Le chiffrement Jérémie Zimmermann Alphabet numérique
Titre : Le Chiffrement
Intervenants : Jérémie Zimmermann - Frédéric Martel -Agnès Chauveau - Pierre Haski
Lieu : Émission Soft Power - Alphabet numérique
Date : Février 2015
Durée : 17 min 38
Lien vers la vidéo : [1]
00' transcrit MO
Voix féminine : Soft Power – L'alphabet numérique
Frédéric Martel : L'alphabet numérique, notre séquence qui décrypte les internets autour des mots du web, de ses expressions, ses tendances ou ses évolutions. Ce soir nous évoquons chiffrement, ou cryptage en anglais, avec Jérémie Zimmermann, cofondateur de la Quadrature du Net. On va définir le terme, l'expliquer, et ensuite on en débattra avec vous, Jérémie Zimmermann. Il y a différents mots qui sont utilisés : on parle de cryptologie, de cryptographie ; on parle de chiffrement, de cryptage, d'encryptage. Pour s'y retrouver, comment est-ce que vous définiriez ces termes et les distinctions qui existent entre eux ?
Jérémie Zimmermann : Déjà ils ne sont pas tous interchangeables. Lorsqu'on parle de chiffrement ou de cryptage, on parle de l'action de transformer un message pour le rendre déchiffrable seulement par celui ou celle qui possède la clef. C'est une façon de protéger ses communications.
Frédéric Martel : Donc la clef de chiffrement, quoi.
Jérémie Zimmermann : Voilà. En utilisant les mathématiques, ça ne fait pas mal, n'ayez pas peur, en utilisant donc les forces de la nature pour s'assurer que seul son correspondant soit en mesure de lire le contenu de son message. On peut chiffrer n’importe quel type de communication, que ce soit sa messagerie électronique, que ce soit sa navigation web, ses chats, ses discussions online, ou même la voix. On distingue plusieurs types de chiffrement notamment le chiffrement symétrique et le chiffrement asymétrique. Le symétrique est celui dans lequel les deux correspondants partagent une même clef, ce qui est pratique si on se rencontre et qu'on peut échanger la clef, mais un peu moins pratique si vous souhaitez discuter avec quelqu'un qui est de l'autre côté d'Internet.
Frédéric Martel : Parce qu'il faut s'envoyer la clef et donc, d'une certaine manière, il faudrait la chiffrer elle-même.
Jérémie Zimmermann : Exactement. Le chiffrement asymétrique règle cette question-là, car vous générez une paire de clefs qui sont liées l'une à l'autre, une clef publique et une clef privée. La clef privée vous la gardez pour vous et la clef publique vous la distribuez sur Internet. Votre correspondant peut donc trouver votre clef publique, l'utiliser pour chiffrer le message que vous pourrez déchiffrer seulement grâce à votre clef privée.
On distingue aussi le chiffrement de point à point du chiffrement de bout en bout. Le chiffrement point à point est seulement entre certaines parties du réseau et implique donc de faire confiance à certains acteurs en chemin, alors que le chiffrement de bout en bout se fait d'individu à individu, d'un bout du réseau à l'autre bout du réseau. Lorsque l'on chiffre de bout en bout, vous générez votre clef de chiffrement, je génère ma clef de chiffrement et de là on n'a pas besoin de faire confiance à Google, à Apple, à Orange ; on est autonome ; nous pouvons prendre en main la sécurité de nos données et de nos communications, ce qui est un petit peu indispensable par les temps qui courent et au vu des révélations d'Edward Snowden au sujet de la NSA. Car, comme on le sait maintenant depuis quelques mois, tout, sur Internet, est écouté, est collecté, est analysé pour être ensuite réutilisé à des fins d'espionnage économique ou politique. On sait également que toutes les technologies commerciales de chiffrement ont été activement sabotées par la NSA et son programme Bullrun à 250 millions de dollars par an. Et donc la seule solution ici c'est d'utiliser le Logiciel Libre, le logiciel public, le logiciel bien commun qui appartient à tout le monde, afin de protéger soi-même ses communications. Ce que l'on apprend aussi, qui est essentiel, par Edward Snowden, c'est que le chiffrement marche. Lorsqu’il est bien fait, lorsque des précautions sont prises, le chiffrement fonctionne même contre une des institution les plus puissantes du monde qu'est la NSA. Si Edward Snowden est encore en vie aujourd'hui pour en témoigner c'en est bien la preuve.
Extrait du film Citizenfour
04' 15
Frédéric Martel : Un extrait du film Citizenfour de Laura Poitras, à propos d'Edward Snowden. Le film sortira en France, en salle, le 14 mars.
Jérémie Zimmermann : Il est d'ailleurs disponible sur BitTorrent depuis cette semaine, pour qui souhaiterait le voir.
Frédéric Martel : Voilà, qui le détient de manière illégale. Les raisons du chiffrement. On a évoqué les différents chiffrements mais quelles en sont les raisons ? On a évoqué Snowden, à l'instant on écoutait un extrait donc de ce film, mais il y a des raisons individuelles, il y a des raisons par des entreprises, des raisons aussi pour des gouvernements ?
Jérémie Zimmermann : Eh bien, une raison assez essentielle est que la protection de la vie privée est une liberté fondamentale.
Frédéric Martel : C'est même le quatrième amendement de la Constitution américaine.
Jérémie Zimmermann : Et le secret des communications est garanti par la loi. On sait qu'une des caractéristiques des régimes autoritaires, totalitaires, est la surveillance de masse, est d’espionner la totalité des citoyens pour pouvoir les maintenir sous contrôle. On sait que lorsque l'on sait que l'on est espionné, lorsque l'on se sent espionné, ses comportements changent, on assiste à une autocensure, aussi bien au propre, vis-à-vis de l’expression, qu'au figuré ; par exemple vous n'irez pas à une première réunion d'un nouveau parti politique si vous savez que le gouvernement autoritaire peut l’apprendre ; si vous savez que vos communications téléphoniques sont toutes écoutées, vous n'allez pas appeler un docteur pour parler d'une MST ou d'un avortement. Et donc, en tout temps, la surveillance a été un outil de contrôle social et d’oppression. Et on sait aujourd'hui que cette surveillance est globale, sur Internet, depuis le 11 septembre 2001, depuis que le général Keith Alexander a pris la tête de la NSA et imposé cette nouvelle doctrine qui est "collect it all", tout collecter, pour tout stocker, pour ensuite, potentiellement, tout réutiliser. Depuis que l'on sait également que cette collecte massive de données concerne absolument tous les vecteurs, tous les protocoles, tous les types de communication, et est utilisée à des fins d'espionnage industriel. On se souvient que les employés de l'entreprise Petrobras, le premier opérateur énergétique brésilien, étaient tous espionnés grâce à cette surveillance de masse. Et ainsi, la surveillance, comme un instrument de domination économique et politique, est création d'injustice profonde à l'échelle de la planète tout entière.
Frédéric Martel : Face à ces problèmes, il y a donc des techniques de chiffrement. Pour prendre une image toute simple, on peut envoyer un courrier par la poste, ça peut être une carte postale, dans ce cas elle peut être lue, ou alors on la met sous enveloppe et, pourquoi pas, même dans une valise diplomatique.
Jérémie Zimmermann : Exactement. Lorsqu'on parle de chiffrement on parle d'enveloppes qui, à priori, sont très difficiles à ouvrir en chemin. Comme nous le disait Edward Snowden, le chiffrement correctement mis en œuvre fonctionne. Donc on exclut, là, tous les produits commerciaux provenant des États-Unis, depuis que l'on sait qu'ils ont été activement sabotés par la NSA. Ça veut dire tous les logiciels de Microsoft.
Frédéric Martel : Distinguons, justement. D’abord des logiciels commerciaux, ensuite des Logiciels Libres.
Jérémie Zimmermann : Ensuite les Logiciels Libres, donc les Logiciels Libres de chiffrement. Les Logiciels Libres ce sont donc les logiciels biens communs, qui appartiennent à tout le monde, sur lesquels l'auteur fait le choix de conférer à l'humanité toute entière les mêmes libertés dont il jouit sur son œuvre, à savoir liberté d'utiliser le logiciel, de le copier, mais aussi d’étudier son fonctionnement et potentiellement de le modifier. Et pour cela, l'auteur met à disposition le code source du logiciel qui est l'équivalent pour un plat cuisiné de sa recette.
Frédéric Martel : Sa recette.
Jérémie Zimmermann : Comme si vous arriviez au restaurant et qu'à côté de l'assiette on vous posait, voilà, 25 grammes d'ail pelé, mis à tel moment dans la poêle..
Frédéric Martel : Puisqu'on parle d'ail pelé, on pourrait parler d’oignon pelé.
Jérémie Zimmermann : On pourrait parler d'oignon, tout à fait.
Frédéric Martel : Puisque c'est une des techniques classiques, ce qu'on appelle typiquement Tor, "onion routing", c'est-à-dire comme des peaux d'oignons, il y a tout un tas de couches et on ne va pas pouvoir, en fait, atteindre le cœur du message.
Jérémie Zimmermann : Tor est un logiciel de chiffrement et d'anonymisation, surtout d'anonymisation de ses communications sur Internet, qui utilise donc le chiffrement et qui permet de relayer ses données à un ensemble d'intermédiaires sur le réseau, qui ne seront pas conscients ni de l'émetteur, ni du destinataire, pour, en quelque sorte, brouiller les pistes. Tor est utilisé dans le monde entier par des dissidents politiques, par des journalistes, par des activistes dans des régions où s'exposer, s'exprimer publiquement, peut être la différence entre la vie et la mort. Et Tor est un outil essentiel pour pouvoir communiquer en toute liberté aujourd’hui sur Internet. On pourrait également citer GPG, le GNU Privacy Guard, qui sert, lui, à chiffrer ses e-mails, ou encore OTR, Off-the-Record, qui sert, lui, à chiffrer les chats sur Internet. C'est par ce biais, on le voit très bien dans le film Citizenfour de Laura Poitras, qu'Edward Snowden a pu correspondre avec les journalistes, donc Laura Poitras et Glenn Greenwald, qui lui ont permis d'orchestrer la fuite de ses documents. Et c'est donc grâce à la fiabilité d'OTR qu'Edward Snowden est en vie aujourd'hui, c'est une sacrée publicité. On peut recommander à notre public de tester toutes ces technologies au travers du système d'exploitation Tails, T, A, I, L, S, qui est un système bootable qu'il suffit de copier sur une clef USB. Ensuite cette clef vous permet de démarrer n'importe quel ordinateur, dans un système d'exploitation particulièrement sécurisé, blindé, dans lequel toutes ces technologies sont disponibles. C’est ce qu'a utilisé, encore une fois, Laura Poitras.
Frédéric Martel : Vous avez évoqué les logiciels commerciaux que, par ailleurs, vous dites, enfin vous expliquez qu'ils ont été, en tout cas, ils peuvent être infiltrés par La NSA depuis le programme existant Bullrun. Mais, quels sont-ils ? On parle des VPN, on parle des proxy, il y a des filters breakers, Freegate, 4shared, etc, on ne va peut-être pas les détailler, mais quelles sont leur force, malgré tout, et peut-être leur fragilité ?
Jérémie Zimmermann : Par définition, ces produits commerciaux sont rendus accessibles, quelque part au grand public, il ne faut pas se poser la question, on clique ici, ça marche tout seul. Et c'est perçu par beaucoup comme une valeur ajoutée.
Frédéric Martel : Après, il n'y a pas que la NSA. On peut aussi vouloir coder pour plein de raisons ses messages, donc ?
Jérémie Zimmermann : Bien sûr, non non bien sûr. On a tous quelque chose à cacher, au moins de quelqu'un. Ça peut être d'une femme, d'un mari, d'une ex-femme, d'un ex-mari, d'un patron, d'un ex-patron, ou d'un ami, un ex-ami.
Frédéric Martel : Peut-être que un VPN, ou un proxy ou un filter breaker suffit d'une certaine façon ?
Jérémie Zimmermann : Peut-être, peut-être, en même temps ce que l'on sait c'est que la NSA stocke tout et le réutilise plus tard. Donc, le jour où vous deviendrez peut-être un journaliste ou un politicien, vous commencerez à gêner.
Frédéric Martel : Mais là, c'est orwellien à ce moment-là.
Jérémie Zimmermann : Hélas, je crois que c'est le monde dans lequel on vit. La différence avec le Logiciel Libre, c'est qu'il faut un certain temps pour prendre en main, pour comprendre. Il faut apprendre, et comprendre, et partager la connaissance pour les utiliser correctement. Mais on a déjà des cas dans l'histoire où, avant les années 50, personne n’utilisait de savon pour se laver les mains. Et il a fallu une grande campagne pour expliquer « voilà, il faut faire cet effort ». Avant les années quatre-vingt, personne n’utilisait de préservatif. Il a fallu, là-aussi, une campagne pour que chacun comprenne que, même si c'est un peu compliqué, pas forcément agréable, ça vaut vraiment le coup. Eh bien de la même façon, sur Internet, communiquons couverts par le chiffrement.
Frédéric Martel : Pierre Haski.
Pierre Haski : Ce que vous dites, de manière assez éloquente, on le sait globalement, surtout depuis les révélations de Snowden, et pourtant très peu de gens le font, y compris, on a eu l'exemple il y a quelques jours, au Monde. Le Monde a été victime d'une attaque de phishing, donc un faux e-mail, qui semblait amical, et qui a permis de contrôler toutes les boîtes mails du Monde pendant des heures. C'est-à-dire que, même dans un journal qui devrait être conscient, ça ne se fait pas. Pourquoi cette réticence ? Je vois bien la comparaison avec le préservatif.
Jérémie Zimmermann : Hélas, hélas, il faut très souvent une catastrophe pour que les gens réalisent l'importance essentielle de la protection de ses données personnelles. De la même façon qu'il faut, une fois, perdre tout son disque dur pour se dire « tiens, il faudrait que je fasse des copies de sauvegarde, il faudrait que je fasse des backups ». J'ai l'impression que, de toutes façons, cela va prendre du temps et que ça ira peut-être par cercles concentriques autour des hackers déjà conscients de ces questions techno-politiques depuis un certain temps. Et, contrairement à ce que vous dites, moi je vois un nombre croissant de journalistes qui utilisent aujourd'hui le chiffrement. Entre il y a deux ans et aujourd’hui, je connais sans doute dix fois plus de journalistes qui chiffrent leurs mails ou qui utilisent au moins de temps en temps le chat chiffré, parce que les journalistes sont parmi les premiers exposés ; et la même chose chez les activistes. Je pense, effectivement, qu'il faut aller expliquer aux journalistes que la protection des sources, aujourd'hui, ça passe impérativement par la protection de ses données et de ses communications et que c'est un travail qui risque de prendre longtemps, mais dont on perçoit déjà les premiers signes.
Frédéric Martel : Agnès Chauveau.
Agnès Chauveau : Sans doute y a t-il un travail pédagogique, qui est déjà entamé dans ces fameuses cryptoparties, où l'on enseigne, justement, l'art d'encoder, de crypter les e-mails. Mais vous êtes beaucoup en amont du processus, c’est-à-dire que vous militez pour que tout le monde utilise ces logiciels de façon à protéger ses e-mails. Qu'est-ce que vous pouvez nous dire, finalement, du traitement des données ? Parce que toutes ces données qui sont accumulées par la NSA ou par d'autres organismes, finalement comment arrive t-on à faire le tri pour rechercher vraiment ce que l'on souhaite trouver ? Est-on vraiment menacé du coup ? Parce que on peut se dire, que l'immensité nous préserve un peu !
Jérémie Zimmermann : Effectivement, c'est difficile d'envisager et de penser l'ampleur de cette surveillance de masse.
Agnès Chauveau : Comment chercher Jérémie Zimmermann dans un flot ?
Jérémie Zimmermann : Il est confortable de se dire qu'il y a trop de données pour qu'on puisse s'en apercevoir, mais ce que l'on sait, c'est que les données se recoupent, et qu'une entreprise comme Google, par exemple, en sachant le nom de tous vos correspondants, le vocabulaire que vous employez, tous vos trajets, ce que vous cherchez, Google sait aussi tout ce que vous lisez sur Internet. Pour peu qu'il y ait un bouton Google +, une pub Google, ou que le site utilise Google pour faire ses statistiques d'analyse, c'est-à-dire à peu près 95, ou plus, pour cent, des sites que vous consultez, Google connaît toutes les pages que vous lisez. Et donc, quand on agrège toutes ces données, on fait des profils qui sont d'une précision diabolique. Il ne s'agit pas de savoir, en temps réel, ce que vous faites. Juste dans dix ans, on regardera qu'est-ce que vous avez lu sur Internet pendant dix ans, qui vous connaissez, qui vous fréquentez et on saura faire pression sur vous, on saura vous contrôler. Vous décrivez les cryptoparties. Oui, pour répondre encore à la question de Pierre Haski, je pense qu'on est encore en train d'expérimenter, avec de nouveaux modes d'organisation sociale, comme les cryptoparties, comme les hackerspaces, dans lesquels on partage la connaissance sur ces sujets-là, de forme un petit peu nouvelle. Et le fait qui me marque ici, c'est qu'on fait ça en dehors d'Internet. Et peut-être que grâce à Edward Snowden et à la surveillance de masse, on est, en fait, en train de réapprendre tout simplement à vivre offline, de temps en temps, à enlever la batterie de son téléphone, à se tenir loin d'un ordinateur, pour avoir peut-être de vraies relations humaines, à nouveau, et peut-être que cela fait partie de cet apprentissage.
Frédéric Martel : Pour terminer, Jérémie Zimmermann, il y a des lois qui sont adoptées comme la loi antiterroriste fin 2014, en France. David Cameron en Angleterre a parlé d'interdire le chiffrement, justement. C'est aussi un débat, bien sûr, aux États-Unis. Quel est votre point de vue ? Mais aussi, mais comment est-ce que ce débat peut se solutionner ?
Jérémie Zimmermann : C'est d'une bêtise crasse, ces propos de Cameron. On a déjà eu une interdiction du chiffrement jusqu'aux années 90, qui a dû forcément être libéralisé. Il sera impossible d’empêcher ces Logiciel Libres de circuler. On voit qu'à Cuba, où la population est offline, c'est par des clefs USB que l'information s'échange. Donc s'il s'agit d'imposer aux éditeurs commerciaux de laisser des backdoors, des portes dérobées, dans leurs logiciels pour permettre à tous les gouvernements du monde d'y accéder, c’est très bien ! Ça fera une grande campagne de pub pour le Logiciel Libre. Hélas, cela fait partie d'une tendance répressive qui ressurgit au premier attentat, à la première bombinette, au premier coup de kalachnikov. Aujourd'hui, le gouvernement déploie activement la censure des sites au nom de la lutte contre le djihadisme. Quand il s'apercevra que ça ne fonctionne pas, parce que tous les djihadistes commenceront à utiliser Tor, alors il y a gros à parier que l'étape d'après ça va être de tenter d’interdire Tor, et c'est effectivement, là, une tendance extrêmement dangereuse. Je pense, au contraire, que lorsqu’un maximum de citoyens utilisent les techniques de chiffrement et prennent en main, eux-mêmes, la sécurité de leurs données et de leurs communications, on bâtit un modèle de sécurité décentralisée, dans laquelle chacun a un petit peu de la sécurité entre ses mains et que l'on bâtit ainsi un principe…
Frédéric Martel : Mais accéder aux informations entre terroristes ou entre pédophiles, etc, c'est peut-être quand même une bonne chose ?
Jérémie Zimmermann : Oui. Des terroristes vont protéger leurs communications, mais aussi des dissidents et des activistes. Et lorsque l'on voit comment fonctionne la chasse aux terroristes et comment fonctionne la surveillance. C'est par de la surveillance ciblée, par des moyens humains, par l'infiltration des réseaux, ce que l'on oublie un petit peu de faire lorsque l'on a l'illusion qu'avec les grosses machines, à tout savoir, tout le temps, on va résoudre la question du terrorisme. C'est précisément l’erreur qu'ont faite les Américains après le 11 septembre 2001 et j'ai l'impression qu'on est en train de s'engouffrer dans exactement la même erreur.
Frédéric Martel : Jérémie Zimmermann est cofondateur de La Quadrature du Net. Les mots, les tendances du web décryptés. Retrouvez l'alphabet numérique en podcast sur le site franceculture.fr, rubrique l'alphabet numérique. Pour retrouver tous les anciens mots de cet alphabet, consultez notre page alphabetnumérique.com.