Crypto Wars
Crypto wars (« guerres de la cryptographie ») est un terme informel pour désigner les efforts du gouvernement des États-Unis de limiter l'accès du public et des nations étrangères à des méthodes de cryptographie assez fortes pour résister à la cryptanalyse de ses différentes agences de renseignement, en particulier de la NSA[2]. Vers 2005, les Crypto Wars était réputées « gagnées » par l'accès du public au chiffrement[3]. Par la suite, les révélations d'Edward Snowden, particulièrement celle du programme Bullrun qui vise à affaiblir secrètement les algorithmes de chiffrement et leurs implémentations, ont remis en cause l'issue des Crypto Wars, et ont relancé le débat sur le besoin de chiffrement du public[4]. À la suite des révélations sur la NSA, les efforts renouvelés pour apporter le chiffrement fort au grand public, particulièrement le chiffrement par défaut des iPhones de Apple, ont conduit le gouvernement américain à réitérer ses appels à limiter l'accès du public au chiffrement sans porte dérobée, étonnant les défenseurs de la vie privée qui croyaient la lutte pour les droits du public au chiffrement fort définitivement gagnée.
Export de la cryptographie aux États-Unis
Guerre froide
Dans les premiers jours de la guerre froide, les États-Unis et leurs alliés ont développé un corpus complexe de règles de contrôle à l'export pour empêcher un large éventail de technologies occidentales de tomber aux mains d'autres puissances, particulièrement du Bloc de l'Est. Toute technologie réputée « critique » ne pouvait ainsi s'exporter que sous licence. Le Coordinating Committee for Multilateral Export Controls est mis sur pied pour coordonner les contrôles des export occidentaux.
Deux types de technologies étaient protégés : celles associées spécifiquement aux armes de guerre (« munitions »), et les technologies à double usage, ayant d'autres applications commerciales. Aux États-Unis, le département du Commerce contrôlait les exportations des technologies à double usage, alors que les munitions relevaient du département d'État. Comme le marché de la cryptographie de l'immédiat après-guerre était presque entièrement militaire, les technologies de chiffrement (techniques, équipements et, après que les ordinateurs ont gagné en importance, logiciels) étaient compris dans la United States Munitions List comme éléments de catégorie XIII.
Cependant, dès les années 1960, les organisations financières commençaient à avoir besoin de chiffrement fort à usage commercial pour les transferts de fonds par câble, champs alors en pleine expansion. L'introduction du Data Encryption Standard en 1975 par le gouvernement américain avait pour conséquence que le chiffrement de haute qualité allait se généraliser, et de sérieux problèmes de contrôle des exportations commençaient à se faire sentir. Ils étaient généralement traités par des licences d'exportation au cas par cas, achetées par les fabricants d'ordinateurs et leurs clients commerciaux.
Ère de l'ordinateur personnel
Les contrôles à l'exportation de la cryptographie deviennent un sujet d'intérêt pour le public avec l'introduction de l'ordinateur personnel. En 1991, le cryptosystème PGP, de Phil Zimmermann, se répand sur Internet et devient le premier défi aux exportations de cryptographie au niveau des individus. La croissance du commerce électronique dans les années 1990 renforce les pressions pour réduire les restrictions. Peu après, la technologie SSL de Netscape est largement adoptée pour protéger les transactions par carte de crédit en employant la cryptographie à clef publique.
Les messages chiffrés par SSL utilisaient le RC4, avec des clefs cryptographiques de 128 bits. Or, les règlementations américaines ne permettaient pas l'exportation de systèmes cryptographiques utilisant des clefs de 128 bits[5]. Les gouvernements occidentaux pratiquaient alors une forme de double discours sur le chiffrement : les règlements étaient rédigés par les cryptanalystes militaires, qui se souciaient exclusivement d'empêcher leurs « adversaires » d'acquérir des secrets, mais ces règlements s'étendaient ensuite au domaine commercial, où les fonctionnaires travaillaient à encourager l'industrie.
La plus grande taille de clef autorisée à l'exportation sans licence spécifique était 40 bits, de sorte que Netscape développait deux versions de son navigateur web: l'« édition US » disposait de la pleine force à 128 bits ; l'« édition internationale » voyait la longueur effective de sa clef réduite à 40 bits en dévoilant les 88 bits restant dans le protocole SSL. L'acquisition de la « version US » supposait de tels efforts que la plupart des utilisateurs, même aux États-Unis, se retrouvaient avec la version « internationale »[6], dont le chiffrement faible à 40 bis pouvait se casser en quelques jours par un simple ordinateur personnel. Les mêmes effets se retrouvaient pour les mêmes raisons dans Lotus Notes.
Une série de procès (Bernstein v. United States, Junger v. Daley) par Peter Junger et d'autres militants des libertés civiques et de la vie privée, la disponibilité de plus en plus élevée des logiciels de cryptographie hors des États-Unis et l'impression de nombreuses entreprises que la mauvaise presse quant à la faiblesse de leurs chiffrements limitait leurs ventes et la croissance du commerce électronique aboutissent alors à des assouplissements de contrôles à l'exportation, pour culminer avec la signature de l'ordre exécutif 13026 par le président Bill Clinton en 1996[7], qui fait passer le chiffrement commercial de la Munition List à la Commerce Control List. L'Ordre spécifie de plus que « le logiciel ne sera pas considéré ou traité comme une « technologie » au sens des Export Administration Regulations ». Cet ordre permettait au département du Commerce de mettre en vigueur des règles simplifiant grandement l'exportation de logiciels propriétaires ou open source contenant de la cryptographie, ce qu'il fait en 2000[8].
État actuel
En 2009, les exportations de cryptographie non militaire depuis les États-Unis sont régulées par le Bureau of Industry and Security du département du Commerce[9]. Certaines restrictions demeurent, même pour les produits grand public, en particulier en ce qui concerne les prétendus État voyous et les organisations terroristes. Le matériel de chiffrement militarisé, l'électronique certifiée TEMPEST, les logiciels cryptographiques spécialisés, et même les services de conseil cryptographique sont toujours soumis à licence[9](p. 6–7). De plus, l'enregistrement auprès du BIS est exigée par l'exportation de « produits de chiffrement pour le marché public, les logiciels et les composantes dont le chiffrement dépasse 64 bits » [10]. D'autres éléments demandent aussi un examen par le BIS, ou une information du BIS, avant l'export dans la plupart des pays[9]. Par exemple, le BIS doit être informé avant la mise à disposition du public de logiciels de cryptographie open source sur Internet, encore que l'examen ne soit pas exigé[11]. Ainsi, les règles à l'export se sont assouplies depuis 1996, mais restent complexes[9].
D'autres pays, en particulier les parties à l'arrangement de Wassenaar[12], ont des restrictions similaires[13].
Références
- « Munitions T-shirt », cypherspace.org
- « The Crypto Wars: Governments Working to Undermine Encryption », Electronic Frontier Foundation
- « The Crypto Wars are Over! », fipr.org
- « Has the NSA Won the Crypto Wars? », itif.org
- « SSL by Symantec - Learn How SSL Works - Symantec », verisign.com
- « January 25, 1999 archive of the Netscape Communicator 4.61 download page showing a more difficult path to download 128-bit version » (version du 16 septembre 1999 sur l'Internet Archive)
- US Executive order 13026
- « Revised U.S. Encryption Export Control Regulations (January 2000) : EPIC copy of document from US Department of Commerce. », sur Electronic privacy information center, (consulté le )
- Robin Gross, « Regulations », gpo.gov
- Federal Register
- « U. S. Bureau of Industry and Security - Notification Requirements for "Publicly Available" Encryption Source Code », Bis.doc.gov, (consulté le )
- Participating States The Wassenaar Arrangement
- Wassenaar Arrangement on Export Controls for Conventional Arms and Dual-Use Goods and Technologies: Guidelines & Procedures, including the Initial Elements The Wassenaar Arrangement, décembre 2009
- Portail de la cryptologie
- Portail de la sécurité de l’information