Journal d'investigation en ligne et d'information‑hacking
par Jef

L'étrange cryptographie du New York Times

Séquence de boot Linux Le NYT conclut pourtant que cette description « correspond à l'apparence d'un logiciel de chiffrement particulier, que l'EI a revendiqué avoir utilisé durant les attentats de Paris », en faisant probablement allusion à une macabre vidéo diffusée par l'organisation en janvier, dans laquelle figurait une utilisation fictive de PGP.

Beyer cryptographic watch - Photograph by Rama, Wikimedia Commons, Cc-by-sa-2.0-fr

Hier matin, alors que nous buvions le premier d'une longue série de cafés dominicaux, nous reçûmes une alerte du système top-secret du Service du Chiffre de Reflets, qui attirait notre attention sur un article du vénérable New York Times. L'article dresse un état des lieux sur le mode opératoire des auteurs des dramatiques attentats de Paris. Dates, lieux, noms, faits, témoignages, c'est dense, très complet, et pour cause : les journalistes du NYT ont eu accès à une copie du rapport de 55 pages transmis par l'antiterrorisme à la Place Beauvau, ainsi qu'à nombre d'autres documents et témoignages.

Quelques passages nous ont pourtant laissé perplexes, pour ne pas dire embarrassés, et nous ont fait instantanément penser à un autre article du NYT et des mêmes auteurs, daté de novembre dernier. Cet autre texte, très documenté lui aussi, contenait pourtant un passage qui nous avait déjà un peu fait tiquer sur le plan technique.

Dans l'article de novembre, le NYT nous apprenait qu'Abaaoud, l'un des terroristes, utilisait les « technologies de chiffrement ». Plus loin, on comprenait ce qui était entendu par là, et l'on pouvait lire qu'Abaaoud avait fourni à Hame, un jeune français parti en Syrie et entendu par les autorités à son retour, des « logiciels de chiffrement » :

Mr. Abaaoud avait demandé à Mr. Hame de frapper une cible facile, où il pourrait cause un « maximum de victimes ». Il avait donné à Mr. Hame une adresse email pour le joindre et une clé USB contenant une clé de chiffrement qu'Hame devait télécharger sur son ordinateur. Mr. Abaaoud avait promis davantage d'instructions sur le lieu où se procurer des armes pour l'attaque et sur la salle de concert à frapper.

C'est assez probablement le système de chiffrement PGP, communément utilisé pour sécuriser les communications par email, qui est ici évoqué. Or, si l'on sait comment fonctionne la cryptographie hybride, notamment sa composante asymétrique, pour que les « instructions » puissent circuler dans le sens Abaaoud - Hame, c'est Hame qui aurait dû remettre une clé à Abaaoud (sa clé publique, en l'occurrence), et pas l'inverse. Les informations contenues dans ce paragraphe sont très probablement vraies, si on les envisage indépendamment les unes des autres. Mais la narration est organisée de manière à ce que le chiffrement soit perçu comme le moyen essentiel pour la planification des attentats.

Le plus récent des deux articles reprend le témoignage de l'une des malheureuses victimes prises en otage dans le Bataclan :

L'un des terroristes sortit un ordinateur portable, le plaçant, ouvert, contre un mur, a déclaré la femme âgée de 40 ans. Quand l'ordinateur s'est allumé, elle a vu une ligne de charabia sur l'écran : « c'était bizarre - il était en train de regarder plein de lignes, comme des lignes de code. Il n'y avait pas d'image, pas d'Internet, » a-t-elle dit.

Il n'y a bien sûr aucune raison de douter du témoignage de cette personne, mais qu'a-t-elle vu au juste ? D'après la description, il pourrait s'agir de n'importe quel logiciel produisant une sortie dans un terminal texte, ce qui a souvent tendance à impressionner ceux qui n'ont jamais évolué en dehors d'un environnement graphique. Les fameuses lignes de code étant apparues, d'après elle, juste au moment du démarrage de l'ordinateur, la plus évidente des conclusions est qu'il s'agisse des éléments affichés par la séquence d'initialisation de son système d'exploitation.

Séquence de boot Linux

Le NYT conclut pourtant que cette description « correspond à l'apparence d'un logiciel de chiffrement particulier, que l'EI a revendiqué avoir utilisé durant les attentats de Paris », en faisant probablement allusion à une macabre vidéo diffusée par l'organisation en janvier, dans laquelle figurait une utilisation fictive de PGP. Même si l'on admet que c'était bien un message PGP qui était affiché sur l'écran de l'ordinateur du terroriste, quel intérêt ce dernier aurait-il eu à lire un message sous sa forme chiffrée, par définition illisible ?

Un autre passage est bien plus étonnant :

Selon le rapport de police et des interviews avec des officiels, aucun email ni aucune communication électronique des attaquants n'ont été trouvés, ce qui incite les autorités à conclure que le groupe a utilisé le chiffrement. On ignore encore quel sorte de chiffrement [...].

Les communications électroniques laissent toujours des traces. Les échanges, même lorsque le contenu est chiffré, et même en admettant que ces contenus soient consciencieusement supprimés après avoir été envoyés et reçus, requièrent la présence d'informations nécessaires à l'acheminement des messages. Par définition ces informations, des métadonnées, ne peuvent être chiffrées. Il n'y a pas des centaines de conclusions que l'on peut tirer de l'absence de ces traces : soit ces communications n'ont pas eu lieu, soit elles ont eu lieu via d'autres canaux. Comment peut-on déterminer la présence de quelque chose parce que l'on constate son absence ? Le raisonnement est proprement stupéfiant. Pour reprendre les mots de Christopher Soghoian de l'ACLU, « l'article du NYT sur les attentats de Paris a autant (sinon plus) de sens si vous remplacez "chiffrement" par "magie" ».

Il est très probable que des outils intégrant de la cryptographie soient utilisés par certains membres ou sympathisants de Daech : passons à autre chose, on ne peut pas plus les en priver que l'on ne peut les empêcher d'utiliser le théorème de Pythagore. De la part d'un journal aussi respecté que le New York Times, on est en revanche en droit de s'étonner de tels biais de confirmation dès lors qu'il est question de chiffrement.

0 Commentaires
Une info, un document ? Contactez-nous de façon sécurisée