Depuis un demi-siècle environ, les services de renseignement des États-Unis vendaient des solutions de chiffrement obsolètes à des gouvernements étrangers pour écouter paisiblement les conversations du monde entier.
Le débat sur le chiffrement des communications est récemment revenu sur le devant de la scène à l’occasion d’un nouveau conflit qui oppose Apple au FBI. Comme souvent, la discussion a tourné autour de l’idée de construire une porte dérobée au sein des iPhone pour faciliter le travail des services de renseignement. Un débat qui dure depuis plus longtemps qu’on ne le croit.
En effet, comme le révèlent plusieurs médias, dont le Washington Post, les États-Unis se reposent depuis de très nombreuses années sur ces trous dans le filet de la communication sécurisée.
L’histoire est rocambolesque. Crypto AG, une entreprise suisse qui a connu son heure de gloire en vendant des “machines à chiffrer” aux États-Unis pendant la Seconde Guerre mondiale, était pilotée en sous-marin depuis des années par la CIA et les services secrets allemands qui ont écouté des décennies durant les communications supposément sécurisées de plus de 120 pays.
Machines obsolètes
L’opération, qui a hérité des noms de code Thesaurus et Rubicon, commence en 1950 quand Boris Hagelin, alors président de Crypto AG, accepte de vendre des machines obsolètes à certains pays, réservant les fleurons de l’entreprise à des pays approuvés par les États-Unis. Dix ans plus tard, la CIA verse des centaines de milliers de dollars à Hagelin pour des dépenses “marketing” consistant à convaincre les gouvernements partout dans le monde d’adopter les solutions de Crypto AG. En 1967, une nouvelle étape est franchie et la H-460, nouvelle machine de l’entreprise, est directement construite par la NSA. Tout cela, bien évidemment, dans le plus grand des secrets.
La même année, la France et l’Allemagne de l’Ouest, au courant de l’opération, vont toquer à la porte de Crypto AG et proposent à Hagelin de racheter son entreprise. L’homme refuse et la vend à la CIA trois ans plus tard. À partir de cet instant, les services secrets nord-américains et ouest-allemands écoutent les conversations venant d’Iran, d’Amérique latine, d’Inde, du Pakistan, et même du Vatican.
Début 1990, les renseignements ouest-allemands se retirent du partenariat, mais cela n’arrête pas les États-Unis qui continuent leur opération jusqu’à ce que les moyens de chiffrement électronique moderne prennent le relais. Crypto sera liquidé en 2018, mais “une douzaine de pays” utilisent encore ses machines.
2020, même histoire ?
L’histoire peut paraître archaïque, mais elle fait écho à l’époque actuelle sur plusieurs points. Le plus évident est bien sûr celui des révélations d’Edward Snowden qui avait exposé il y a quelques années l’espionnage électronique massif mis en place par la NSA. Le service de contre-espionnage bien connu exploite régulièrement des failles de sécurité informatique pour s’infiltrer dans des systèmes. L’une d’elles était d’ailleurs suffisamment sévère pour que l’agence en informe directement Microsoft il y a quelques semaines.
Cela met aussi en lumière le besoin d’avoir des protocoles de chiffrement open source consultables et auditables par la Terre entière, plutôt que du code propriétaire entre les mains d’une firme ou d’un gouvernement. Sur la question des messageries électroniques, par exemple, le protocole utilisé par l’application Signal est largement préféré par les spécialistes de la sécurité à celui d’autres services comme Telegram.
Enfin, cela illustre aussi le danger que représentent les portes dérobées au sein des logiciels de chiffrement. Si rien ne dit qu’à l’époque, d’autres acteurs ont pu exploiter les défauts des machines de Crypto AG, aujourd’hui les pirates de tout bord parviennent à découvrir des failles de sécurité chaque semaine. Comme Tim Cook l’a dit à Donald Trump : “Il n’existe pas de porte dérobée réservée aux gentils”.
