Internet sous l'oeil des services de renseignement

c. La sécurité des réseaux

Le développement des réseaux a conduit les Etats à s'interroger sur la sécurité des informations y transitant. Dans le domaine désormais crucial de l'information, la sécurité devient aussi essentielle que dans le domaine militaire ou économique: « Le passage de la société industrielle à la société de l`information entraîne aussi des risques considérables sur le plan de la sécurité [...]Les informations toujours plus nombreuses qui sont compactées en un endroit peuvent facilement être recopiées par des pirates informatiques. Parallèlement, d`autres données sensibles sont décentralisées, ce qui rend difficile une gestion centrale de la sécurité »⁷⁸. L`idée même de sécurité totale semble devenue obsolète ; dès lors que des réseaux de communication sont communs, on peut craindre des intrusions, même si de nombreuses mesures sont prises afin de lutter contre toutes ces attaques. « La réflexion sur la sécurité et le contrôle des systèmes d`information nécessite donc une approche concertée entre militaires et civils, afin de préserver au mieux les intérêts de la société »⁷⁹.

L`utilisation du réseau Internet peut donc être considérée comme une vulnérabilité. Dan Farmer, spécialiste américain de la sécurité informatique a réalisé en novembre et décembre 1996 une

⁷⁷ 01 Net, art. de Renaud Bonnet, La NSA veut sécuriser Linux, 6 février 2001 ⁷⁸ Rapport Echelon, p.126 ⁷⁹ Défense Nationale, 1998, n°1, art. de Renaud Bellais, Technologie militaire et système d`information de défense,

étude portant sur la sécurité de 2200 systèmes informatiques, via Internet et conclut qu`il était fort aisé d`y pénétrer. Depuis, il est évident que les entreprises ont considérablement renforcé leur sécurité. Les services de renseignement, bien conscients de cette vulnérabilité, sont eux-mêmes en mesure de profiter de ces failles. Comme le mentionne le rapport Paecht⁸⁰, « les intrusions utilisent toutes les failles des matériels (hardwares) et des logiciels (softwares). De nombreux spécialistes ont confirmé ces failles à votre Rapporteur : elles peuvent prendre la forme de fonctions cachées dans les logiciels du commerce, c'est-à-dire non signalées dans la documentation remise à l'utilisateur mais qui peuvent être activées par un tiers ». Les services seraient ainsi en mesure de profiter de ces failles pour récolter des informations.

Cette attention portée à la sécurité informatique justifie les développements en matière de cryptologie : « La sécurité des systèmes d`information et des réseaux est le challenge majeur de cette décennie, et probablement du siècle suivant »<sup>81</sup>. En effet, Internet présente deux facettes aux services de renseignement : si c`est une extraordinaire base de données, permettant une circulation généralisée de l`information, le réseau pose également de sérieux problèmes en matière de sécurité. Les services de renseignement doivent simultanément profiter des avantages du Net et savoir s`en défier.

Ceci explique de nombreuses transformations actuelles au sein des services de renseignement, notamment français. Dans le rapport⁸² du député Bernard Carayon sur le SGDN et le renseignement, on apprend que la sécurité des systèmes d`information est devenue un enjeu essentiel. Le rattachement, le 31 juillet 2001, du Service Central de la Sécurité des Systèmes d`Information (SCSSI) au Secrétariat Général de la Défense Nationale (SGDN) traduit la prise en compte de l`importance de la sécurité informatique. Le SCSSI a depuis été renommé Direction centrale (DCSSI). « La montée dans l`organigramme de cet organisme, qui de service central, devient Direction Centrale, traduit, sans nul doute, la volonté de renforcer

⁸⁰ Rapport d`information déposé par la commission de la défense nationale et des forces armées sur les systèmes de surveillance et d'interception électroniques pouvant mettre en cause la sécurité nationale, présenté par M. Arthur Paecht, Député, 2000.<sup>81</sup> Joint Security Commission, 1999, cité sur le site de la NSA <sup>82</sup> Projet de loi de finances pour 2003 (Rapport présenté au nom de la Commission des Finances, de l`Economie générale et du Plan), Secrétariat Général de la Défense Nationale et Renseignement), Rapporteur, Bernard Carayon, Député.

l`attention et les moyens de la mission sécuritaire essentielle en matière de défense. [...] Le décret [qui donne naissance à la DCSSI] lui confie le soin d`instruire les dossiers relatifs aux décisions du Premier Ministre en matière de cryptologie, et de mettre en OEuvre les procédures d`évaluation et de certification relatives à la signature électronique »⁸³.

D`autre part, début 2000, a été créé le Centre de recensement et de traitement des attaques informatiques (CERTA) ; ce centre gère aujourd`hui près de 15 interventions par mois. Selon le rapport Echelon du Parlement Européen, il est « possible d`estimer les incidents de sécurité et les attaques sur l`Internet à respectivement 20 000 et 2 millions par an »⁸⁴.

Depuis la libéralisation de la cryptologie, la DCSSI détient le rôle d`autorité nationale de régulation en matière de sécurité des systèmes d`information. Avec le développement de la cryptographie asymétrique, des besoins considérables en matière d`infrastructure de gestion des clés publiques apparaissent. Là encore, la DCSSI tient une place indispensable. Dans le projet de budget 2003, ce sont 10,163 millions d`euros de crédits de paiement qui sont attribués au développement des capacités de cryptologie, pour les services de renseignement. Le rapport Carayon insiste d'ailleurs sur la nécessité de mettre en OEuvre d'importants moyens dans ce domaine: « Pour l`exploitation des messages interceptés, les investissements relatifs aux analyses cryptologiques devront être soutenus, afin de faire face à la dérégulation du commerce de la cryptologie et à l`extension de l`emploi de moyens de télécommunications protégés par les acteurs des menaces transnationales »<sup>85</sup>. Ce dernier point est essentiel. Aujourd'hui, les services de renseignement sont confrontés à des acteurs qui disposent de moyens techniques extrêmement sophistiqués, notamment en ce qui concerne la cryptologie, afin de sécuriser au mieux leurs messages. Ceci représente un énorme défi pour les services. On peut remarquer qu'aux Etats-Unis, la NSA ne cesse de recruter des hackers ou autres spécialistes, casseurs de codes, afin de percer les secrets de certaines organisations. L`agence a ainsi fait appel aux services de Supercomputer Center, entreprise montée par Shimomura, l`un des plus grands hackers qu`aient connu les Etats-Unis. En France, la DGSE aussi bien que la DST

⁸³ Arès, mai 2002, n° 49, art. De Michel Rousset: Textes législatifs et réglementaires intéressant la défense et les armées, p. 97 ⁸⁴ Une attaque de sécurité est une tentative isolée d`obtenir un accès sans autorisation à un système. Un incident consiste en un certain nombre d`attaques conjointes (Rapport Echelon)⁸⁵ Rapport Spécial, Bernard Carayon, p. 13

(Direction de la Sécurité du Territoire), ont elles aussi eu recours aux services de jeunes hackers : « le jeune pirate pris la main dans le sac se verra souvent proposé un marché qu`il ne peut décemment pas refuser »⁸⁶.

Dans le contexte actuel où les Etats mettent en avant la multiplication des acteurs menaçants, savoir casser les codes, maîtriser les outils cryptologiques les plus puissants, représentent un véritable enjeu de pouvoir. Au cOEur de cet enjeu, le dilemme présenté en introduction et souligné dans le rapport Paecht⁸⁷: "Le dilemme essentiel de la cryptographie tient à l'impossibilité de concilier les exigences des libertés publiques individuelles (protéger la confidentialité des communications privées dans un monde où les échanges sont libéralisés, donc disposer de chiffres impossibles à briser) et les impératifs de la sécurité collective (traquer les messages criminels donc être capable de briser des chiffres ou d'avoir accès à certaines informations cryptées)". Or il paraît évident que la notion de sécurité collective l'emporte aujourd'hui car les Etats ont pris conscience que le Réseau était profitable à différents groupes considérés comme une menace pour l`Etat. Nous y reviendrons.

⁸⁶ Jean Guisnel, Guerres dans le Cyberespace, La Découverte, Paris, 1997, p.164 ⁸⁷ Rapport d`information déposé par la commission de la défense nationale et des forces armées sur les systèmes de surveillance et d'interception électroniques pouvant mettre en cause la sécurité nationale, présenté par M. Arthur Paecht, Député, 2000.

La cryptologie sous son aspect technique

Aujourd'hui, les performances croissantes des ordinateurs ont rendu l`amélioration de la cryptographie nécessaire. Face aux capacités de calcul de l`ordinateur, les ingénieurs ont constamment allongé les clés de chiffrement, pour rendre le décryptage le plus difficile possible, voire impossible. Si la NSA a toujours eu dans ses attributions la mise en OEuvre de mesures cryptologiques, elles ont longtemps servi au chiffrage/déchiffrage de communications téléphoniques, de correspondances épistolaires ou par fax. Avec Internet, le système cryptographique évolue brutalement. En effet, dans la cryptographie traditionnelle qui touche surtout les documents « papier », destinataire et expéditeur avaient la même clé de chiffrage. Cette clé était indiquée directement dans le document envoyé. Aujourd`hui, cette technique est obsolète, car peu fiable. Avec Internet, il devient extrêmement imprudent de faire parvenir la clé dans le message ; celui-ci pourrait en effet se faire intercepter facilement. C`est ce constat qui a conduit la NSA, ainsi que des universitaires, à rechercher des solutions cryptologiques de plus en plus pointues.

La cryptographie « moderne » est désormais basée sur un système asymétrique, qui propose une clé différente à l'expéditeur et au destinataire. On parle de clé publique pour le chiffrement (celle-ci peut-être connue de tous), et de clé privée pour le déchiffrement (elle n`est connue que du destinataire). Plus la clé a de bits, plus elle est difficile à déchiffrer ; les logiciels de cryptographie développés et utilisés par les services de renseignement comportent aujourd`hui, au moins 128 bits et pour la plupart 256 bits. Le standard AES à 256 bits s`est imposé parmi les agences américaines suite à une compétition organisée par le gouvernement américain. Jusqu`à présent la clé utilisée était le DES, mais compte tenu des progrès de calculs des ordinateurs, elle était devenue trop faible. C`est pourquoi, dans les années 1990, le gouvernement américain confia au NIST (National Institute for Standard and Technologies) le soin d`organiser une compétition afin de trouver un meilleur système. Au début des années 2000, on désigne le vainqueur :AES, un système belge absolument inviolable.