Internet sous l'oeil des services de renseignement

b. Les deux batailles de la cryptologie

La première bataille opposa les Internautes à leur Etat respectif. Très longtemps les services gouvernementaux furent les seuls habilités à utiliser des moyens de cryptologie, et leur usage par les particuliers paraissait impensable. La divulgation des logiciels de cryptologie était plus que tout redoutée. Concernant ce « conflit », les Etats-Unis et la France présentent deux cas de figure opposés. Aux Etats-Unis, la NSA règne en maître sur la cryptologie jusqu`au milieu des années 1970. Chercheurs et universitaires ne s`y intéressent guère ; c`est pourquoi en 1976 la publication par Diffie et Hellman, d`un article intitulé New Directions in Cryptography, fait l`effet d`une bombe. Pour la première fois, des universitaires oeils viennent de Stanford- publient un article de fond et innovant sur un sujet peu traité à l`époque. Leur apport est considérable : dans cet article ils proposent l`idée d`un système asymétrique, avec une clé publique et une clé privée. Pour la première fois, la NSA est réellement concurrencée sur un terrain qui lui était jusqu`alors réservé. Cet article provoque un véritable bouillonnement dans les milieux universitaires qui commencent à travailler d`arrache-pied sur le développement de nouveaux systèmes cryptographiques.

Résultat : dans les années 1980, on trouve plus d`experts en cryptographie dans les universités qu`à la NSA, ce qui représente une situation totalement inédite. Les systèmes cryptogaphiques ne cessent alors de se développer aux Etats-Unis. Il faut rappeler que jamais les Etats-Unis n`ont appliqué de loi concernant un contrôle domestique de la cryptographie. Néanmoins la plupart des créés à l`époque systèmes étaient « faibles », et leurs codes facilement déchiffrables. Selon Philip Zimmermann, « People who wrote softwares didn`t get that cryptography is hard and complex. Their products were badly designed and had bad cyphers«<sup>64</sup>. De ce fait, ces produits n`avaient

⁶⁴ « Les personnes qui écrivaient les logiciels ne réalisaient pas que la cryptologie était une science difficilie et complexe. Leur produits étaient mal faits et contenaient de mauvais systèmes de chiffrement. » Interview avec

que peu de valeur en comparaison des produits de la NSA; l`agence assistait donc au développement de ces logiciels, de façon attentive mais peu inquiète. Les années 90 allaient considérablement changer la situation. Avec la diffusion d`Internet, de nombreuses voix se sont élevées pour réclamer un usage généralisé de la cryptologie, les Internautes désirant communiquer avec la garantie que leurs communications ne soient pas susceptibles d`être interceptées.

Tandis que les revendications des Internautes pour une meilleure protection des données se faisaient de plus en plus pressantes, en 1994, le gouvernement américain consentit à offrir un mécanisme cryptologique, nommé « Clipper Chip », à l`internaute lambda. L`algorithme sur lequel se fondait le Clipper Chip permettait d`encrypter toute communication digitale, que ce soient des données, des vidéos ou bien des voix humaines Ce mécanisme proposait certes un standard permettant de sécuriser les communications, mais la NSA avait en sa possession les clés permettant de lire les messages. Le secret réclamé par les Internautes se transformait ainsi en secret de polichinelle.... Ce projet souleva aussitôt d`immenses protestations dans la communauté des Internautes. Une pétition, notamment soutenue par le site www.cpsr.org (Computer Professionals for Social Responsability)⁶⁵ commença à circuler sur le web pour le retrait immédiat du projet « Clipper chip ». En 1995, le projet fut abandonné.

Au même moment est apparu aux Etats-Unis le mouvement des Cypherpunks évoqués plus haut. Une seule volonté : « Les cypherpunks considèrent que l`intimité est précieuse et souhaitent qu`elle soit améliorée »⁶⁶. Face à la mainmise des services de renseignement sur les moyens de cryptologie, ils chercheront rapidement à programmer eux-mêmes des solutions de cryptologie. Les cypherpunks allaient rapidement trouver un héros en la personne de Phil Zimmermann. Ce programmeur, féru de cryptologie, lança en effet sur le web en 1991, son logiciel PGP (Pretty Good Privacy), logiciel si brillamment conçu qu`il était impénétrable, y compris par les spécialistes de la NSA. Sa clé était en effet de 128 bits, alors qu`à l`époque la plupart des systèmes de cryptographie contenaient des clés de 56 bits. Autre détail aggravant aux yeux de la

Philip Zimmermann. La plupart des informations concernant le développement de la cryptologie aux Etats-Unis nous ont été fournies par Philip Zimmermann, au cours d`un entretien.

⁶⁵ Voir pétition : http://www.cpsr.org/program/clipper/cpsr-electronic-petition.html ⁶⁶ Charte des Cypherpunks, citée par Jean Guisnel, Guerres dans le cyberespace.

NSA, Zimmermann distribuait gratuitement son logiciel, si bien que des milliers d`internautes du monde entier s`empressèrent de le télécharger. Aussitôt, ce fut le branle-bas de combat au sein de l`agence, qui ne pouvait tolérer la circulation d`un tel produit. Zimmermann fut menacé de poursuites judiciaires pour avoir exporté des armes. Mais là encore, l`action des Internautes partisans des libertés civiles ainsi que celle des cypherpunks conduisit à l`abandon des poursuites en 1996. Les services gouvernementaux ne laissèrent cependant pas se poursuivre la libre diffusion du logiciel. Jusqu`en 1999, le gouvernement américain a sans cesse cherché à restreindre la vente de PGP, craignant que des terroristes, des criminels et des nations étrangères puissent y avoir recours<sup>67</sup>. Depuis, les restrictions sur les exportations d`outils de cryptologie ont presque toutes été supprimées. En janvier 2000, le département américain du Commerce a annoncé qu`il était désormais possible de vendre à l`étranger les systèmes de cryptographie dont la clé dépassait les 56 bits de longueur.

Les Internautes américains ont également eu à leur côté des poids lourds de l`économie américaine. En effet, la plupart des grandes entreprises et des grandes banques, si elles souhaitaient un jour profiter du e-commerce, se devaient de mettre de mettre en place des systèmes de transaction entièrement sécurisés. Ces entreprises ont exercé de très fortes pressions sur le gouvernement américain afin d`obtenir la libéralisation des systèmes cryptographiques. En 2000, le vice-président de Sun, Piper Cole, se réjouissait des avancées dans ce domaine : « Cela va nous aider pour nos ventes à l`étranger car la sécurité des transactions devient un problème de plus en plus important pour nos clients »⁶⁸.

En France, la situation était sans comparaison. En effet, le gouvernement interdisait la diffusion domestique de la cryptologie, celle-ci étant réservée aux seuls militaires, diplomates et services de renseignement. Ceux-ci n`avaient donc aucun adversaire. L`exemple français commença à être fustigé par des organisations, aussi bien françaises qu`américaines, prônant la liberté sur le web. Longtemps ces protestations n`eurent aucun effet. Il était impossible, en théorie, pour un particulier de se munir d`un système cryptographique. Il faut préciser qu`en France, il n`a jamais existé de mouvements semblables à celui des Cypherpunks, ou d`association aussi puissante que

⁶⁷ Art. du magazine Wired : http://www.wired.com/news/technology/0,1282,53782,00.html ⁶⁸ Internet Professionnel, art. d`Antonin Billet, Les Etats-Unis libèrent l`exportation des outils de cryptographie, 14 janvier 2000.

l`EFF ou l`EPIC. Les services de renseignement conservaient ainsi la haute main sur tous les produits de déchiffrement. En 1996, un premier pas fut fait en direction d`une législation moins sévère : avec la loi du 26 juillet, la cryptologie n`est plus considérée comme une arme de guerre. Elle devient accessible aux entreprises et aux particuliers, mais ces derniers sont dans l`obligation de déposer leur clé auprès d`un organisme spécialisé. Il faut attendre 1999 pour voir la situation basculer. Le retard français était considérable, puisque de tous les pays européens, elle fut la dernière à libéraliser la cryptologie. Ce retard peut vraisemblablement être attribué à la forte influence des institutions militaires françaises. Le 19 janvier, le comité interministériel pour la société de l`information décida la libéralisation de la cryptologie. Cette décision du gouvernement Jospin impliquait non seulement l`accès à la cryptologie de tous ceux qui le souhaitaient en France, mais abolissait également les interdictions d`exportation. L`Etat venait de capituler face aux demandes insistantes des entreprises et des marchés financiers.

La libéralisation de la cryptologie est symptomatique de deux faits essentiels : le développement des transmissions d`informations via Internet, et l`influence de plus en plus importante des marchés économiques et financiers, qui exigent au même titre que l`Etat une protection de leurs données les plus confidentielles. Dans une interview donnée en février 2003, Nicole Fontaine, Ministre déléguée à l`industrie explique que « l`usage libéralisé de la cryptologie permettra de sécuriser les données transmises par l`internaute, les établissements bancaires auront tout loisir de recourir à des chiffrements sans limite de longueur [en terme de bits] »⁶⁹. Pour Bernard Benhamou⁷⁰, la raison économique a beaucoup compté dans la libéralisation : « la volonté de libéralisation de la cryptologie correspondait aussi à un objectif d'harmonisation entre les différents pays européens puisque nous [la France] étions alors sur une ligne plus "dure" que celle de l'ensemble des pays de l'Union [européenne] (ce qui pouvait avoir d'importantes conséquences commerciales en effet les entreprises françaises auraient pu être handicapées par un niveau de sécurité plus faible que celles des autres pays) »⁷¹.

⁶⁹ Pierre-Antoine Merlin, Interview avec Nicole Fontaine (ministre déléguée à l'Industrie) : « Donner confiance au cyberconsommateur », 01 Informatique, 14 février 2003 ⁷⁰ Enseignant à l`IEP Paris, responsable des missions "Internet et Ecole" et "Internet et Famille", pour le ministère de l'Education nationale et le ministère délégué à la Famille. ⁷¹ Interview par mail avec Bernard Benhamou

La libéralisation du 19 janvier 1999 a constitué, selon le journaliste Jean Guisnel, une véritable défaite pour les services de renseignement français : « Les services secrets français ont vécu le 19 janvier un Waterloo digital. Rompant avec une tradition séculaire,[...] le Premier Ministre Lionel Jospin a totalement libéralisé l`usage de la cryptologie en France »<sup>72</sup>. Un agent des services cité par Jean Guisnel s`est ainsi exclamé : « La cryptologie libre, c`est la fin de l`Etat ! ». Après avoir conservé leurs privilèges pendant des décennies, les services de renseignement devaient peu à peu céder aux pressions à la fois des Internautes et du Marché. Néanmoins, la fin de l`Etat est encore loin ; cette exclamation apparaît bien plutôt comme un signe ponctuel d`exaspération, face à une décision politique contestée par les services, mais in fine nous serons amenés à voir que les services de renseignement, s`ils ont dû progressivement lâcher du lest dans le domaine de la cryptologie, ont su s`adapter d`autres manières au développement d`Internet et ce, au bénéfice de l`Etat.

La deuxième bataille a eu lieu sur la scène internationale. Il s`agit d`une bataille « de gouvernants», opposant des Etats ne souhaitant pas voir leurs technologies militaires diffusées dans d`autres Etats, qu`ils soient ou non considérés comme des Etats amis.

Trois grandes phases ont ponctué cette bataille concernant la libéralisation des exportations -dans un premier temps, les Etats refusent toute exportation -dans un deuxième temps, ils libèrent peu à peu la cryptologie, mais les systèmes obtenant le

droit d`export sont des systèmes faibles, que l`Etat peut facilement casser. -dans un troisième temps, l`Etat doit céder : c`est la libéralisation totale de la cryptologie.

Cette bataille-ci fut intense des deux côtés de l`Atlantique. Aux Etats-Unis, la règle suivante prévalut longtemps : « si un programme contient un cryptosystème que la NSA ne peut briser très facilement, ce produit ne recevra pas de licence d`exportation »⁷³ . C`est pourquoi, très longtemps, l`Etat américain n`autorisa que des systèmes ayant des clés de 40 bits... pour la NSA un véritable jeu d`enfants à déchiffrer ! En France, les mêmes problèmes se posaient. Comme

⁷² Le Point, Art. de Jean Guisnel, 21 mai 1999 ⁷³ Jean Guisnel, Guerres dans le Cyberespace, La Découverte, Paris, 1997, p.78

aux Etats-Unis, la cryptologie fut longtemps considérée comme un matériel de guerre, avec une conséquence logique : « toute sortie du territoire français d`un cryptosystème est [...]interdite, à moins qu`il ait bénéficié d`une dérogation en bonne et due forme accordée par la CIEEMG (Commission interministérielle pour l`étude des exportations de matériel de guerre) »⁷⁴.

Ceci posait deux problèmes majeurs : d`une part, les mécanismes cryptologiques n`étant pas autorisés à être exportés, il était donc impossible pour deux internautes de pays différents de communiquer avec des e-mails, un tant soit peu sécurisés, puisque leurs systèmes étaient incompatibles ; d`autre part, il était impossible pour les services de renseignement d`un pays X d`avoir accès aux messages cryptés d`un pays Y. Or dans certains cas, pour des raisons de sécurité nationale, les services estimaient que cet accès leur était nécessaire. Se sont alors engagés de longs pourparlers entre pays « alliés » afin de trouver une solution au problème de la cryptologie. Les Etats-Unis ont notamment cherché, en 1994, à imposer leurs standards de cryptologie aux pays du Vieux Continent : « Les Français, les Britanniques, et les Allemands, se sont vu soumettre l`idée de recourir à l`initiative MISSI (Multilevel Information System Security Initiative) consistant entre autres dispositifs à imposer l`emploi d`une carte de communication Fortezza, ce dernier terme étant une marque déposée par la NSA »⁷⁵. Cette solution a cependant été très vite repoussée, aucun pays européen ne souhaitant se trouver pour ainsi dire sous la coupe de la redoutable NSA.

On s`achemina alors progressivement vers la libéralisation de la cryptologie, solution qui résolvait de nombreux problèmes, même si elle limitait, semble-t-il, le pouvoir des services de renseignement. Dans les faits, de nombreux scandales ont éclaté dans les années 90 concernant des « backdoors » installées par la NSA sur certains logiciels de cryptologie. La question de ces portes dérobées a été longuement discutée dans les médias. C`est ainsi qu`en mars 2000, Microsoft a été accusé d`avoir installé une porte dérobée sur Windows, afin que la NSA ait accès aux données des utilisateurs. En effet, un spécialiste de la sécurité avait trouvé dans le logiciel une ligne de code comportant les initiales NSA⁷⁶. Bien sûr, cette information a été strictement démentie par l`entreprise de Bill Gates. Autre exemple significatif : en février 2001,

⁷⁴ Jean Guisnel, op. cité, p.98 ⁷⁵ Jean Guisnel, op. cité, p. 111 ⁷⁶ Décision Micro, art. de Karim Benoussi, Une porte dérobée serait installée dans Windows, le 13 avril 2000.

la NSA a mis gratuitement à la disposition de la communauté Open Source une version sécurisée de Linux, appelée SEL (Security Enhanced Linux)⁷⁷. Compte tenu des frais engendrés par les recherches de cryptage, les spécialistes en informatique ont objecté que la NSA n`avait pu agir « pour le bien de la communauté ». Une fois encore, l`agence a été soupçonnée d`avoir introduit des backdoors dans le code source. Il n`existe bien sûr aucune preuve à 100% fiable concernant ces portes dérobées. Néanmoins tous les spécialistes jugent que la NSA n`a pu assister passivement à la libéralisation de la cryptologie. La mise en place de ces « portes » leur permettant de déchiffrer les messages reste donc une hypothèse plausible. Les backdoors ont cependant été très contestées, certains estimant qu`elles étaient plutôt un élément risquant de déstabiliser les infrastructures de sécurité des Etats.