Journal d'investigation en ligne et d'information‑hacking
par Jef

La Guerre de la Crypto n'aura pas lieu, mais ça risque de piquer quand même

Vous revenez de trois semaines de congés dans la ceinture de Kuiper. Vacances bien méritées, cela va sans dire. Mais là-bas, outre le fait que vous avez du vous cailler fichtrement les meules, la troigé ne passe pas très bien. Niveau actualités, vous êtes donc en session de rattrapage. Et le moins que l'on puisse dire, c'est qu'entre les élections régionales qui poudroient, l'état d'urgence qui flamboie, et la COP21 qui merdoie, l'actualité récente est plutôt chargée.

Machine de Lorenz
Machine de Lorenz
Vous revenez de trois semaines de congés dans la ceinture de Kuiper. Vacances bien méritées, cela va sans dire. Mais là-bas, outre le fait que vous avez du vous cailler fichtrement les meules, la troigé ne passe pas très bien. Niveau actualités, vous êtes donc en session de rattrapage. Et le moins que l'on puisse dire, c'est qu'entre les élections régionales qui poudroient, l'état d'urgence qui flamboie, et la COP21 qui merdoie, l'actualité récente est plutôt chargée. Il est un sujet qui revient régulièrement dans des articles de presse ici ou là. Difficile d'accès pour le profane, assez mal comprise de la plupart des journalistes, la cryptographie est associée de manière quasiment systématique à son usage, réel ou supposé, par les terroristes ou les criminels.

Entre les années 90 et le début des années 2000, la progressive démocratisation de l'ordinateur personnel, le développement du réseau Internet et du commerce électronique, ont naturellement créé un appel d'air pour une cryptographie civile plus libre. Elle était auparavant l'apanage des militaires. Aux États-unis et jusqu'au milieu des années 2000, les partisans de cette cryptographie libérée et le gouvernement se sont affrontés, notamment sur le terrain juridique. Même si les libertés civiles ont été évoquées, c'est principalement l'argument économique qui a prévalu. Les restrictions sur l'utilisation de la cryptographie et son exportation hors USA ont été en grande partie levées. En France, la Loi de Confiance sur l'Économie Numérique a rendu légale l'utilisation de la cryptographie en 2004. Les révélations de Snowden en 2013 ont ensuite déplacé le débat du terrain économique à celui de la vie privée. De ce fait, on pensait la cryptographie relativement protégée des tentations politiques de reprendre ce qui avait été concédé. Bien que l'on ait eu de temps en temps un petit rototo anti-chiffrement, les Crypto Wars semblaient globalement gagnées.

Diabolisation

Depuis les attentats de janvier 2015, on a vu de régulières déclarations d'officiels remettant en question les technologies de cryptographie (ou de "cryptage", comme d'aucuns se plaisent à l'appeler). De la part des services de renseignement, des forces de l'ordre, ou de certains magistrats, ce n'est guère surprenant. Un email de Robert S. Litt (un juriste de la communauté du renseignement US), fuité en août 2015, illustre assez bien cette stratégie opportuniste : "bien que l'environnement législatif soit vraiment hostile aujourd'hui, cela pourrait changer dans le cas d'une attaque terroriste ou d'un événement criminel où l'on pourrait démontrer que le chiffrement a gêné les autorités". Ça vous rappelle quelque chose ? Ce qui ne laisse pas d'étonner, ce sont les nombreux articles de presse qui relayent ces communiqués sans distanciation. Certains journalistes font preuve d'une franche hostilité envers la cryptographie.

En général, ceux-là sont d'ailleurs à peu près contre tout ce qui touche de près ou de loin à Internet, "zone de non droit", et exploitent sans retenue tout élément permettant d'alimenter leur biais de confirmation. Mais parmi tous les autres - et c'est heureusement la majorité, je crois - rares sont ceux qui disposent d'un recul suffisant sur les questions techniques en général et la cryptographie en particulier. Trop d'entre eux relayent encore, sans trop se poser de questions, les déclarations officielles qui la diabolisent avec plus ou moins de finesse. La pression monte et beaucoup sont ceux qui, parmi les défenseurs des libertés, redoutent ainsi une nouvelle guerre de la crypto. Les terribles attaques de novembre ont encore amplifié le phénomène et à chaque nouveau papier qui paraît depuis un mois, où à chaque nouveau texte de loi annoncé, on se surprend à adresser des prières silencieuses à Saint Isidore.

Arguing
Arguing

Le fait que les terroristes et autres criminels utilisent des moyens de chiffrement ne devrait pas nous surprendre. Il utilisent des véhicules, des crayons à papier, des talkies-walkies ou le téléphone. Mais personne n'a jamais songé à interdire l'une de ces technologies-là. Le chiffrement, si.

Pourtant, il ne permet pas aux terroristes de se cacher, pas plus que son absence ne les empêcheraient de communiquer discrètement. Au lieu d'essayer d'adapter les pratiques des forces de l'ordre à la technologie, on fait l'inverse. Comme le dit Mike McDonnell, ancien patron de la NSA :

Technology will advance, and you can’t stop it. Learn how to deal with it.

Mais du côté des officiels et du politique, qu'il s'agisse de la France, des États-Unis ou du Royaume-Uni, c'est quasiment toujours la même rengaine. La vie privée est, selon ceux-là, un privilège individuel, là où la sécurité est une garantie collective. Impossible donc d'améliorer la seconde sans tailler allègrement dans la première. Comme nous vivons une époque dangereuse, vous serez bien sympa de vous la jouer un peu moins égoïste. Après tout, vous n'avez pas grand chose à cacher. Et puis on ne regardera pas, c'est promis. Alors qu'avec toute votre vie privée partout, là, on va être bien emmerdés pour attraper les méchants qui se planquent dans les coins les plus sombres de la cryptographie.

Phillip Rogaway, dans un excellent papier, The Moral Character of Cryptographic Work, résume bien cette rhétorique et son élément clé, la peur : "peur du crime, peur de perdre la protection de vos parents, et même peur du noir". Du FUD, quoi. Il contredit, à juste titre, l'idée que la vie privée serait un bien individuel quand il s'agit avant tout d'un bien social. Il conteste également la dichotomie entre vie privée et sécurité dans la mesure où, je cite, "la vie privée améliore autant la sécurité qu'elle ne se frotte à elle". La surveillance est, elle, "un instrument de pouvoir" :

Bien qu'elle n'ait rien de nouveau, les changements technologiques ont donné aux gouvernements et grandes entreprises une capacité sans précédent d'observer les communications et les déplacements de chacun. (...) La surveillance tendra à rendre les gens uniformes, conformes et sans profondeur. Elle contrecarrera ou inversera le progrès social. Dans un monde où l'on est constamment observé, il n'y a de place ni pour l'exploration personnelle, ni pour la remise en question des normes sociales. (...) La cryptographie offre au moins un peu d'espoir. Grâce à elle, on peut se créer un espace hors de portée du pouvoir.

À la base de la cryptographie, on trouve tout un tas de petits éléments mathématiques, les primitives cryptographiques, qui sont combinés pour constituer des systèmes cryptographiques plus complexes. Ce sont ces derniers qui permettent de chiffrer, signer ou vérifier des fichiers, des messages ou des échanges. Ces systèmes cryptographiques sont à leur tour intégrés dans des systèmes et applications informatiques ayant des vocations très variées, mais qui s'appuient tous sur les mêmes primitives et systèmes cryptographiques. On ne peut fragiliser ces composants élémentaires sans dégrader la sécurité de tous les systèmes qui les utilisent. Cela a pris un bon bout de temps, mais même les plus anti-crypto semblent finalement avoir percuté que la cryptographie, c'est tout ou rien. On ne peut pas ordonner qu'elle se mette, d'un coup de baguette législative magique, à fonctionner dans certains cas et pas dans d'autres. Les différentes variantes de portes dérobées cryptographiques, qui visent à donner aux états des sortes de "super-clés" permettant de déchiffrer ce qu'ils veulent, sont inapplicables et posent plus de problèmes qu'elles n'en résolvent, pour peu qu'elle soient souhaitables. Pour ces différentes raisons, on peut donc supposer que la cryptographie en tant que telle ne sera pas remise en question, en tout cas pas frontalement.

Les Selfies et la cryptographie...

Si sur le plan mathématique et technique, il n'y a qu'une seule cryptographie, il est cependant possible d'effectuer une classification en tenant compte de ses finalités, comme le propose Arvind Narayanan. La crypto-for-security, d'une part, vise strictement à garantir la sécurité informatique. Elle protège par exemple les transactions bancaires, le trafic aérien, les cartes de paiement, l'e-commerce ou Facebook. Elle ne pose guère de problèmes.

La crypto-for-privacy, si elle vise également à plus de sécurité, a une portée beaucoup plus large, sur des aspects sociaux et politiques notamment. Elle permet de résister aux régimes autoritaires et, dans les régimes démocratiques, autorise plus de transparence en contribuant au fonctionnement d'organisations comme Wikileaks ou en aidant les journalistes à protéger leurs sources. C'est elle qui nous permet d'échanger idées, opinions et selfies dans une relative intimité. Alors que de plus en plus d'activités sont transférées en ligne, c'est cette crypto-for-privacy qui protége d'une surveillance envahissante, accorde (ou pourrait accorder) une vie privée à peu près équivalente à celle dont nous jouissons dans le monde réel. C'est elle qui permet de contourner la censure. En résumé, elle équilibre les pouvoirs.

Les primitives et systèmes cryptographiques sont selon toute probabilité à l'abri du législateur. Mais ce dernier pourrait tout à fait, particulièrement en cas d'accord transnational, contraindre la cryptographie et freiner son développement en visant certaines finalités particulières relatives à la vie privée. À voir la pression qui s'accentue de jour en jour sur les fournisseurs de services, la place de plus en plus grande que prend le sujet dans les médias, cela nous pend sous les narines. Bien sûr, ces mesures seraient contournées par les plus habiles techniquement. Elles seraient en revanche tout à fait opérantes sur la masse.

La guerre de la crypto n'aura sans doute pas lieu. Celle de la vie privée, rien n'est moins sûr.

0 Commentaires
Une info, un document ? Contactez-nous de façon sécurisée