soustraire à ces demandes. |
↑19 | https://signal.org/bigbrother/eastern-virginia-grand-jury/ |
↑20 | Google réfléchit à ces questions de longue date: dès 2014 un projet proposait un chiffrement de bout en bout sur Gmail (https://security.googleblog.com/2014/06/making-end-to-end-encryption-easier-to.html), puis placé en open source (https://security.googleblog.com/2017/02/e2email-research-project-has-left-nest_24.html) alors qu’un nouveau projet de distribution de clés voyait le jour (https://security.googleblog.com/2017/01/security-through-transparency.html). |
↑21 | Ce problème n’est pas récent. Il y a plus de dix ans, Yahoo a fourni à la Chine des données qui ont conduit à l’emprisonnement d’un journaliste :
http://www.nytimes.com/2005/09/08/business/worldbusiness/yahoo-helped-chinese-to-prosecute-journalist.html L’entreprise joue maintenant la carte de la transparence sur les requêtes des Gouvernements et décide seule des suites données aux demandes, en l’absence de législation internationale traitant de cette question : (https://transparency.yahoo.com/principles). |
↑22 | Government Communications Headquarters, l’agence britannique de renseignement électronique (analogue de la NSA). |
↑23 | Par exemple le piratage de la société néerlandaise Gemalto par la NSA et le GCHQ pour voler ses clés de chiffrement https://theintercept.com/2015/02/19/great-sim-heist/. |
↑24 | https://www.wired.com/2015/12/researchers-solve-the-juniper-mystery-and-they-say-its-partially-the-nsas-fault/ On ne sait pas en revanche comment le bug «goto fail» des ordinateurs Apple a été introduit (https://www.schneier.com/blog/archives/2014/02/was_the_ios_ssl.html), ni si la vulnérabilité des disques chiffrés Western Digital provient d’une erreur ou était volontaire. (http://seclists.org/fulldisclosure/2015/Oct/79 |
↑25 | On peut classer dans cette catégorie la certification de l’algorithme Dual_EC-DRBG https://en.wikipedia.org/wiki/Dual_EC_DRBG. |
↑26 | Par exemple un accord pour 10 millions de dollars entre la NSA et RSA afin d’affaiblir des technologies de RSA https://www.reuters.com/article/us-usa-security-rsa/exclusive-secret-contract-tied-nsa-and-security-industry-pioneer-idUSBRE9BJ1C220131220. |
↑27 | Truecrypt est un logiciel de chiffrement de disques durs, fiable et largement recommandé. Les auteurs, anonymes, ont soudainement arrêté tout développement. Pour une liste de liens, voir par exemple : https://www.schneier.com/blog/archives/2014/05/truecrypt_wtf.html. |
↑28 | https://korben.info/les-attaques-ssltls.html. |
↑29 | Loi n° 2011-267 du 14 mars 2011 d’orientation et de programmation pour la performance de la sécurité intérieure qui a créé les articles 706-102-1 et suivants du code de procédure pénale. La loi du 13 novembre 2014 a d’ailleurs modernisé le dispositif. |
↑30 | Loi n° 2015-912 du 24 juillet 2015 relative au renseignement qui a créé l’article L. 853-2 du code de la sécurité intérieure. |
↑31 | Par exemple un email dont la pièce jointe, lorsqu’elle est ouverte, installe le keylogger sur la machine. |
↑32 | Entretien avec G. Poupard https://www.usinenouvelle.com/article/cette-nouvelle-cyberattaque-depasse-largement-le-cadre-d-un-rancongiciel-le-but-est-de-nuire-et-detruire-d-apres-le-patron-de-l-anssi.N559713 et, par exemple, « Advanced Persistent Threat Activity Targeting Energy and Other Critical Infrastructure Sectors », United States Computer Emergency Readiness Team (US-CERT), https://www.us-cert.gov/ncas/alerts/TA17-293A, « Dragonfly: Western energy sector targeted by sophisticated attack group », Symantec, https://www.symantec.com/connect/blogs/dragonfly-western-energy-sector-targeted-sophisticated-attack-group, |
↑33 | Lettre de G. Poupard http://www.liberation.fr/france/2016/08/02/controler-le-chiffrement-un-calcul-difficile-pour-le-gouvernement_1469978 et, par exemple, https://www.ssi.gouv.fr/particulier/bonnes-pratiques/crypto-le-webdoc/cryptologie-art-ou-science-du-secret/ ainsi que https://www.ssi.gouv.fr/administration/bonnes-pratiques/. |
↑34 | « Introducing Azure confidential computing », Microsoft, 14 septembre 2017, https://azure.microsoft.com/en-us/blog/introducing-azure-confidential-computing/ |
↑35 | COM (2017) 608, Eleventh progress report towards an effective and genuine Security Union. |
↑36 | « Engagement en faveur d’un chiffrement robuste ». |
↑37 | « Sans interdire, limiter ou affaiblir le chiffrement ». |
↑38 | Rappelons que l’un des grands succès antiterroristes de 2016 a reposé sur une infiltration d’un canal Telegram par un agent se faisant passer pour un djihadiste et qui, à force de patience, a pu tendre un piège. Il est d’ailleurs fort regrettable que trop de détails sur cette opération aient été rendus publics — http://aboudjaffar.blog.lemonde.fr/2016/11/25/ou-est-le-chien/. |
↑39 | https://linc.cnil.fr/fr/lart-ventriloque-des-metadonnees ; https://cdn2.nextinpact.com/medias/d2015-455-decretloirensdonneesdeconnexion-vs.pdf ; https://www.arcep.fr/uploads/tx_gsavis/16-0025.pdf. |
↑40 | T. NITOT, « Surveillance ://, Les libertés au défi du numérique : comprendre et agir », C&F 2016. |