Cryptographie Privée vs Services de Renseignement

 

Crise: cryptage ou non? Un expert s'exprime

Les réseaux terroristes ont-ils utilisé ou non des méthodes de cryptage pour dissimuler leurs communications électroniques? Les nouvelles lois antiterroristes devraient-elles interdire le cryptage de messages? Les autorités aimeraient bien le croire, mais la situation serait tout autre selon Duncan Campbell.

Campbell est journaliste et documentariste, spécialiste des questions de surveillance, à qui l'Unité d'évaluation des choix scientifiques et technologiques (STOA) du Parlement européen avait confié en 1998 le mandat de confirmer officiellement l'existence du système de surveillance mondial Echelon.

Dans un article publié par le périodique allemand Telepolis, Campbell relève les différentes déclarations de politiciens et d'autorités policières, tant aux États-Unis qu'en Grande Bretagne, qui laisseraient croire en un vaste réseau de communications hyperprotégé qu'utiliseraient les réseaux terroristes.

Rien de tel pour Campbell qui remet certaines pendules à l'heure : les réseaux terroristes ont dissimulé leur présence, leurs préparations et leurs stratégies en jouant aux caméléons, en s'intégrant de manière fort discrète à leur milieu de vie aux États-Unis.

De nombreux rapports véhiculés par la presse (USA Today, 19 juin 2001) faisaient état de communications secrètes entre Oussama ben Laden et ses agents en poste par l'entremise de messages dissimulés dans des images pornographiques. Fin septembre, le directeur adjoint du FBI affirmait que les terroristes avaient utilisé Internet et le Web de manière experte. En Grande Bretagne, le secrétaire de l'Extérieur Jack Straw a accusé les médias et les défenseurs des libertés civiles d'avoir ouvert la voie aux terroristes et d'avoir empêché son gouvernement d'adopter des mesures législatives contre le cryptage.

Or, souligne Campbell, aucune de ces affirmations sur le recours par les groupes terroristes à des technologies sophistiquées ne se révèle exacte. Quelques jours avant les attaques du 11 septembre, un groupe de chercheurs invalida la thèse des codes cachés par méthode stéganographique dans des fichiers graphiques sur le Web. Non que la technique n'existe pas, mais bien qu'une analyse de deux millions d'images s'était avérée négative. Puis, les enquêtes du FBI auprès de fournisseurs de services et de services de courriel Web (comme Hotmail) ont bel et bien révélé l'utilisation du courriel par les agents terroristes, pour des communications aux États-Unis et à l'étranger, au cours des 30 à 45 jours qui ont précédé les attaques. Cependant, ils avaient accès à Internet principalement depuis des points de connexion publics, comme des bibliothèques, et rédigeaient leurs messages en clair, sans avoir recours à des méthodes de cryptage.

Campbell dénonce aussi le traitement accordé à Phil Zimmermann, inventeur du logiciel de cryptage PGP, par le Washington Post dans un article récent . Campbell écrit : «Bien que le FBI ait déclaré ne détenir aucune preuve de l'utilisation de méthodes de cryptage par les terroristes, on a dit aux lecteurs du Post que Zimmermann éprouvait "de profonds sentiments de culpabilité" à l'idée que son logiciel ait pu servir à des fins malveillantes.»

De conclure Campbell : «Tout indique que les terroristes ont utilisé des codes simples et en clair dans leurs communications pour dissimuler l'objet de leurs échanges. Cette méthode "low-tech" fonctionne. À moins de déterminer à l'avance une cible de surveillance, même le système Echelon ne peut faire le tri entre ces messages et l'ensemble des autres messages échangés [...] Les terroristes n'ont eu aucun comportement suspect, jusqu'à ce qu'ils commettent l'acte abominable.»

Bref, une surveillance accrue des télécommunications ou l'interdiction du cryptage n'auraient pas servi, pas plus que le mythique bouclier anti-missiles, à éviter les attentats.

Source: Chroniques de Cybérie (23/10/2001)

 

Attentats aux USA : haro sur la crypto

La liberté sur Internet va-t-elle faire les frais des attentats aux Etats-Unis ? Des associations s'inquiètent d'une certaine dérive sécuritaire dans l'univers électronique.

En ligne de mire : la cryptographie, c'est-à-dire le fait de coder des messages pour éviter que n'importe qui puisse les lire. Un sénateur américain a demandé que les outils de cryptographie utilisés sur Internet soient désormais accessibles aux agents de la NSA (National Security Agency). Il veut que ces programmes soient munis de "backdoor", c'est-à-dire littéralement une porte de derrière, qui permette de les décoder en cas de besoin afin de savoir ce qu'il y a dedans.

Aux Etats-Unis, pour beaucoup d'internautes, la cryptographie est une sorte de liberté électronique fondamentale. Un droit à la confidentialité. Peu utilisée en France à part dans certains milieux, la cryptographie est assez répandue outre-Atlantique y compris chez les particuliers.

Les pouvoirs publics veulent renforcer leur contrôle du réseau. La semaine dernière, le Congrès américain a voté un amendement pour faciliter la surveillance électronique des individus sans mandat judiciaire, téléphone et ordinateur. Au lendemain de l'attentat, le FBI a effectué des descentes chez des fournisseurs d'accès. Et puis, on reparle de Carnivore, ce programme qui permet d'espionner les échanges sur Internet. Des associations telles que Electronic Frontier Foundation s'inquiètent d'un durcissement exagéré des contrôles.

Aujourd'hui, la réalité sur Internet, c'est que si vous envoyez un courrier électronique crypté, il faudra environ une semaine aux services secrets américains pour en venir à bout. Alors, on comprend que ça les énerve…

Mais, ironie du sort, en fait il semble que les terroristes n'aient pas vraiment utilisé des techniques complexes de cryptage pour communiquer mais plutôt un procédé ancien, appelé la stéganographie, qui consiste à dissimuler des données au sein de fichiers n'ayant rien à voir comme des images ou des chansons.

Bref, comme l'écrit le magazine en ligne C-Net, "Les attaques terroristes marquent un tournant dans le débat concernant Internet et la vie privée".

Source: France-Info (19/10/2001)

 

Cryptographie : du renseignement guerrier au combat économique

Concrètement, crypter ou chiffrer un message consiste à développer et utiliser des méthodes de codage pour rendre ce message incompréhensible à toutes les personnes auxquelles il n'est pas destiné.

Cette technique remonte à l'Antiquité où des systèmes simples permettaient d'empêcher la transmission d'informations confidentielles à l'ennemi. Jules César, dans La Guerre des Gaules, évoque un système de chiffrement à substitution consistant à prendre l'alphabet décalé de trois lettres. Essentiellement militaires, les systèmes de cryptage vont se sophistiquer avec le temps en utilisant des clefs, c'est-à-dire des moyens de coder et de «clarifier» le message, de plus en plus complexe.«Dans l'après-guerre, le développement simultané de l'espionnage, de l'électronique, des ordinateurs et des transmissions stratégiques, a stimulé le besoin pour les communications de haute sécurité», explique Jacques Baud (1). Des sociétés spécialisées font alors surface comme la firme Crypto-AG, entreprise suisse, qui développera une expertise la rapprochant rapidement des services de renseignements électroniques comme la National Security Agency (NSA) américaine, berceau du plus puissant système d'interception global jamais imaginé (réseau Echelon).

Avec l'avènement de l'informatique et des messages électroniques, le cryptage prouve aussi son intérêt civil. La clef se numérise et le souci du secret se heurte à l'implacable puissance des supercalculateurs. «Plus la clef est grande, plus elle devient difficile à percer, détaille Jacques Baud. Une clé à un bit aurait, par exemple, deux possibilités, O et 1. Une clé de 40 bits correspondrait à mille milliards de solutions.» Impossible à décrypter pour un cerveau humain, mais à peine quelques heures de travail pour un ordinateur moderne...

Au principe que plus une clef est longue, plus elle est sûre, s'ajoute celui d'un cryptage dit asymétrique. Un système à une seule clef ne présente pas une sécurité suffisante car l'expéditeur doit envoyer sur des réseaux à l'imperméabilité douteuse le message codé mais aussi la clef permettant de le décoder.

Les systèmes les plus perfectionnés disposent donc d'une clef dite publique qui chiffre le message sans pouvoir le déchiffrer et d'une clef privée qui sert, elle, uniquement au décodage. L'expéditeur utilise la clef publique alors que la personne qui reçoit le message a recours à la clef privée.

Le développement de ce magnifique outil de confidentialité ne va pas sans heurter les Etats soucieux de préserver leur sécurité et toujours tenté de garder un œil sur leur économie de plus en plus complexe. Un défi difficile. Les outils de cryptage les plus sophistiqués, tels que le Pretty Good Privacy (PGP), utilisé en France, ont un algorithme de codage réputé aujourd'hui incassable.

Source: Le Figaro (16/10/2001)

 

Cybersurveillance : la crypto inutile ?

Pour la première fois, les USA révèlent le nombre de fois où des quidams mis sur écoute se sont servis de la crypto pour protéger leurs communications. Aucun des 22 cas recensés n´a empêché les forces de l´ordre d´accéder aux messages en clair.

Le FBI aurait pratiqué l´an passé 1 012 écoutes d´individus suspectés de terrorisme, d´espionnage et autres crimes graves, contre 886 en 1999, selon un rapport obtenu par l´agence américaine Associated Press. Entre octobre 1999 et août 2000, il n´aurait utilisé le célèbre Carnivore que 13 fois, et 11 fois EtherPeek, une version antérieure, et commerciale, de son outil de cybersurveillance. Le FBI, qui rappelle que le nombre de demandes de surveillance internet avait augmenté de 1 850 % entre 1997 et 1999, demande à ce que la part de son budget alloué à ce genre d´interceptions puisse atteindre 13 millions de dollars (environ 90 millions de francs) pour 2002, soit 2,5 M$ de plus que cette année. Pour en allouer la majeure partie à la recherche et développement.

89 cas de surveillance électronique

Les autres forces de l´ordre classiques (locales notamment) ont quant à elles pratiqué 1190 écoutes diverses et variées, soit 5 % de moins que l´an passé. À 81 %, il s´agissait d´écoutes téléphoniques, les téléphones portables représentant à eux seuls 60 % des interceptions. La "surveillance électronique" (Internet, pagers, fax, e-mail) ne représente quant à elle que 8 % (89 cas) du total, bien que dans 71 autres cas, les forces de l´ordre aient utilisé plusieurs de ces méthodes d´interception des télécommunications combinées. Au titre d´une loi votée l´an passé, le rapport se devait d´indiquer le nombre de fois où la personne mise sous surveillance chiffrait ses communications. Le rapport, qui ne détaille ni les outils utilisés, ni les contre-mesures employées, précise qu´aucun des 22 cas recensés d´utilisation de la cryptographie n´a empêché les forces de l´ordre d´accéder "en clair" aux messages censés avoir, pourtant, été protégés.

Source: Transfert (07/05/2001)

 

 

Cryptologie : quand l'intérêt particulier fait peur aux Etats

L'avènement d'une société de communication et d'information suppose la banalisation de l'emploi de la cryptologie, mais le codage des données et transmissions, encore récemment réservé aux États, alarme les responsables de la sécurité inquiets des possibilités ainsi offertes aux activités criminelles.

Deux jours de colloque sur "le chiffre, le renseignement et la guerre" à l'Historial de la Grande Guerre à Péronne (Somme) ont illustré les enjeux industriels d'une technologie de pointe dans la "guerre économique" qui oppose grandes entreprises et multinationales pour la domination de l'économie mondiale. La cryptologie est entrée dans la vie quotidienne avec la carte bancaire à puce. Elle se répand avec le commerce en ligne, les téléphones portables, la technologie Bluetooth… Même la déclaration de revenus qui peut désormais être faite en ligne utilise le cryptage pour assurer la confidentialité des données transmises.

Protection de la vie privée d'un côté…

Le codage des données, pour Louise Cadoux, vice-présidente de la Commission nationale de l'informatique et des libertés (Cnil) est "un outil de protection de la vie privée, un droit reconnu sans hésitation mais dont le contenu et le périmètre sont mal identifiés". Les fichiers également doivent pouvoir "résister" aux intrusions et Mme Cadoux a ainsi émis des doutes sur la confidentialité des informations médicales recueillies grâce au système de carte Vitale de la Sécurité sociale et qui, a-t-elle indiqué, intéresse beaucoup l'industrie pharmaceutique.

…contrôle des services de sécurité des pays de l'autre

Problématique inverse pour le général Jean-Louis Desvignes, directeur de l'école des Transmissions et ancien chef du service central de la sécurité des systèmes d'information, la libéralisation en 1999 de la cryptographie jusqu'alors considéré comme relevant de l'armement est une "abdication" qui "sonne sans doute le glas du contrôle démocratique de notre société". Et le général Desvignes attire l'attention sur le fait qu'il est impossible de savoir si un produit de cryptologie acheté sur le marché assure véritablement le degré de confidentialité indiqué. Dans les clés de 148 bits peu de gens savent, selon lui, que seuls les 8 ou 10 derniers bits sont vraiment codés, les 140 précédents étant connus. Il n'est pas possible non plus, note-t-il, d'être certain qu'un message chiffré ne contienne pas à l'insu de l'expéditeur, la clé permettant à un initié (le fabriquant ou un commanditaire, comme par exemple une agence de renseignement d'un grand pays) de le décoder sans difficulté.

Pour les militaires, la généralisation du codage oblige à plus d'intrusion

Pour le colonel Jacques Baud, de l'état-major général suisse, la généralisation du codage rend nécessaire un "renseignement plus pointu et plus intrusif" qui analyse, non une source précise mais l'ensemble des flux d'informations, comme le désormais célèbre Echelon, le système global d'interception et d'écoute mis en place par les États-Unis avec la Grande-Bretagne, l'Australie et la Nouvelle-Zélande. La justification des écoutes et des interceptions est souvent la sécurité nationale ou la lutte contre "les quatre cavaliers de l'infocalypse" (le crime organisé, les narco-trafiquants, les terroristes, les blanchisseurs d'argent ). Faudra-t-il imposer un Big brother général pour contrôler ces activités au détriment du plus grand nombre ? C'est une question qui devra être tranchée par le monde politique.

Source: TF1 (28/03/2001)

 

La démocratisation du cryptage continue d'effrayer

L'avènement d'une société de communication et d'information suppose la banalisation de l'emploi de la cryptologie, mais le codage des données et transmissions, encore récemment réservé aux États, alarme les responsables de la sécurité inquiets des possibilités ainsi offertes aux activités criminelles.

Deux jours de colloque sur «le chiffre, le renseignement et la guerre» à l'Historial de la Grande Guerre à Péronne ont également illustré les enjeux industriels d'une technologie de pointe dans la «guerre économique» qui oppose grandes entreprises et multinationales pour la domination de l'économie mondiale.

La cryptologie est entrée dans la vie quotidienne avec la carte bancaire à puce. Elle se répand avec, par exemple, la généralisation de la carte de Santé et même la déclaration d'impôts qui peut désormais être faite en ligne sur Internet.

Elle est aussi présente dans les téléphones portables et, indispensable pour tout commerce électronique, elle se fera bientôt, a expliqué Michel Judde, de la société Thalès, directement dans chaque ordinateur dans lequel seront intégrés des processeurs de cryptage.

Le codage des données, pour Mme Louise Cadoux, vice-présidente de la Commission Nationale de l'Informatique et des Libertés (CNIL) est, «un outil de protection de la vie privée, un droit reconnu sans hésitation mais dont le contenu et le périmètre sont mal identifiés».

Les fichiers également doivent pouvoir «résister» aux intrusions et Mme Cadoux a ainsi émis des doutes sur la confidentialité des informations médicales recueillies grâce au système de carte Vitale de la Sécurité sociale et qui, a-t-elle indiqué intéresse tellement l'industrie pharmaceutique.

«Le glas du contrôle démocratique de notre société» En revanche pour le général Jean-Louis Desvignes, Directeur de l'Ecole des Transmissions et ancien chef du service central de la sécurité des systèmes d'information, la libéralisation en 1999 de la cryptologie jusqu'alors considéré comme relevant de l'armement est une «abdication» qui «sonne sans doute le glas du contrôle démocratique de notre société».

Et le général Desvignes attire l'attention sur le fait qu'il est impossible de savoir si un produit de cryptologie acheté sur le marché assure véritablement le degré de confidentialité indiqué.

Dans les clés de 148 bits (un codage dont la longueur fait la force) peu de gens savent, indiquent ce spécialiste, que seuls les 8 ou 10 derniers bits sont vraiment codés, les 140 précédents étant connus.

Egalement, note-t-il, il n'est pas possible d'être certain qu'un message chiffré ne contient pas à l'insu de l'expéditeur, la clé permettant à un initié (le fabriquant ou un commanditaire, comme par exemple une agence de renseignement d'un grand pays) de le décoder sans difficulté.

Pour le colonel Jacques Baud, de l'Etat-major Général suisse, la généralisation du codage rend nécessaire un «renseignement plus pointu et plus intrusif» qui analyse, non une source précise mais l'ensemble des flux d'informations, comme le désormais célèbre Echelon, le système global d'interception et d'écoute mis en place par les États-Unis avec la Grande-Bretagne, l'Australie et la Nouvelle Zélande.

La justification des écoutes et des interceptions est souvent la sécurité nationale où la lutte contre «les quatre cavaliers de l'infocalypse» (le crime organisé dont les narco-trafiquants, les terroristes, les blanchisseurs d'argent et les pédophiles).

Mais, relève Mme Cadoux, la cryptologie assure également la revendication du «droit à l'anonymat», un droit, fait-elle remarquer, «directement issu d'un très vieux proverbe : "pour vivre heureux, vivons caché"».

Source: Multimedium (26/03/2001)