Vacarme 69 / Indéchiffrables

En attendant La « cryptocalypse »

par

Chez les chercheurs en sécurité informatique, prestigieux, qui bénéficient de la confiance presque aveugle de l’industrie, l’humilité prévaut. Paradoxalement, les révélations de Snowden suscitent une telle effervescence, inventivité et réceptivité par et pour la cryptologie, un tel foisonnement de nos gestes numériques, que se précisent en même temps les formes d’un possible effondrement du système et celles d’une future protection par défaut de nos vies privées.

Jean-Jacques Quisquater, célèbre cryptographe belge, révélait en février 2014 que son ordinateur avait été infecté, pendant des mois, par un logiciel espion émanant potentiellement du GCHQ voire de la NSA, les « grandes oreilles » britanniques et américaines autrefois secrètes, mais qu’Edward Snowden a contribué à populariser. « Les fichiers Snowden ne sont qu’une pointe de l’iceberg », avait-il alors expliqué, « si ces gens m’espionnent moi, malgré mes connaissances de cryptographe, ils peuvent espionner tout le monde ». Quisquater n’avait pas cliqué sur une pièce jointe (une des méthodes les plus usitées pour infester un ordinateur), mais sur un lien, envoyé par une connaissance, l’invitant à le rejoindre sur le réseau social LinkedIn. Sauf que le lien ne renvoyait pas vers LinkedIn… Il éteignit alors son ordinateur, mais il était déjà trop tard. Après avoir nettoyé sa machine, utilisant plusieurs antivirus et anti-malwares, la police lui révéla que le logiciel espion avait malgré tout résisté à ses tentatives de désinfection, et qu’il continuait à l’espionner. Selon lui, plusieurs de ses collègues auraient également été ciblés.

En mai, Quisquater faisait circuler dans les réseaux de chercheurs en sécurité informatique un appel lancé par de prestigieux cryptographes. Vous ne les connaissez probablement pas, mais Whit Diffie, Martin Hellman, Ralph Merkle et Ron Rivest font partie des co-inventeurs de la cryptographie asymétrique (ou cryptographie à clef publique), une méthode de chiffrement permettant de communiquer de façon sécurisée sans avoir à partager de secret. Le procédé a été inventé à la fin des années 1970, mais son utilisation a explosé avec le développement d’Internet et du commerce électronique ; il permet encore aujourd’hui de chiffrer ses emails, d’authentifier une signature électronique, ou encore de se connecter de manière sécurisée à un site web.

En introduction de son appel, Jean-Jacques Quisquater reconnaissait humblement qu’« aucun de nous toutes et tous n’a de vraies preuves que ce que nous imaginons en cryptologie est vraiment solide, et nous devons donc rester bien modestes à ce sujet. L’industrie, par contre, nous fait une confiance totale et suit, sans examen, toutes nos propositions ». Or, « comme pour le climat, il est bien possible que nous allions à la catastrophe. Non seulement cela pourrait conduire à un collapse total de la sécurité d’Internet mais, pire, à un déni complet de notre compétence à sécuriser notre monde digital ». Avant d’appeler à la réunion des plus grands chercheurs du domaine, le 29 octobre 2014 à San Francisco, à l’occasion d’un workshop opportunément intitulé cataCRYPT.

Ils paient des entreprises pour installer des portes dérobées dans leurs logiciels.

Une série d’événements survenus ces derniers mois leur font en effet craindre une « cryptocalypse ». On savait que la NSA, le GCHQ et leurs pairs pratiquaient une surveillance massive, mais aucun expert n’avait imaginé son ampleur jusqu’à ce que les documents fournis par Edward Snowden révèlent, entre autres, que pour retrouver l’aiguille dans la botte de foin, ces organismes ont décidé d’archiver toutes les bottes de foin auxquelles ils ont accès, à savoir plusieurs centaines de milliards de métadonnées Internet ou téléphoniques, par... mois.

Au nombre des centaines de programmes d’espionnage mis au jour par le lanceur d’alerte, BULLRUN et EDGEHILL visent précisément à casser les codes secrets et à déchiffrer les messages chiffrés. Pour cela, les briseurs de code anglo-saxons installent des logiciels espions dans les ordinateurs cibles (afin de pouvoir intercepter les données avant qu’elles ne soient chiffrées, à l’image de ce qui est arrivé à Quisquater), mais ils intriguent aussi dans les comités internationaux afin d’amoindrir les standards de sécurité, voire paient des entreprises pour installer des portes dérobées dans leurs logiciels, comme on l’a découvert en décembre 2013, lorsque Reuters révéla que la société RSA — l’une des plus connues, et influentes, en matière de cryptographie asymétrique — avait été payée dix millions de dollars pour abaisser le niveau de sécurité de son générateur de nombres pseudo-aléatoires (une fonction essentielle en matière de cryptologie).

Pour autant, et contrairement à ce que de nombreux médias ont relayé, à tort, suite à la révélation de l’existence du programme BULLRUN, tous les logiciels et algorithmes de sécurité et de chiffrement n’ont pas été cassés. Comme l’a plusieurs fois déclaré fois Edward Snowden, « correctement implémentée, la cryptographie forte fonctionne. Ce qu’il faut craindre, c’est la vulnérabilité des points d’accès : si quelqu’un vous vole votre clef (ou le message avant qu’il ne soit chiffré), la cryptographie ne pourra rien pour vous ». Glenn Greenwald, le journaliste avec qui Snowden a travaillé, est la preuve vivante que la cryptographie fonctionne : il était ignare en la matière lorsque Snowden l’a contacté, et le premier document qu’il a reçu du lanceur d’alertes était une vidéo lui expliquant comment utiliser GnuPG (ou GPG, le plus populaire des logiciels de chiffrement), afin de garantir l’intégrité et la confidentialité de leurs échanges par email, et donc la protection des sources des journalistes. Greenwald a appris, et s’il continue encore à publier de nouveaux documents confiés par Snowden, c’est donc la preuve que ni la NSA ni le GCHQ n’ont réussi à pirater son ordinateur pour y effacer les documents.

La faille Heartbleed, qui a défrayé la chronique au printemps dernier, n’en illustre pas moins un autre versant de ce risque de « cryptocalypse » pointé du doigt par les chercheurs. Cette vulnérabilité, qui permettait à des personnes mal intentionnées de récupérer des données censées être inaccessibles et protégées, avait été introduite par erreur le 31 décembre 2011 par un développeur bénévole qui entendait corriger un bug et donc améliorer le logiciel OpenSSL (l’une des boîtes à outils de chiffrement les plus utilisées pour sécuriser les échanges de données sur Internet). Celle-ci n’a été découverte qu’en mars 2014. Nul ne sait si la NSA, le GCHQ, le SPETSSVIAZ (leur équivalent russe) ou un quelconque pirate informatique fut en mesure, entre temps, d’exploiter cette faille. Mais on aura au moins appris à cette occasion qu’en dépit d’une utilisation massive d’OpenSSL (deux tiers de tous les sites web), l’équipe ne comporte qu’un seul salarié et dix développeurs bénévoles...

Edward Snowden a permis au monde entier de découvrir qui sont les véritables paranoïaques.

Pour autant, le monde de la cryptographie ne se réveille pas de cette série de révélations avec une gueule de bois. Jamais il n’avait autant frémi, bruissé, bourgeonné, jamais on n’avait vu autant de projets, d’initiatives et de logiciels visant à sécuriser nos télécommunications, échanges de données et vies privées. Les grands acteurs du secteur, choqués d’être présentés comme des collaborateurs de la NSA au travers du programme PRISM (acronyme utilisé par la NSA pour décrire la façon qu’elle a de passer par le FBI pour demander des données à Google, Facebook, Microsoft & cie), mais également de découvrir que la NSA et la GCHQ avaient délibérément piraté des échanges de données entre Yahoo et Google, ont décidé de durcir leurs réseaux et de les chiffrer par défaut. Il aura fallu attendre des années avant que GMail n’ouvre le bal en chiffrant par défaut l’accès à sa messagerie. Plus récemment, la multinationale a annoncé qu’elle travaillait à y déployer GPG afin que ses utilisateurs soient en mesure de protéger également le contenu de leurs courriels. Aujourd’hui, plus aucun fournisseur de messagerie digne de ce nom ne proposerait une connexion non sécurisée par défaut (symbolisée par ce cadenas fermé dans la barre d’adresse du navigateur, signe que les données sont chiffrées entre votre ordinateur et le serveur web).

En marge de Google, Facebook et Apple, on voit aussi éclore de nombreux projets d’architectures informatiques « décentralisées », fonctionnant en pair à pair et non, comme c’est le cas avec ces géants cotés en Bourse, dans des fermes de données et silos centralisés — d’autant plus facile à espionner —, ainsi que de nombreux logiciels dédiés à la protection de la confidentialité des échanges. De même qu’Hadopi avait paradoxalement contribué, en France, à faire connaître les moyens et outils de chiffrement des communications, l’affaire Snowden aura permis d’entraîner des centaines de milliers d’internautes à apprendre à utiliser le logiciel Tor (qui permet d’anonymiser les connexions), Tails (un système d’exploitation live qui permet d’utiliser Internet de façon anonyme, sans laisser de traces), ou encore OTR (pour Off The Record, un protocole de messagerie instantanée sécurisé qui, contrairement aux courriels, chiffre ces traces si prisées par la NSA et ses pairs, les métadonnées).

Nombreux sont ceux qui, conscients qu’on n’empêchera jamais les espions d’espionner, entendent désormais augmenter le coût de cette surveillance massive, de manière à forcer les « grandes oreilles » à ne cibler que les suspects, et plus, comme c’est le cas actuellement, les « bottes de paille », la grande masse des télécommunications des citoyens lambda. Des pays, comme le Brésil, ou des acteurs des instances de régulation internationales du Net cherchent à enrayer l’espionnite aiguë des anglo-saxons en promouvant le « privacy by design » : le fait de penser la vie privée, et donc la sécurité informatique, comme socle préalable à tout projet informatique ou Internet. Un tournant inédit dans la mesure où ces questions et enjeux ont longtemps été relégués hors du champ médiatique, ou brocardés comme des préoccupations de doux droits-de-l’hommistes gentiment paranoïaques. Edward Snowden a permis au monde entier de découvrir les véritables paranoïaques du côté du GCHQ et de la NSA plutôt que chez ceux qui cherchent à protéger leur vie privée.

En confiant tous ces documents à Glenn Greenwald, Snowden voulait exposer les méthodes de ses ex-employeurs, et poser publiquement, pour qu’elle soit débattue, la question suivante : est-il normal, souhaitable, ou même seulement démocratique de vivre dans un monde ayant aboli la notion même de vie privée ? Le résultat va bien au-delà de ses espérances, non seulement au regard de l’ampleur médiatique prise par ses révélations, mais également dans ses conséquences : on n’avait jamais vu tant de gens s’impliquer autant pour qu’à l’avenir nos données, nos conversations, les traces de nos actions sur Internet ne soient pas forcément exploitables ou exploitées, que ce soit par la NSA, Google, Facebook, Orange, ou par vos proches — vous avez en effet plus de chance d’être espionnés par vos femmes et maris, enfants et parents, collègues et employeurs, que par tous les services secrets du monde, et vous êtes de toute façon d’ores et déjà surveillés et tracés par Google, Facebook et votre fournisseur d’accès.

À l’avenir, nos vies en ligne seront probablement chiffrées « par défaut ». Au vu de l’importance grandissante de nos faits et gestes numériques, le contraire serait étonnant. Mais pour l’heure, et avant une hypothétique « cryptocalypse », nous assistons surtout à l’intense floraison de logiciels et modes d’emploi porteurs d’une même promesse : le droit de chacun à son « quart d’heure d’anonymat ». ■

Post-scriptum

Jean-Marc Manach est un journaliste spécialisé dans les questions liées à l’Internet et à son usage ; il s’intéresse en particulier à la surveillance numérique et à la protection de la vie privée. Il est l’un des membres fondateurs des Big Brother Awards en France ; son dernier livre, Au pays de Candy, est une enquête sur les marchands d’armes de surveillance numérique.