Chapitre 4

L'origine du chiffrement des

échanges

Le TLS permet à la fois d'assurer l'identité, l'intégrité, la non-répudiation et la confidentialité des données lors d'un échange biparti. Les trois premiers points sont purement « bénéfiques ». C'est-à-dire qu'ils apportent une sécurité sans compromis. En effet, ils permettent de s'assurer que nous échangeons bien avec la personne voulue, que la donnée reçue soit identique à celle envoyée, et donc que personne ne l'a modifiée en cours de route. Ainsi que de permettre de dire que l'émetteur à bel et bien envoyé un message et ne pourra pas le nier. Ces trois points sont donc essentiels à un échange sécurisé mais surtout, n'apporte aucune problématique particulière.

A l'inverse, le rôle de confidentialité qu'apporte le TLS est au centre de débats importants et houleux. Comme vu précédemment, la confidentialité des données est garantie par la cryptographie. Or, ce chiffrement des données est assez mal vu par certains organismes. Et pour cause, reprenons rapidement l'évolution du chiffrement dans l'histoire.

Le but de la cryptographie a toujours été d'assurer la confidentialité d'une donnée en la rendant illisible pour tout individu n'ayant pas les connaissances suffisantes pour décoder le message. Cette pratique remonterait, au moins, au XVI^ième avant J.C. Un document retrouvé en Irak semble avoir fait l'objet d'une technique cryptographique, en effet, un potier a voulu protéger sa recette, en modifiant l'orthographe de certains mots et en supprimant des consonnes 1.

Par la suite, la cryptographie a eu une place importante dans les stratégies et tactiques militaires. Elle permettait de pouvoir communiquer entre différentes parties sans vraiment se soucier que le message puisse être intercepté. Par conséquent, une cryptographie bien pensée offrait un avantage important lié à la communication. Dans les cas les plus connus de cryptographie militaire, nous pouvons citer le décalage de César² ainsi que la machine Enigma³ utilisée par l'Allemagne lors de la Seconde Guerre Mondiale. C'est donc assez naturellement, qu'en France, la cryptographie a longtemps été considérée comme une arme militaire, par conséquent les civils n'avaient pas le droit d'utiliser cette pratique.

A partir de 1990, les moyens cryptographiques ne sont plus considérés comme armes militaires sauf exception ⁴. Néanmoins, les moyens permettant d'assurer la confidentialité des données restent sous le contrôle de l'Etat. En effet, toutes utilisations permettant de rendre un message illisible doivent forcément faire l'objet d'une demande d'autorisation auprès d'un organisme dédié. Par la suite, la démocratisation d'Internet et des outils s'en rapprochant et l'arrivée du SSL, obligèrent la France à revoir sa législation. le 26 juillet 1996, une réforme vint modifier la loi de 1990 afin d'assouplir le contrôle de la cryptographie. Désormais, les moyens « peu sûrs » 5 n'était plus soumis à autorisation,

1. https://fr.wikipedia.org/wiki/Histoire\_de\_la\_cryptologie et « The Codebreakers : A Comprehensive History of Secret Communication from Ancient Times to the Internet, Revised and Updated » de David Kahn

2. Technique cryptographique basée sur la substitution de lettre. Cette technique utilisait un alphabet décalé de N lettres vers la droite et le message originel était écrit en fonction de ce deuxième alphabet. Le destinataire du message connaissant N, décalait l'alphabet du message de N lettres sur la gauche pour retrouver le message originel.

3. Technique basée sur la substitution de lettre. En utilisant une clef de départ et qui change à chaque lettre substituée, elle permet que lors de l'utilisation à plusieurs reprises d'une même lettre, cette dernière ne soit pas remplacée systématiquement par une même lettre. Cela complexifiant le travail de cryptanalyse sur les messages.

4. Loi n^° 90-1170 du 29 décembre 1990 sur la réglementation des télécommunications

5. Moyens de chiffrement utilisant des clefs inférieures ou égales à 40 bits

Edouard Petitjean M2 MIAGE SIID 30

L'origine du chiffrement des échanges -

mais uniquement à déclaration. Mais surtout, la totalité des techniques de chiffrement était libre d'usage à la seule condition que les clefs de chiffrement soient stockées dans un système de séquestre. Dans lequel, une personne agréée aurait le droit d'utiliser les clefs pour déchiffrer des messages. Par la suite, en 1999, certaines contraintes ont encore été assouplies car les outils de chiffrement utilisant des clefs comprises entre 40 et 128 bits ne sont plus soumis à autorisation mais à déclaration uniquement. Néanmoins, ces restrictions restèrent lourdes pour les entreprises de e-commerce et banque en ligne qui ont besoin d'assurer une sécurité maximale à leurs clients. Avec l'arrivée de la LCEN⁶, l'utilisation des moyens de chiffrement est désormais complètement libre de déclarations et d'autorisations pour l'usage. La fourniture, importation et exportation en fonction des pays restent tout de même soumises à des démarches. Avec la LCEN, tout individu est libre de naviguer de façon sécurisée sur Internet.

Cette liberté a permis la forte croissance des sites de e-commerce et des banques en ligne puisque ces derniers pouvaient proposer des moyens de confidentialité sûrs. Mais d'autres types d'activités ont profité de cette liberté : les réseaux sociaux et les webmails. Pour l'utilisateur, ces sites sont tout aussi sensibles puisqu'il est question d'échanger sur leur vie privée. Ainsi, en plus de permettre à l'économie numérique de croître, l'étendard du respect de la vie privée et du secret de la correspondance est utilisé pour justifier l'utilisation des moyens cryptographiques forts.

Cependant, le 6 juin 2013, un citoyen américain, Edward Snowden, fit des révélations accablantes sur un programme étatique américain: PRISM ⁷. Ce programme, géré pas la NSA (National Security Agency) et supervisé par le FISC (Foreign Intelligence Surveillance Court), portait sur une surveillance massive des individus ne vivant par le sol des États-Unis. Une des révélations la plus troublante a été les liens entre la NSA et les entreprises américaines (Microsoft, Google, Facebook, Apple, etc...) qui permettaient aux renseignements américains, de glaner des informations stockées sur les serveurs de ces entreprises concernant des individus ciblés.

Même si dans le scandale de PRISM, l'organisme étatique se fournissait directement à la source, le monde d'Internet à pris conscience de l'ampleur de la surveillance de masse. Aussi, même s'il n'est pas possible d'empêcher des structures d'état de demander des informations à une entreprise du même pays si la loi le permet, les échanges pouvaient être protégés avec le TLS et éviter cette surveillance. Aussi, de plus en plus de sites, de toute nature, proposent d'accéder à leurs ressources en TLS. Le mode classique, c'est-à-dire la navigation non chiffrée, est de plus en plus rare, notamment dû à la technologie HSTS⁸, mais surtout par la préconisation qu'en font la CNNum⁹(Conseil National du Numérique) et l'ANSSI ¹⁰(Agence Nationale de la Sécurité des Systèmes d'Information).

Le TLS étant de plus en plus répandu, il devient compliqué pour les entreprises de maîtriser leurs flux. En effet, que ce soit pour des raisons professionnelles ou personnelles, les utilisateurs d'un système informatique sont amenés à accéder à divers sites web. Or, vu que le TLS chiffre de bout en bout entre le client et le serveur, les équipements de sécurité de l'entreprise deviennent inopérants. C'est dans ce cadre-là que l'interception TLS est mise en place.

6. Loi n^° 2004-575 du 21 juin 2004 pour la confiance dans l'économie numérique

7. https://www.theguardian.com/us-news/prism

8. HTTP Strict Transport Security, mécanisme HTTP permettant de signaler à un client qu'il doit communiquer de façon sécurisée (HTTPS) et non en clair.

9. https://cnnumerique.fr/cp-chiffrement/

10. https://fr.scribd.com/document/319975624/Note-de-l-Anssi-sur-le-chiffrement\#download\&from\_embed

Edouard Petitjean M2 MIAGE SIID 31