Chiffrement
Le chiffrement (ou cryptage[1],[2],[note 1]) est un procédé de cryptographie grâce auquel on souhaite rendre la compréhension d'un document impossible à toute personne qui n'a pas la clé de (dé)chiffrement. Ce principe est généralement lié au principe d'accès conditionnel.
Ne doit pas être confondu avec Chiffrage des accords ou Déchiffrer à vue.
Bien que le chiffrement puisse rendre secret le sens d'un document, d'autres techniques cryptographiques sont nécessaires pour communiquer de façon sûre. Pour vérifier l'intégrité ou l'authenticité d'un document, on utilise respectivement un Message Authentication Code (MAC) ou une signature numérique. On peut aussi prendre en considération l'analyse de trafic dont la communication peut faire l'objet, puisque les motifs provenant de la présence de communications peuvent faire l'objet d'une reconnaissance de motifs. Pour rendre secrète la présence de communications, on utilise la stéganographie. La sécurité d'un système de chiffrement doit reposer sur le secret de la clé de chiffrement et non sur celui de l'algorithme. Le principe de Kerckhoffs suppose en effet que l'ennemi (ou la personne qui veut déchiffrer le message codé) connaisse l'algorithme utilisé.
Système symétrique ou asymétrique
Un système de chiffrement est dit :
- à chiffrement symétrique quand il utilise la même clé pour chiffrer et déchiffrer ;
- à chiffrement asymétrique quand il utilise des clés différentes : une paire composée d'une clé publique, servant au chiffrement, et d'une clé privée, servant à déchiffrer. Le point fondamental soutenant cette décomposition publique/privée est l'impossibilité calculatoire de déduire la clé privée de la clé publique.
Les méthodes les plus connues sont le DES, le Triple DES et l'AES pour le chiffrement symétrique, et le RSA pour le chiffrement asymétrique, aussi appelé chiffrement à clé publique.
L'utilisation d'un système symétrique ou asymétrique dépend des tâches à accomplir. La cryptographie asymétrique présente deux intérêts majeurs : elle supprime le problème de transmission sécurisée de la clé, et elle permet la signature électronique. Elle ne remplace cependant pas les systèmes symétriques, car ses temps de calcul sont nettement plus longs et la cryptographie asymétrique est de par sa nature même plus vulnérable.
Une solution hybride consiste à créer une clé de session aléatoire, invisible à l'utilisateur final, chiffrer de façon symétrique le document à protéger avec cette clé de session, puis à chiffrer cette clef de session avec la clef publique du destinataire avant de la détruire et enfin d'envoyer dans un seul fichier le document chiffré symétriquement et la clé de session chiffrée avec la clé publique. Il reste alors au destinataire à calculer la clé de session grâce à sa clef privée afin de l'utiliser pour déchiffrer le document original. Une clé de session étant nettement plus petite (256 bits = 32 octets) qu'un document pouvant atteindre plusieurs dizaines de mégaoctets, on a les avantages de la rapidité et la robustesse d'un bon algorithme de chiffrement symétrique avec les avantages du chiffrement asymétrique.
Différence entre chiffrement et codage
Les opérations de chiffrement et de codage font partie de la théorie de l'information et de la théorie des codes. La différence essentielle réside dans la volonté de protéger les informations et d'empêcher des tierces personnes d'accéder aux données dans le cas du chiffrement. Le codage consiste à transformer de l'information (des données) vers un ensemble de mots. Chacun de ces mots est constitué de symboles. La compression est un codage : on transforme les données vers un ensemble de mots adéquats destinés à réduire la taille, mais il n'y a pas de volonté de dissimuler (bien que cela se fasse implicitement en rendant plus difficile d'accès le contenu).
Le « code » dans le sens cryptographique du terme travaille au niveau de la sémantique (les mots ou les phrases). Par exemple, un code pourra remplacer le mot « avion » par un numéro. Le chiffrement travaille sur des composantes plus élémentaires du message, les lettres ou les bits, sans s'intéresser à la signification du contenu. Un code nécessite une table de conversion, aussi appelée « dictionnaire » (codebook en anglais). Ceci étant, « code » et « chiffrement » sont souvent employés de manière synonyme malgré cette différence.
L'exemple de codage le plus connu est le Code Morse international. Le Morse a été mis au point afin de permettre la transmission d'un texte en impulsions de type tout-ou-rien sans aucun équipement spécialisé, mis à part une clef de Morse et en étant facilement décodable à l'oreille humaine par un télégraphiste spécialement formé à cet effet. La transmission en tout-ou-rien simplifie grandement les équipements utilisés pour la transmission (en filaire, signaux lumineux ou hertziens) tout en augmentant significativement la facilité de décodage dans des conditions de signal faible (rapport signal/bruit faible). L'alphabet Morse étant du domaine public et encore enseigné aujourd'hui, particulièrement dans la communauté radioamateur, il ne peut donc pas servir à cacher un message d'un adversaire. Son usage est lié principalement à ses qualités propres en transmission. On parle donc ici d'un codage dans le sens le plus pur du terme.
On peut aussi considérer que le chiffrement doit résister à un adversaire « intelligent » qui peut attaquer de plusieurs manières alors que le codage est destiné à une transmission sur un canal qui peut être potentiellement bruité. Ce bruit est un phénomène aléatoire qui n'a pas d'« intelligence » intrinsèque mais peut toutefois être décrit mathématiquement.
Aspects juridiques
Aux États-Unis
Au cours des décennies 1980 et 1990, les États-Unis ont connu une vive polémique sur l'utilisation et l'exportation des solutions de chiffrement, connue sous le nom de Crypto Wars. Elle opposait les pouvoirs publics au secteur privé et à des associations de défense des libertés civiles. Le chiffrement a d'abord relevé de la catégorie juridique des armes et munitions soumises à autorisation pour l'utilisation et l'exportation, au nom de la lutte contre le crime et le terrorisme.
Cette régulation s'est assouplie en deux temps. Le , Bill Clinton limite par décret la rigueur du régime de déclaration aux pouvoirs publics pour l'utilisation et l'exportation des solutions de chiffrement[3], qui est ensuite pratiquement aboli le [4] à l'initiative d'Al Gore[5], sauf à destination de certains États considérés comme soutenant le terrorisme, comme Cuba, l'Iran ou la Corée du Nord.
Le débat sur le chiffrement aux États-Unis est relancé en par la proposition de loi EARN IT.
En Allemagne
Fin , le ministre de l'Intérieur Horst Seehofer (CDU) remet en cause le principe du chiffrement de bout en bout mis en œuvre par les services de communication « tels que WhatsApp ou Telegram », selon des propos rapportés dans Der Spiegel[6]. Ces services devraient selon lui être légalement contraints de fournir aux autorités le texte en clair des échanges entre leurs utilisateurs à la demande d'une cour de justice, ce qui impliquerait ou d'intégrer une porte dérobée dans leur algorithme de chiffrement, ou de renoncer au chiffrement de bout en bout[7].
En France
La France connaît son propre pendant des « Crypto Wars » américaines durant les décennies 1980 et 1990, quoique sur un mode mineur[5]. Elle se dote dès 1986 d'une réglementation limitant de manière draconienne l'usage civil d'outils de chiffrement des échanges numériques avec le décret no 86-250 du [8], portant modification du décret no 73364 du fixant le régime des matériels de guerre, armes et munitions[9]. Fondé sur un rapport de la DST et de la DGSE rédigé en 1985, le décret no 86-250 interdit l'exportation de logiciels de chiffrement, et oblige les sociétés agréées fournissant des services de chiffrement sur le territoire français à fournir au service central de la sécurité des systèmes d'information les clés de chiffrement employées. Le chiffrement de bout-en-bout, dans lequel seuls l'expéditeur et le destinataire d'un message disposent des clés de chiffrement et de déchiffrement, est donc interdit. Cette interdiction est reconduite dans l'article 28 de la loi no 90-1170 du sur la réglementation des télécommunications[5]. Ainsi, l'usage de Pretty Good Privacy (PGP), un des premiers logiciels de chiffrement disponibles sur l'Internet, était strictement interdit en France jusqu'en 1996, car il était considéré comme une arme de guerre de deuxième catégorie.
Sous la pression de militants des libertés civiles et d'une partie des milieux commerciaux pressentant l'importance à venir du commerce en ligne, cette situation est modifiée par l'article 17 de la loi no 96-659 du de réglementation des télécommunications[10], qui dispose que « l'utilisation d'un moyen ou d'une prestation de cryptologie est libre », quoiqu'à certaines conditions notamment le recours à un tiers de confiance agréé par les pouvoirs publics. Cet assouplissement de la législation française a été confirmé à la publication des décrets d'application au cours des années suivantes. Le chiffrement sans déclaration aux pouvoirs publics avec des clés allant jusqu'à 128 bits pour usage privé est autorisée par le gouvernement Jospin en 1999 (décret no 99-199 du )[11])[5].
Mais ce n'est qu'avec la loi pour la confiance dans l'économie numérique du que l'utilisation des moyens de cryptologie se démocratise. En revanche l'importation et l'exportation des moyens de cryptologie reste soumise à déclaration ou autorisation. Les moyens de cryptologie sont en effet toujours considérés comme des biens dits « à double usage » (civil et militaire), voire comme du matériel de guerre dans certains cas[12].
Malgré cela, le chiffrement reste au cœur de la tension entre protections des données personnelles, innovation technologique et surveillance. Dans une déclaration commune de avec la Première ministre britannique Theresa May, le président de la République Emmanuel Macron s'est prononcé en faveur d'un meilleur accès aux contenus chiffrés, « dans des conditions qui préservent la confidentialité des correspondances, afin que [les] messageries ne puissent pas être l'outil des terroristes ou des criminels »[13]. À l'inverse, le chiffrement est défendu notamment par la CNIL, l'ANSSI ou encore le Conseil national du numérique comme un outil vital pour la sécurité en ligne, et qui permet également l'exercice des libertés fondamentales. Selon ces organismes, la mise en place de portes dérobées fragiliserait l'avenir de l'écosystème du numérique. Certaines décisions judiciaires vont également dans le sens d'une préservation du droit au chiffrement. Ainsi, le , le tribunal de grande instance de Créteil a reconnu le droit d'un prévenu à ne pas fournir le code de déverrouillage de son téléphone à la police, au motif que ce code ne peut pas en soi « être considéré comme une clé de déchiffrement d’un moyen de cryptologie », même s'il permet indirectement d'accéder au contenu d'un téléphone au contenu chiffré[14].
En Suisse
La Suisse a toujours été tolérante vis-à-vis de la cryptographie, le gouvernement est favorable à son utilisation et à son développement qui représente un marché économique. La Loi fédérale sur la Protection des Données (LPD) indique que les données personnelles sensibles doivent être protégées par des mesures techniques adaptées et que la cryptographie est recommandée. Plusieurs entreprises florissantes dans ce domaine sont suisses : Kudelski (chiffrement pour chaînes payantes), Mediacrypt (propriétaire de IDEA), Crypto AG et id Quantique (cryptographie quantique).
La Loi fédérale du sur les télécommunications (RS 784.10) indique que (résumé du texte de loi) :
- Le développement et la création de produits cryptographiques (logiciel ou matériel) n'est soumis à aucune limitation.
- L'utilisation des logiciels cryptographiques n'est soumise à aucune limitation.
- Les produits cryptographiques de même que les autres équipements de télécommunications qui peuvent être connectés au réseau public doivent être en accord avec les normes techniques ordonnés par le Conseil Fédéral (mise en conformité par le fabricant ou par une inspection de l'Office Fédéral de la Communication - OFCOM).
- L'import/export de matériel cryptographique est soumis à une demande de certificat, celui-ci autorise les transactions. Des dispositions particulières sont prévues en ce qui concerne les licences et les applications militaires.
(voir liens externes ci-dessous).
Terminologie
Le terme « chiffrement » est utilisé depuis le XVIIe siècle dans le sens de chiffrer un message[15]. L'opération inverse, qui suppose que l'on connaisse la clé, est donc le « déchiffrement ». Le terme de décryptage est réservé à l'action de casser (décoder) un message chiffré sans connaître la clé[16].
Le terme « cryptage » et ses dérivés viennent du grec ancien κρυπτός, kryptós, « caché, secret ». Il se rencontre couramment dans cette acception. Le Grand dictionnaire terminologique de l'Office québécois de la langue française le mentionne comme tel : « La tendance actuelle favorise les termes construits avec crypt-. Plusieurs ouvrages terminologiques récents privilégient cryptage au lieu de chiffrement, terme utilisé depuis longtemps pour désigner cette notion »[16].
Le Référentiel Général de Sécurité de l'agence française ANSSI[17],[18] qualifie d'incorrects « cryptage » et « chiffrage », car la terminologie de cryptage reviendrait à coder un fichier sans en connaître la clé et donc sans pouvoir le décoder ensuite[19],[20].
L'Académie française reconnaît le terme « crypter »[21]. Dans le cadre de la télévision à péage, on parle quasi exclusivement de chaînes « cryptées », ce que l'Académie française accepte : « En résumé on chiffre les messages et on crypte les chaînes »[22].
Les géopolitologues Alix Desforges et Enguerrand Déterville recommandent l'utilisation du terme « chiffrement » et présentent « cryptage » comme un anglicisme formé sur « encryption »[23].
Données numériques et télévision : contrôle d'accès
Le contrôle d'accès pour la télévision (en anglais, Conditional Access ou CA) consiste à chiffrer les données vidéo qui ne doivent pouvoir être lues que par les usagers payant un abonnement. Le déchiffrement se fait à l'aide d'un terminal (Set-top box) contenant le module de déchiffrement.
Notes et références
Références
- Définition du terme selon le Dictionnaire Larousse.
- « cryptage », sur dictionnaire.lerobert.com, Dictionnaires Le Robert (consulté le ).
- President of the United States, Executive Order 13026 (lire en ligne)
- « Revised U.S. Encryption Export Control Regulations (1/12/00) », sur epic.org (consulté le )
- Félix Tréguer, Pouvoir et résistance dans l'espace public : une contre-histoire d'Internet (XVe -XXIe siècle), Paris (France), EHESS, , 600 p. (lire en ligne [.pdf])
- Marcel Rosenbach et Wolf Wiedmann-Schmidt, « WhatsApp, Threema, Wire: Seehofer will Messengerdienste zum Entschlüsseln zwingen », Spiegel Online, (lire en ligne, consulté le )
- (en-US) Sergiu Gatlan, « German Minister Wants Secure Messengers To Decrypt Chats », sur BleepingComputer (consulté le )
- Décret no 86-250 du 18 février 1986 - Légifrance
- Décret no 73364 du 12 mars 1973 - Légifrance
- Loi no 96-659 du 26 juillet 1996 - Légifrance
- Décret no 99-199 du 17 mars 1999 - Légifrance
- Tableau de synthèse de réglementation en matière de cryptologie - Agence nationale de la sécurité des systèmes d'information
- Déclaration d'Emmanuel Macron lors de la déclaration conjointe avec Theresa May - Elysée.fr, 13 juin 2017
- Julien Constant, « Il refuse de donner son code de portable en garde à vue, la justice lui donne raison », sur leparisien.fr, Le Parisien, (consulté le )
- Dictionnaire Le Petit Robert (ISBN 2-85036-066-X).
- Chiffrement, OQLF
- Référentiel Général de Sécurité de l'ANSSI, annexe B1 du 26 janvier 2010, p. 29.
- Référentiel Général de Sécurité de l'ANSSI, annexe B1 version 2.03 du 21 février 2014, p. 32.
- Stéphane Bortzmeyer, « « Cryptage » n'existe pas en français », (consulté le )
- « Pourquoi ne doit-on pas parler de "cryptage" en informatique », sur latribune.fr, (consulté le )
- Crypter, « Dire, ne pas dire », 4 mai 2018.
- Florian Cristina, « Ne me parlez plus de cryptage », (consulté le ).
- Alix Desforges et Enguerrand Déterville, « Lexique sur le cyberespace », Hérodote, vol. 152-153, no 1, , p. 22 (ISSN 0338-487X et 1776-2987, DOI 10.3917/her.152.0022, lire en ligne, consulté le ).
Notes
- Le terme n'est pas reconnu par le dictionnaire de l’Académie française ni par le Référentiel Général de Sécurité de l’ANSSI qui qualifie d’incorrects « cryptage » et « chiffrage » mais l’est par l’Office québécois de la langue française. Pour plus de détails, voir la section « Terminologie ».
Voir aussi
Articles connexes
- Chiffrement de disque
- Chiffrement à la volée
- Cryptographie
- Cryptographie symétrique
- Cryptographie asymétrique
- Clé de chiffrement
- Chiffrement à la volée
- Terminal de télétransmission
- Contrôle d'accès (télévision)
- Secrétaire : pendant l'Ancien Régime, un secrétaire était chargé du chiffrement des messages avant leur envoi par messager. Il était donc responsable de la mise au secret.
- Solitaire (chiffrement)
Liens externes
- La cryptographie en Suisse
- Portail de la cryptographie sur le site de l'Agence nationale de la sécurité des systèmes d’information
- Loi du 21 juin 2004 pour la confiance dans l'économie numérique (cf. Article 30)
- Portail de la cryptologie
- Portail des technologies
- Portail de la télévision
- Portail de la sécurité informatique