La récente “affaire Telegram” m’a semblée comme un bonne occasion d’écrire sur un sujet qui est lié à cette notion sur laquelle j’ai déjà écrit et je reviendrais, la confiance. Cette confiance en des outils que nous utilisons qui est régulièrement remise en cause, qu’il s’agisse de cybersécurité, de relations avec les publics ou comme dans cet article, la confiance en la confidentialité de nos échanges. Et le sujet est ancien, cette actualité n’est que l’un des derniers rebondissements d’une histoire qui date du siècle, celle de la confidentialité des échanges en ligne et des velléités des gouvernements de contrôler ces moyens de sécurisation
Je vais donc explorer en 2 articles cette question, en commençant par l’histoire et les mots.
Sécuriser les échanges une histoire ancienne
L’idée de masquer un message, de le cacher est probablement aussi vieille que la civilisation, mais les premières traces d’un procédé de cryptographie remontent au XVIe siècle av. J.-C, en Irak. Un tablette d’argile sur laquelle un potier avait gravée une recette secrète mais en supprimant des consonnes et en modifiant l’orthographe des mots. C’est ensuite, entre le Xe et le VIIe siècle av. J.-C. qu’un autre technique est utilisée, la transposition de la position des lettres dans le message, et ce en utilisant un bâton de diamètre spécifique nommé ”scytale”.
On enroulait en hélice une bande de cuir autour de la scytale avant d’y inscrire un message. Une fois déroulé, le message était envoyé au destinataire qui possédait un bâton identique, nécessaire au déchiffrement. Cependant, l’utilisation de la scytale lacédémonienne comme procédé cryptographique n’est explicitement affirmée que par Plutarque et Aulu-Gelle, auteurs de la fin de l’Antiquité, et n’est pas mentionnée par Énée le Tacticien
Source :
Il est intéressant de noter que cette technique va dans son fonctionnement nous rappeler les procédés de chiffrement moderne. Le besoin de clés capables de rendre le message lisible.
Une autre histoire célèbre est celle qu’aurait employée Histiée, roi de Milet durant La Révolte de l’Ionieen Grèce antique. Il aurait fait raser la tête et tatouer un ordre de révolte sur le crâne de son plus fidèle esclave puis aurait attendu que cheveux aient repoussé. Puis il l’envoya à Aristagoras qui lui rasa de nouveau la tête afin de lire le message, c’est ce que raconte Hérodote
« XXXV. (…). Sur ces entrefaites, il arriva de Suses un courrier qui lui enjoignait de prendre les armes. Cet ordre était empreint sur la tête du courrier. Histiée, voulant mander à Aristagoras de se soulever, ne trouva pas d’autre moyen pour le faire avec sûreté, parce que les chemins étaient soigneusement gardés. » Hérodote, L’Enquête – Livre V (Terpsichore)
Cette technique différente consistait en masquer le message et on parle pour ce genre de procédés de stéganographie. Aujourd’hui cette technique est utilisée… dans le QR codes.
Plus proches de nous et cela va faire écho à mon article sur le câble, la cryptographie s’est notamment développée avec l’utilisation du télégraphe dans la 2e moitié du XIXe siècle, car le message passe par l’intermédiaire de ceux qui les transmettent et si l’on veut protéger le message, il faut le rendre inintelligible. On parlera alors de “dépêches secrètes” qui seront autorisées par la loi, elles doivent cependant être rédigées en signes romains ou en chiffres arabes. Il est a noter que cette protection reste faible car les déchiffrer n’est pas très compliqué et les bureaux du télégraphe conservent les traces de ces derniers. Ces traces ne sont pas si différentes de celles que nous laissons aujourd’hui, une forme de “logs” anciens, ou de métadonnées de l’ère pré numérique. C’est toujours intéressant de voire que ce que nous pensions nouveau ne l’est pas souvent tant que cela.
Masquer des messages à finalement mené lors de la seconde guerre mondiale à poser les bases de notre monde numérique actuel, car aux origines de l’informatique, il y eu les machine enigma et la nécessité de déchiffrer ces communications
Enigma chiffre les informations en faisant passer un courant électrique à travers une série de composants. Ce courant est transmis en pressant la touche d’une lettre sur le clavier ; il traverse un réseau complexe de fils puis allume une lampe qui indique la lettre chiffrée. Le premier composant du réseau est une série de roues adjacentes, appelées « rotors », qui contiennent les fils électriques utilisés pour chiffrer le message. Les rotors tournent, modifiant la configuration complexe du réseau chaque fois qu’une lettre est tapée. Enigma utilise habituellement une autre roue, appelée « réflecteur », et un composant appelé « tableau de connexion », ce qui permet de rendre plus complexe encore le processus de chiffrement.
Source : https://fr.wikipedia.org/wiki/Enigma_(machine)
Bref, les outils que nous utilisons donc aujourd’hui telles que les messageries chiffrées ne sont donc qu’une ses suites d’une longue histoire de la sécurisation des messages… et cette volonté de pouvoir lire ces messages cachés à l’origine de nos machines actuelles.
Question de vocabulaire : crypter et chiffrer
Lorsque nous avons commencé à évoquer le sujet pendant ma formation de conseiller numérique, mon formateur insistait sur cette question sémantique car si la cryptographie permet de rendre un document ou un message illisible, le chiffrement n’est qu’une des techniques de cryptographie :
Le chiffrement (ou cryptage) est un procédé de cryptographie grâce auquel on souhaite rendre la compréhension d’un document impossible à toute personne qui n’a pas la clé de chiffrement. Ce principe est généralement lié au principe d’accès conditionnel. Bien que le chiffrement puisse rendre secret le sens d’un document, d’autres techniques cryptographiques sont nécessaires pour communiquer de façon sûre.
Source : https://fr.wikipedia.org/wiki/Chiffrement
La cryptographie est notamment utilisée pour sécuriser des données via différentes techniques, le chiffrement est lui une technique qui permet de rendre un message illisible sauf à posséder une clé de chiffrement qui permet de “déchiffrer” celui ci. Il est fort probable que le mot “cryptage” vienne en fait du mot anglais “encryption” qui se traduit en français par chiffrement. La “confusion” entre la cryptographie qui cache l’information et le chiffrement qui est une technique mathématique de cryptographie rappelle que ce sont principalement des algorithmes qui sécurisent le web, de nos connexions à nos communications. Parce qu’il s’agit d’utilise des clés de chiffrement le terme de cryptage est impropre à décrire la façon dont nous protégeons nos communications. On pourrait crypter un message, mais il serait impossible de le “décrypter” ensuite, parce que l’on n’a pas utilisée de clé de chiffrement.
“Je suis le maître des clés, est tu le cerbère de la porte ?”
Sos Fantômes
La clé de chiffrement est au centre de ce processus et en fonction des outils il y a différentes clés basées sur différents protocoles. Il faut donc aux outils numériques la capacité de gérer de multiples clés de chiffrement, ainsi que de gérer les utilisateurs qui leurs sont liées.
L’un de ces protocoles est utilisé pour nos emails, S/MIME qui chiffre les emails et la vérification de l’identité de l’expéditeur. Sa spécificité est qu’il se base sur un tiers de confiance afin de vérifier l’utilisation des clés de chiffrement publiques utilisées.
Pourquoi on chiffre aujourd’hui ? A cause des Crypto Wars
Si dans nos utilisations des réseaux aujourd’hui le chiffrement est devenu une composante essentielle de la confiance en l’utilisation des outils numériques, ces outils sont aussi, historiquement en réaction à la surveillance des états.
A l’époque de la guerre froide, les États-Unis et leurs souhaitent un contrôle assez rigide de l’export non seulement des technologies liées aux armes de guerre, mais aussi celles dites “à double usage”, technologies considérées comme “critiques”… La cryptographie est alors considérée comme étant du domaine “militaire”. Dans les années 60, avec le développement de la communication par câbles et les besoins des institutions financières un usage civil commence à être pris en compte et le Data Encryption Standard en 1975 va permettre de généraliser cet usage. Le contrôle des exportations de ces technologies reste encore ferme et se fait par le biais des licences d’exportation au cas par cas, achetées par les fabricants d’ordinateurs et leurs clients commerciaux.
La plus grande différence se fera avec l’apparition de l’ordinateur personnel dans les années 80 et le développement du commerce électronique dans les années 90. Les besoins se démultiplient et avec le succès croissant des achats en ligne la pression pour lever les restrictions augmente. C’est à cette époque que l’ancêtre de firefox, Netscape propose la technologie SSL pour sécuriser les transactions des cartes de crédit, Le SSL utilisait alors des clés à 128 bits, des systèmes que les militaires auraient voulu conserver sous leur contrôle. On eu donc à cette époque 2 versions du navigateur web : la “version US ” qui de clés à 128 bits et la version internationale avec une clef réduite à 40 bits, les 88 bits restant étant lisibles dans le protocole SSL. La version US était malhré tout compliqué à acquérir aux Etat-Unis et de nombreux américains utilisaient en fait la version “internationale”. Le problème étant que ce chiffrement à 40 bis pouvait être cassé en l’espace dz quelques jours par un ordinateur personnel.
Ce sera ensuite dans les années 80, l’émergence d’un mouvement, celui des cypherpunk qui va poser les bases intellectuelles d’un certains nombre d’usages du chiffrement d’aujourd’hui, qu’il s’agisse de la blockchain, du ZKP dont je vous aie déjà parlé, au travers de manifestes dont le « Manifeste Crypto-Anarchiste » de Tim May en 1988 :
La technologie informatique est sur le point de permettre aux individus et aux groupes de communiquer et d’interagir les uns avec les autres de manière totalement anonyme. Deux personnes peuvent échanger des messages, faire des affaires et négocier des contrats électroniques sans jamais connaître le véritable nom ou l’identité légale de l’autre. Les interactions sur les réseaux seront intraçables, grâce à un réacheminement intensif des paquets cryptés et à des boîtiers inviolables qui mettent en œuvre des protocoles cryptographiques avec une garantie presque parfaite contre toute altération. Les réputations seront d’une importance capitale, bien plus importante dans les transactions que même les cotes de crédit d’aujourd’hui. Ces développements modifieront complètement la nature de la réglementation gouvernementale, la capacité de taxer et de contrôler les interactions économiques, la capacité de garder l’information secrète, et modifieront même la nature de la confiance et de la réputation.
La technologie nécessaire à cette révolution – qui sera sûrement à la fois sociale et économique – existe en théorie depuis une décennie. Les méthodes reposent sur le chiffrement à clé publique, les systèmes de preuve interactifs à divulgation nulle de connaissance et divers protocoles logiciels d’interaction, d’authentification et de vérification. Jusqu’à présent, l’accent a été mis sur les conférences universitaires en Europe et aux États-Unis, conférences surveillées de près par la NSA. Mais ce n’est que récemment que les réseaux informatiques et les ordinateurs personnels ont atteint une vitesse suffisante pour rendre ces idées réalisables dans la pratique.
Source : https://www.activism.net/cypherpunk/crypto-anarchy.html
Au sein de la mouvance des « Cypherpunks » , on retrouvera aussi en autres quelques noms célèbres dont :
- Julian Assange , créateur de WikiLeaks
- John Gilmore, Cofondateur de l’Electronic Frontier Foundation
- Philip Zimmermann , créateur de PGP
- Satoshi Nakamoto, le pseudonyme du créateur de Bitcoin
L’un de ces coups dans la fourmilière qui fera l’une des étapes des cyptowars est l’arrivée de PGP en 1991
Pretty Good Privacy (PGP) est un programme de sécurité utilisé pour déchiffrer et crypter les e-mails et les authentifier via des signatures numériques. Conçu et développé par Paul Zimmerman, PGP était l’un des premiers logiciels de cryptographie à clé publique disponibles gratuitement.
Comment fonctionnait PGP :
- Chiffrement des e-mails PGP avait comme principal usage celui de chiffrer les e-mails et à été utilisé par ceux qui souhaitaient protéger des informations sensibles, activistes, journalistes, avocats.
- Vérification de la signature numérique Une autre fonction centrale de PGP c’est la vérification des expéditeurs des e-mails. Une signature numérique utilise des algorithmes qui vont combiner la clé d’un expéditeur avec les données qu’il tente d’envoyer dans un e-mail. Cela veut dire utilise une fonction dite de “hachage”. Pour faire simple l’algorithme convertit le message électronique en un bloc de données de taille fixe. Ensuite ces données sont ensuite cryptées à l’aide de la clé privée de l’expéditeur que le destinataire peut décrypter à l’aide de la clé publique de l’expéditeur. Cela permet au destinataire de savoir si le message a été modifié entre temps .
- L’utilisation de RSA PGP utilise l’algorithme RSA, l’un de ceux considéré comme les plus sécurisé voir même incassable,
Face à cet outil mis à disposition du grand public, le gouvernement des États-Unis considère celui ci comme « une munition » au sens de la loi sur les exportations, imposant un contrôle extrêmement strict et le soumettant à des licences très restrictives. C’est une volonté d’empêcher la diffusion de ces outils aussi bien auprès du public… que des gouvernements étrangers. En parallèle, celui ci essayait de fragiliser les algorithmes afin que ses agences puissent en conserver l’accès, ce qui représentait une violation de la vie privée par les cypherpunks.
Les efforts du gouvernement américain et de ses agences dont la NSA ne s’arrêtent pas là. La “clipper chip” développée par la NSA durant les années 80 fut utilisée dans les appareils numériques grand public. Il s’agissait d’une puce de sécurité dont la clé de chiffrement était accessible à cette agence. Ce projet fut abandonné en 1996, rendu obsolète par l’arrivée de PGP entre autre. La NSA essaya aussi d’affaiblir la sécurisation des réseaux téléphoniques en s’attaquant à A / 51 utilisé dans les réseaux téléphoniques GSM.
La NSA ne sera pas la seule à participer aux crypto wars (même si elle a été la plus active). La CIA aura elle aussi essayé via l’entreprise Crypto AG
Si dans les années 2000 on pensait les crypto wars finies… Edward Snowden donnera en 2013 un éclairage bien différent de la situation.
Parmi les multiples révélations sur l’ampleur de la surveillance du web et des communications par la NSA, un programme était dédié aux questions de chiffrement : Bullrun
Le 5 septembre 2013 The Guardian, The New York Times et ProPublica révèlent, sur la base de documents fournis par Edward Snowden, que la NSA et le GCHQ sont capables de décoder l’essentiel des systèmes de chiffrement des communications sur internet, des systèmes utilisés chaque jour par des centaines de millions d’internautes pour protéger leur vie privée et par les entreprises pour sécuriser leurs échanges électroniques.
Les trois médias expliquent que les méthodes utilisées par les agences de renseignement anglo-saxonnes incluent
- des mesures pour s’assurer le contrôle sur l’établissement de normes américaines et internationales de chiffrement (NIST, normes ISO),
- la collaboration avec des entreprises technologiques pour intégrer — dès la conception — des portes dérobées dans leurs solutions de chiffrement (logiciels ou puces électroniques),
- la collaboration avec des fournisseurs de services Internet pour récupérer des certificats de chiffrement,
- l’investissement dans des ordinateurs à hautes performances,
- voire des cyberattaques ou l’espionnage des sociétés pour leur voler leurs clés numériques.
Source : https://fr.wikipedia.org/wiki/Bullrun
En conclusion de cette première partie
Le chiffrement comme je l’ai écrit en préambule était censé permettre la confiance. C’est cette absence de confiance qui a mené aux Crypto Wars et fait d’une question essentiellement militaire pendant longtemps un sujet qui touche tout le monde. La prise en main de ces questions par les citoyens a démultipliés les outils et les usages, dont les messageries sécurisées que j’évoquerais dans le prochain article. Cela et la loi comme volonté de contrôler les communications.
Laisser un commentaire