Vous êtes sur la page 1sur 7

See discussions, stats, and author profiles for this publication at: https://www.researchgate.

net/publication/301494574

Cryptographie et Surveillance Digitale

Chapter · April 2016

CITATIONS READS

0 275

1 author:

David Bozzini
Université de Fribourg
13 PUBLICATIONS   69 CITATIONS   

SEE PROFILE

All content following this page was uploaded by David Bozzini on 19 April 2016.

The user has requested enhancement of the downloaded file.


et lisibles qu’auparavant grâce aux technologies digitales. Au point que certains experts
reconnaissent l’avènement d’un âge d’or de la surveillance (Swire et Amhad 2012; Kalia
2014; Price 2014).

CRYPTOGRAPHIE ET SURVEILLANCE DIGITALE


Les surveillances digitales

La surveillance qui ne cesse de gagner du terrain jour après jour est en réalité polymorphe et
redondante. D’innombrables agents collectent nos données personnelles, nos localisations
et nos communications afin d’honorer leurs contrats. D’autres compagnies exploitent des
David BOZZINI informations que nous laissons consciemment ou non sur la toile, tandis que les Etats se
donnent le droit d’obtenir le contenu de nos conversations dans certaines situations, quand
ils ne collectent pas nos données digitales tous azimuts dans une démarche préventive
plutôt troublante et discutable. Nous obtenons les indices de ces filatures au compte-goutte
lorsque des indiscrétions filtrent. Sinon, savoir ce que d’autres font de nos données digitales
est souvent impossible. Malgré des lois en vigueur en Europe, de nombreuses compagnies
et organisations n’offrent pas aux individus concernés d’accès aux données personnelles
Introduction qu’elles ont collectées (L’Hoiry et Norris 2014).
La tension entre le besoin de confidentialité et celui de surveillance est inévitable. D’une part,
La cryptologie est une science discrète. Elle développe autant des techniques pour protéger le cryptage est nécessaire à la sécurité et à la confidentialité des transferts effectués à distance
l’information (cryptographie) que des techniques pour décrypter les codes secrets qui sont mais d’autre part, les forces de l’ordre ont besoin de pouvoir accéder à ces échanges dans
échangés (cryptanalyse). La science de la dissimulation 1 est ainsi également une science qui certaines circonstances particulières (enquêtes judiciaires, sécurité nationale, lutte contre le
révèle ou compromet un secret camouflé dans un code. Cependant, force est de constater crime organisé, etc.). A cette tension entre confidentialité et surveillance, qui caractérise parti-
Chapitre 12 que la cryptologie qui aime rester dans l’ombre n’a jamais été aussi présente sur la scène culièrement le flux des informations, s’est ajoutée depuis quelques années une véritable course Chapitre 12
médiatique que depuis les révélations fournies par Edward Snowden en juin 2013. à la collection de données à des fins commerciales. Au-delà des informations personnelles
Nous usons de la cryptographie tous les jours sans même nous en rendre compte: soit en requises par un service (nom, adresse, carte bancaire, etc.) sont collectés également la manière
surfant sur Internet ou en envoyant des messages instantanés à nos proches, soit en réglant de naviguer, les choix et parfois les traces écrites de l’internaute. Les enjeux économiques de
l’addition avec une carte bancaire. Une part importante de nos activités et de nos échanges cette collecte effrénée d’informations qui sont laissées dans le cyberespace sont considérables
nécessitent une forme de cryptage susceptible d’instaurer la confiance allant de pair avec puisqu’elles permettent d’identifier les désirs, les besoins et les préoccupations de l’utilisateur.
des outils informatiques devenus indispensables. Plus nous utilisons de services en ligne, plus L’une des raisons évidentes de cette surveillance digitale tient tout simplement au fait que nous
notre besoin de sécuriser nos transactions grandit. La cryptographie a pour but de répondre sommes incroyablement honnêtes sur Internet, comme le remarque, non sans provocation,
à ce besoin. Mikko Hypponen (2014): «you and me we are brutally honest with the internet […] we are
Or, les affaires Wikileaks et Snowden ont mis à jour des déséquilibres qui affectent la tension more honest with the internet than we are with our spouses or with closest friends. […] for
entre le besoin de protection de la sphère privée et le besoin de surveillance dans nos sociétés example when we go to search engines we don’t screw around, we type exactly what we
à peine entrées dans l’ère digitale. Cette tension qui court entre des préoccupations indivi- think.» Une autre raison tient au fait que si nous souhaitons utiliser le service d’une compa-
duelles et des enjeux collectifs n’est pas récente. Bien au contraire, elle apparaît comme telle gnie, cette dernière nous oblige à divulguer nos choix et nos données personnelles. Nous
dès la naissance des Etats modernes occidentaux, lorsque se dessine le projet d’une gouver- acceptons ainsi de laisser à d’autres le droit d’utiliser (et de revendre parfois) ces informations
nance de la population ayant pour objectif d’organiser la société dans le but de maximiser ainsi que des contenus que nous avons produits en ligne.
et protéger l’activité productive des masses (Foucault 2004). Mais l’exploitation de nos données et l’intrusion dans nos échanges privés ne s’arrêtent
Se pencher sur la cryptographie offre un éclairage sur les enjeux actuels de l’utilisation pas là. Les révélations d’Edward Snowden indiquent en effet que la NSA 2 a considérable-
d’Internet et de la téléphonie mobile. Elle permet également de contextualiser les informa- ment affaibli la portée des mesures de sécurité que nous utilisons en ligne afin de pouvoir
tions brutes mises à disposition par Edward Snowden et de percevoir une dynamique propre collecter le plus de données digitales possible. Les opérations de la NSA ont bel et bien
à nos sociétés contemporaines: le développement du cyberespace offre de nouvelles moda- un impact mondial lorsqu’on considère que l’essentiel du trafic Internet mondial passe
lités de surveillance qui profitent à la reconfiguration du capitalisme ainsi qu’à l’expansion par des serveurs américains, que les standards de cryptage civil que nous utilisons sont
du pouvoir militaire. définis par la NIST 3 et que la plupart des grandes compagnies de l’Internet sont elles aussi
Comme l’ont noté récemment de nombreux experts et commentateurs (parmi tant d’autres américaines. Les documents de la NSA publiés depuis juin 2013 montrent notamment que
Giroux 2014; Landau 2013; Lyon 2014; Watercutter 2013), nos communications privées mais l’agence, avec l’aide de nombreuses compagnies et d’autres institutions, a non seulement
aussi notre localisation et nos activités sont devenues beaucoup plus facilement identifiables
2 National Security Agency, fondée en 1952.
1 En grec, kruptos (caché) et logos (science, discours). 3 National Institute of Standards and Technology (http://www.nist.gov).

BOZZINI David. 2016.


«Cryptographie et surveillance digitale»,
276 Secrets | David Bozzini Secrets | Cryptographie et surveillance digitale 277
in: GoLM (éds.), Secrets, pp. 276-287.
Neuchâtel: Musée d’ethnographie.
diminué la force de certaines techniques de cryptage mais a aussi installé des portes déro- technique pour casser le chiffre de Vigenère voit le jour en 1858 et les militaires se mettent
bées (backdoors) dans les programmes que nous utilisons ou a profité de failles de sécurité immédiatement à chercher d’autres techniques plus robustes pour pouvoir utiliser les ondes
dans les systèmes d’exploitation (Windows, OSX, Android, iOS, etc.) lorsqu’elle n’a pas radio; car si ces dernières permettent de communiquer à distance avec des troupes ou une
tout simplement ponctionné les câbles optiques qui relient les continents ou répandu des flotte elles sont aussi facilement interceptées par l’ennemi.
logiciels malveillants qui infectent nos machines. Le célèbre cryptographe Bruce Schneier Dès l’entre-deux guerre, l’Enigma, une machine d’encryption allemande, va rendre le travail
estime que les moyens mis en œuvre par la NSA ont des conséquences sur l’ensemble de la des cryptanalystes très compliqué. Chaque lettre tapée sur le clavier de la machine passe
sécurité des réseaux informatiques: «It’s sheer folly to believe that only the NSA can exploit au travers de quatre filtres qui tournent d’un cran et utilisent ainsi une autre combinaison
the vulnerabilities they create» (Talbot 2013). Affaiblir les réseaux informatiques au nom de pour la lettre suivante. Dans ce cas, il est tout simplement impossible d’utiliser l’analyse de
la sécurité nationale ne peut ainsi que mettre en péril les infrastructures et les protocoles fréquence.
nécessaires non seulement à la circulation du capital, et donc au maintien de notre système Durant la Seconde Guerre mondiale, le mathématicien britannique Alan Turing est recruté
économique, mais également à l’exercice de nos libertés telles qu’elles sont définies dans pour décrypter les messages codés par l’Enigma. Des investissements importants permettent
les régimes démocratiques. aux équipes de cryptographes britanniques d’automatiser la recherche de la clé journalière
De telles pratiques ne sont toutefois pas le seul apanage de la NSA. Les forces de l’ordre utilisée par l’Enigma. Des machines électriques sont assemblées afin de trouver une séquence
de nombreux pays infectent délibérément les appareils des personnes qui font l’objet d’une de mots qui se trouvent potentiellement dans le message à décrypter. Cette avancée tech-
enquête (Hypponen 2014) et l’utilisation de données de géolocalisation est devenue chose nologique marque le début de la computation automatique et préfigure le développement
courante dans d’innombrables affaires judiciaires. Non seulement les juges accèdent aux des ordinateurs modernes. Cette avancée est cruciale: elle permet aux Alliés d’assurer le
données enregistrées par les opérateurs de téléphonie mobile mais ils peuvent également contrôle de l’Atlantique Nord et d’organiser les débarquements en Normandie et en Sicile.
s’appuyer sur l’envoi de SMS silencieux 4 afin obtenir des données lors d’une instruction Alors qu’à la fin de la guerre Turing poursuit ses travaux sur ce qui deviendra l’informatique,
(Leisert 2011). En d’autres termes, Internet et la téléphonie mobile sont devenus des plate- le gouvernement britannique non seulement se garde d’annoncer les progrès réalisés en
formes de surveillance incroyablement puissantes, à tel point que certains experts et commen- cryptanalyse mais promeut l’utilisation d’Enigma dans les Etats du Commonwealth et dans
tateurs n’hésitent pas à parler d’un âge d’or de la surveillance (Swire et Amhad 2011) ou ses anciennes colonies, se donnant ainsi l’avantage d’écouter une partie de leurs messages
même d’un régime d’intrusion qui dépasse largement la surveillance des régimes totalitaires secrets à des fins d’espionnage.
du bloc de l’Est durant la guerre froide (Giroux 2014). Pour mieux comprendre ces récents Les impératifs de la guerre froide et en particulier la menace thermonucléaire entre les deux
Chapitre 12 développements et saisir les enjeux d’une telle surveillance de masse, il est utile de faire un blocs accélèrent le développement des ordinateurs (Edwards 1996) et des premiers réseaux Chapitre 12
petit détour par l’histoire de la cryptographie. informatiques (Rosenzweig 1998). Aux Etats-Unis, le réseau ARPANET permet de connecter
les sites de lancement d’ogives nucléaires entre eux et ainsi d’en décentraliser le contrôle.
Une telle configuration offre l’avantage de riposter même si certains sites sont anéantis. Il
La cryptographie est une science militaire va de soi qu’un tel réseau doit être sécurisé. Avec l’apparition des ordinateurs, le cryptage
est désormais chiffré et automatisé par le calcul des puces électroniques. ARPANET s’invite
L’histoire de la cryptographie est essentiellement militaire et diplomatique jusqu’à la popula- également dans les universités et s’étend progressivement à partir du début des années 1970.
risation d’Internet au début des années 1990. Avant cette période, elle n’est utilisée que lors Avec le développement des premiers réseaux informatiques, l’usage de la cryptographie va
de conflits armés ou par un nombre extrêmement limité d’acteurs, le plus souvent des diplo- se répandre en dehors de la sphère militaire et diplomatique et être utilisée à d’autres fins.
mates et des dirigeants haut placés. Les premières techniques documentées datent de l’Anti- A partir de cette époque, la NSA va interférer avec les recherches cryptographiques qui
quité: les scytales permettent aux Spartiates de coder des messages dès le cinquième siècle sont effectuées en dehors de son champ d’influence. L’agence veut assurer son avantage et
avant notre ère. Jules César utilise également la cryptographie pour coder ses messages. Il pour ce faire, il ne suffit plus d’avoir l’avantage en terme de calcul: il lui faut aussi intervenir
utilise le principe de substitution alphabétique par décalage: «a» devient «e», «b» devient sur les standards pour limiter le pouvoir des cryptages concurrents. En 1977, le gouverne-
«f», «c» devient «g» et ainsi de suite. Si une substitution non linéaire est plus compliquée ment américain fixe le nombre de clés de cryptage à 56 bits, c’est-à-dire à 100 billiards, ou
à déchiffrer sans clé, l’analyse de fréquence rend toutefois cette technique obsolète depuis 10 puissance 17 possibilités. C’est le standard connu sous l’acronyme DES (Data Encryption
la Renaissance (Singh 2000). Le chiffre de Vigenère inventé en 1686 complexifie le travail Standard). Or, l’Electronic Frontier Foundation (EFF) prouve la faiblesse d’une clé 56 bits en
de décodage durant plusieurs siècles en utilisant une table d’alphabets de cryptage. Une 1998 5. Pour un peu plus de 200'000 dollars, la fondation se munit d’un ordinateur qui va
clé détermine alors lesquels de ces alphabets sont utilisés successivement pour encrypter tester 88 milliards de possibilités à la seconde et trouver la clé en 56 heures après avoir testé
le message. L’analyse de fréquence est ainsi plus difficile à mettre en œuvre car une même un quart des possibilités (EFF 1998). Toutefois, le développement du cryptage standardisé
lettre va être codée différemment dans le message. Dès le XVIIIe siècle, chaque Etat se dote à des fins civiles et commerciales fait face à un problème bien plus important que le risque
d’un service de cryptanalyse qui tente de déterminer les clés des messages interceptés. Une d’attaque dite de force brute comme celle menée par l’EFF.

4 Un SMS silencieux ou «ping» n’a pas de contenu et n’est pas perceptible par l’utilisateur mais il génère des méta-
données (état de l’appareil, localisation, etc.) qui sont utilisables dans une instruction et mobilisables dans un procès
(Leisert 2011: 450). 5 Cette faiblesse avait été évoquée par des chercheurs à partir de 1977 (Diffie & Hellman 1977).

278 Secrets | David Bozzini Secrets | Cryptographie et surveillance digitale 279


Le problème de la distribution des clés et possible qu’un moyen permette de renverser cet algorithme ou que la puissance de calcul
le développement de la cryptographie asymétrique de nos ordinateurs permette de factoriser n’importe quelles clés RSA. La force du cryptage
dépend de la grandeur des chiffres de la clé publique (générée par les deux nombres premiers
A chaque fois par exemple qu’une transaction entre une banque et un client doit être sécu- qui constituent la clé secrète). Aujourd’hui, l’utilisation de clés RSA dont les décimales sont
risée, il faut préalablement que la clé de cryptage soit partagée. Le problème existe depuis inférieures à 617 chiffres ou 2048 bits est déconseillée. Or, pour le commerce online, des
le début de la cryptographie mais il s’amplifie considérablement lorsque son usage s’étend clés de 1024 bits (309 chiffres) sont encore utilisées alors que dès 2007 des chercheurs ont
au-delà de la sphère militaire. Les clients d’une banque sont en effet beaucoup plus nombreux déclaré qu’elles étaient désormais vulnérables 10.
que les unités d’une armée et le problème devient ingérable lorsqu’il est sage de changer de
clé fréquemment comme c’est le cas depuis l’invention de l’Enigma. Ce problème de taille
trouve une solution au cours des années 1970: la cryptographie asymétrique permet alors La menace du cryptage de masse
de rendre indéchiffrable un échange (message ou transaction) sur un réseau non sécurisé
sans que les correspondants aient préalablement échangé la clé qui permet de coder et de Alors que les trois chercheurs du MIT fondent la compagnie RSA qui offre aux Etats et aux
déchiffrer leurs communications. Cette solution contribuera à la démocratisation de l’Internet grandes compagnies les instruments pour utiliser leur algorithme, Philip Zimmermann, un
et à l’avènement du commerce en ligne. activiste antinucléaire et programmateur américain, cherche une solution informatique
Dans les exemples présentés jusqu’ici, la clé qui décode le message est la même que celle qui permette à tout un chacun d’encrypter les communications électroniques. En 1991,
qui l’a codé. Dans cette situation, la plus grande faiblesse du dispositif, indépendamment Zimmermann met à disposition gratuitement la suite PGP (Pretty Good Privacy) qui génère
de la technique de cryptage, réside dans le problème de la distribution de la clé. L’émetteur des paires de clés (publique et secrète), encode, décrypte et signe des messages ou des
doit s’assurer que la clé ne soit pas interceptée. Il doit également s’assurer le service d’un documents électroniques 11. La démocratisation de la cryptographie asymétrique fait alors
tiers pour transmettre ses clés à de nouveaux interlocuteurs, ce qui entraine des frais de paniquer les autorités. Peu après la publication de son programme, Zimmermann est accusé
distributions importants. La cryptographie asymétrique va fournir une solution à ce problème d’avoir enfreint la patente de la compagnie RSA et le gouvernement américain décide de
et révolutionner les méthodes de cryptage à partir des années 1970. le trainer en justice pour avoir exporté illégalement des armes 12. Les efforts des militaires
La solution consiste à inverser le principe qui a guidé la cryptographie symétrique durant pour endiguer la démocratisation du chiffrement ne font en réalité que de commencer. Sur
des millénaires: la responsabilité du cryptage doit être dans les mains non plus de l’émet- le fond du boom d’Internet et du commerce en ligne dans les années 1990, les militaires de
Chapitre 12 teur mais dans celles du receveur. Dans cette situation, l’émetteur utilise la clé du receveur la NSA vont tenter de brider l’indéchiffrabilité des nouveaux algorithmes en promouvant la Chapitre 12
pour lui envoyer un message que lui seul pourra décrypter. La clé qui décrypte et celle qui puce de chiffrement Clipper dans les appareils électroniques. La puce effectuerait le travail
encode sont en réalité générées par une même fonction mathématique dite à sens unique de chiffrement pour l’utilisateur mais permettrait à la NSA de s’assurer que les clés soient
(la fonction est dite à sens unique lorsqu’elle peut être facilement calculée dans un sens récupérables en cas de besoin. Malgré les pressions du gouvernement Clinton, l’industrie et
mais difficile à inverser. La multiplication en est un exemple typique: il est facile de multiplier les activistes qui s’opposent à l’introduction de Clipper remportent la première bataille. Le
deux chiffres, en revanche il est beaucoup plus difficile de trouver à partir d’un résultat quel projet est abandonné en 1996, et deux ans plus tard, les limites à l’exportation des systèmes
sont les multiplicateurs utilisés: les possibilités sont innombrables pour un très grand chiffre). cryptologiques sont abaissées (Diffie et Landau 2005). Cet échec des militaires va donner le
Ainsi, la clé qui encrypte peut être publique sans compromettre la clé qui décrypte. La sécu- pas aux développements des nouvelles stratégies que nous venons d’appréhender grâce aux
rité du cryptage réside bien entendu dans la complexité de la fonction à sens unique utilisée documents fournis par Snowden. Autrement dit, la convergence de la cryptographie asymé-
pour générer la paire de clés (publique et secrète). C’est à la fin des années 1960 que James trique, son développement dans le standard PGP ainsi que l’échec politique d’une régulation
Ellis, un ingénieur britannique travaillant pour le GCHQ 6, invente pour la première fois le du chiffrement civil vont conduire la NSA à saboter les réseaux et les outils informatiques
principe de la cryptographie asymétrique. Peu de temps après, son collègue mathématicien pour conserver son pouvoir de supervision.
Clifford Cocks découvre la fonction à sens unique qui permet la mise en œuvre du principe La nouvelle approche de l’agence est simple: si les systèmes cryptographiques basés sur des
révolutionnaire que nous utilisons encore de nos jours 7. Mais leur découverte reste dans fonctions mathématiques à sens unique deviennent extrêmement compliqués à casser, les
l’ombre du GCHQ 8 jusqu’en 1977. Cependant, d’autres chercheurs se sont penchés sur le réseaux et les ordinateurs qui les composent sont, eux, beaucoup plus vulnérables. En effet,
problème de la distribution des clés: en 1973 Whitfield Diffie et Martin Hellman développent
à l’Université de Stanford l’idée d’une cryptographie asymétrique. Il faudra néanmoins 10 Les clés sont compromises lorsqu’il est possible de trouver (factoriser) les deux nombres premiers qui la constituent.
attendre quelques années de plus avant que trois chercheurs du MIT ne trouvent la même A l’heure actuelle, la factorisation d’une clé de 232 chiffres (768 bits) a été publiquement reconnu.
fonction que celle développée par Clifford Cocks. L’algorithme RSA est né 9. Il est toutefois (http://en.wikipedia.org/wiki/RSA-1024#RSA-1024)
11 http://www.pgpi.org/doc/guide/
12 Les systèmes de cryptage sont considérés aux Etats-Unis comme des munitions au même titre que les missiles et
6 Government Communications Headquarters. leur exportation nécessite le feu vert du Département d’Etat. Les deux chefs d’accusation sont finalement aban-
7 L’équation de la clé publique est: C= Me (mod N). C est le message encrypté issu du message initial transformé en donnés après quelques années et Zimmermann poursuit le développement de son programme. Les charges contre
chiffres selon la table ASCII et exposé au carré e (e est donné dans la clé). N est également un chiffre donné dans la Zimmermann sont abandonnées car d’une part la licence RSA n’est valide qu’aux Etats-Unis et laisse donc les utilisa-
clé. N correspond au chiffre RSA issu de 2 nombres premiers qui constituent la clé secrète. L’équation de décryptage teurs du reste du monde libre d’utiliser l’algorithme. Et d’autre part, le code source du programme de Zimmermann
nécessite de connaitre les deux nombres premiers qui ont généré le chiffre N. est publié sous forme de livre qui lui peut être librement échangé en vertu du Premier Amendement. De surcroit,
8 Cette découverte faite en 1973 à été rendue publique en 1997 les premiers développements du programme s’effectuent à l’étranger et la nouvelle version du programme est
(http://www.nytimes.com/library/cyber/week/122497encrypt.html#1). alors importée aux Etats-Unis, rendant l’accusation du Département de la Justice sinon obsolète du moins ridicule
9 RSA est l’acronyme de leurs noms: Rivest, Shamir et Adleman. à soutenir (Diffie et Landau 2007: 230).

280 Secrets | David Bozzini Secrets | Cryptographie et surveillance digitale 281


pourquoi perdre du temps à factoriser une clé mathématique lorsque celle-ci peut être américains Bluecoat qui ont permis au gouvernement syrien d’intercepter les communica-
dérobée en s’introduisant dans les systèmes informatiques ? La NSA va donc secrètement tions des rebelles lors des premiers mois de l’insurrection (Bluetouff 2011). Le programme
saboter Internet en y installant d’innombrables backdoors avec ou sans l’appui des grandes Finfisher de l’entreprise britannique Gamma a été retrouvé en Egypte à l’aube du printemps
compagnies. La seconde bataille dans la guerre cryptologique vient de débuter mais cette arabe et a servi plus récemment en Ethiopie pour infiltrer les ordinateurs de blogueurs et de
fois, la NSA a un avantage certain et bénéficie désormais des moyens d’une surveillance de journalistes, incarcérés aujourd’hui dans ce pays (Marczak et al. 2014). D’autres compagnies
masse que Zimmermann prévoyait déjà à la fin des années 1980: si le déploiement d’agents comme Vupen en France et Hacker Team en Italie se sont spécialisées dans la détection de
marquait les limites de la surveillance du courrier et des conversations, le succès des commu- failles informatiques dont elles signalent l’existence au plus offrant.
nications électroniques et de la téléphonie mobile permet une surveillance automatisée et La protection des communications est d’autant plus importante qu’un nombre grandissant
sans limites. d’infrastructures, de machines industrielles et de bases de données sont connectées à des
Les problèmes auxquels font face les systèmes cryptographiques peuvent être résumés en réseaux informatiques. Des expériences ont montré qu’un simple citoyen avec suffisamment
trois points généraux. Premièrement, les réseaux et les systèmes informatiques manquent de de connaissance peut s’emparer du contrôle des feux de signalisation d’une ville ou des
sécurité et l’exploitation de failles permet ainsi de contourner les difficultés mathématiques panneaux d’information autoroutiers. Il n’y a pas une semaine sans qu’un hacker 14 démontre
imposées par la cryptographie contemporaine. Le deuxième problème tient au fait qu’il la facilité à laquelle il est possible de s’infiltrer dans des registres et des bases de données
est difficile, pour l’utilisateur, de se rendre compte du manque de sécurité qui caractérise qui contiennent les informations personnelles de milliers de citoyens. Si des individus isolés
son environnement digital. Il est plus difficile en effet de se figurer des risques dans un peuvent ainsi prendre le contrôle de ces instruments informatiques qui canalisent de plus
environnement virtuel que de reconnaitre le risque encouru lorsqu’on oublie de fermer sa en plus le cours de nos vies, qu’en est-il alors du pouvoir de collectifs ou d’organisations
maison à double tour avant de partir en vacances. Enfin, il est difficile de se rendre compte malveillantes ? Récemment, des virus comme Stuxnet 15 ont montré à quel point les cybe-
de l’importance des informations que nous délivrons lorsque nous sommes en ligne parce rarmes développées par des Etats sont capables d’infiltrer des centrales nucléaires et d’en
qu’une partie de ces informations restent invisibles: il suffit de rappeler que les documents contrôler le fonctionnement. Force est alors de constater que le discours qui tend à considérer
que nous envoyons comportent des métadonnées et que nos communications diffusent en les hackers comme des criminels dangereux élude le fait que les Etats sont eux-mêmes les
tout temps l’adresse IP et MAC de nos machines 13. acteurs majeurs des activités criminelles ou du moins illégales qui ont cours dans le cyberes-
pace. En somme, la guerre millénaire qui se joue autour de la gestion de la cryptographie
et de la capacité de décrypter les codes s’est désormais étendue à l’ensemble d’un monde
Chapitre 12 Le complexe militaro-digital digital en pleine expansion. Chapitre 12
Le contrôle militaire accru du cyberespace représente un phénomène parmi d’autres qui parti-
Les militaires n’ont donc jamais vraiment quitté Internet au profit des civils. Bien au contraire, cipent au virage amorcé par les militaires depuis les années 1990. Les théâtres des opérations
le théâtre des opérations digitales a permis à l’armée d’étendre considérablement son militaires évoluent et se diversifient mais regagnent aussi le cœur des sociétés occidentales.
pouvoir dans la sphère civile non seulement en terme de surveillance mais également en Les combats et les risques encourus ne se trouvent plus à distance sur les sites d’extractions de
cooptant l’industrie Internet et les compagnies de télécommunications. Etendre l’Internet et matières premières et de productions industrielles délocalisées mais il s’agit pour les militaires
promouvoir une connectivité ininterrompue des humains et des choses permet d’augmenter de regagner des «parts de marché» dans la protection et le maintien de l’ordre de nos villes et
les profits pour les uns (Naughton 2014) et de resserrer le maillage du complexe militaro- de nos campagnes (Graham 2011; Masco 2014). Ce contrôle militaire accru du cyberespace
digital pour les autres (Foster et McChesney 2014). L’effacement des frontières entre armée participe ainsi à un phénomène beaucoup plus étendu qui répond à des tensions domestiques
et entreprises de télécommunication est flagrant à travers la mise à disposition des données accrues par des inégalités qui ne cessent d’augmenter surtout depuis la deuxième moitié du
des géants de l’Internet (Apple, Google, Facebook…) à la NSA, mais également lorsqu’on siècle dernier (Picketty 2013). La surveillance et le contrôle des réseaux informatiques vont
sait que le travail de surveillance est, aux Etats-Unis du moins, largement externalisé vers des ainsi bien au-delà de la menace terroriste que les politiciens, les polices et les militaires ne
compagnies privées et que les cadres de ces dernières sont souvent recrutés parmi d’anciens cessent de brandir. En réalité, la collecte de données digitales a peut-être d’autres objectifs
officiers du Ministère de la Défense. que de prévenir des attentats terroristes. Il est pourtant difficile de saisir à quoi une collecte
La course à l’armement électronique et à la défense contre la cyberguerre engloutit une massive de données sert. CitizenLab a toutefois montré à plusieurs reprises que la surveillance
part toujours plus importante des budgets militaires et de nouvelles industries privées en informatique permet d’écouter des activistes engagés contre des discriminations et luttant
profitent très largement. Il faut souligner que les armes de cette guerre sont bien plus des pour des valeurs démocratiques (Boire 2011).
outils de surveillance et des programmes qui prennent le contrôle des ordinateurs que des
outils de cryptage. Quant à la question de l’exportation de ces nouveaux dispositifs, nous
sommes encore bien loin des mesures de contrainte imposées à la cryptographie jusque
dans les années 1990. Pour s’en convaincre, il suffit de mentionner l’usage des dispositifs
14 Il s’agit ici d’un type spécifique de hackers qui ont pour buts non pas d’utiliser les données auxquelles ils ont accès
13 Une photographie digitale peut comporter des données GPS, l’heure à laquelle la photographie a été prise et le type mais au contraire de montrer publiquement les risques que nous encourons à cause de la vulnérabilité des réseaux
d’appareil utilisé. Les cookies permettent à d’innombrables compagnies de prendre connaissance d’une partie d’un et des systèmes informatiques que nous utilisons.
historique de navigation. Les messages électroniques ou les appels téléphoniques comportent également toutes 15 Stuxnet est un virus qui s’est propagé pour infiltrer les machines de contrôle de certaines installations nucléaires.
sortes de données sur ces échanges, la localisation des interlocuteurs, le type de machine utilisées, etc. Toutes ces Le virus a visé en 2010 le site iranien d’enrichissement de l’uranium à Natanz, détruisant ses centrifugeuses. Il est
données prises séparément permettent de dresser un profil d’utilisateur. Les mettre ensemble permet d’appendre reconnu que par sa complexité, le virus est le fruit des capacités techniques d’un Etat et plusieurs indices suggèrent
énormément même sur les activités et les situations offline des utilisateurs surveillés. que les Etats-Unis et Israel sont derrière sa conception (Collins et McCombie 2012; Farwell et Rohozinski 2011).

282 Secrets | David Bozzini Secrets | Cryptographie et surveillance digitale 283


La résistance s’organise mouvement open source. En effet, au-delà du besoin d’outils de cryptage, l’existence avérée
de backdoors dans les programmes et les systèmes d’exploitation exemplifie la nécessité
Depuis que Philip Zimmermann a publié le premier programme PGP, les moyens de résistance d’utiliser des outils dont le code est accessible (les programmes dits open source) et qui
n’ont cessé de se développer. Ils ont même depuis peu pris une envergure inouïe comme peuvent ainsi être analysés par des experts pour y déceler non seulement des éléments qui
l’atteste le phénomène de Anonymous et les scandales issus des informations publiées par pourraient servir à accéder à distance aux données de l’utilisateur mais également pour
Wikileaks et par Snowden. Ces phénomènes de résistance sont en réalité la partie visible mutualiser la recherche de failles informatiques qui rendent nos machines vulnérables à
de l’iceberg. Les rangs des cypherpunks (Hughes 1993) et des hacktivistes 16 ne cessent toutes sortes d’attaques. Ainsi, la meilleure garantie de confidentialité tient aujourd’hui
de grandir depuis les balbutiements du développement de projets informatiques dit open paradoxalement à la combinaison de processus mathématiques complexes, difficilement
source à partir des années 1990 (Coleman 2013). réversibles, articulés à des programmes dont le code est accessible (open source). En ce sens,
Issus des élites intellectuelles (mathématiciens, cryptographes, ingénieurs informatiques, les informations fournies par Edward Snowden représentent le moteur d’une nouvelle étape
etc.), les cypherpunks sont des activistes qui militent pour la protection de la vie privée et dans l’évolution de la cryptographie et de son utilisation.
ont pour but de promouvoir des solutions techniques qui permettent le cryptage de nos
communications et de nos données digitales. Les hacktivistes sont eux aussi des experts
qui mettent à disposition leurs connaissances afin de développer des solutions techniques Conclusion
pour des collectifs militants. Le groupe de hackers Telecomix a par exemple soutenu des
blogueurs au Maghreb lors du printemps arabe. Ce groupe a également fourni un support Il ne fait aucun doute que nous avons plus que jamais besoin d’experts indépendants pour
technique aux rebelles en Syrie et lors des manifestations en Turquie. D’autres hacktivistes sécuriser nos réseaux et contenir la surveillance de masse. Les efforts des cypherpunks et des
ont mis sur pied un réseau décentralisé pour le mouvement Occupy aux Etats-Unis et hacktivistes visent à limiter l’utilisation militaire et commerciale des traces que nous laissons
enfin, plusieurs groupes d’hacktivistes sensibilisent les journalistes à la protection de leurs sur les serveurs. Mais de manière plus générale, leurs actions ont pour cible une culture de
informations et de leurs sources 17. Enfin, un nombre considérable de projets ayant pour la surveillance qui s’installe dans nos sociétés et qui permet de reconfigurer des instruments
objectif d’assurer la protection des internautes ont vu le jour récemment. Dans la foulée de pouvoir et de les diriger vers de nouvelles cibles et objectifs. Les dynamiques de ce
des révélations colportées par Edward Snowden, une partie non négligeable de ces projets phénomène culturel et technique visent le développement du profilage et de la détection
visent à simplifier les interfaces de programme de cryptage qui restent encore relativement qui s’articule sur un modus operandi de la prévention, de la prédiction et du désamorçage.
Chapitre 12 complexes à manier. En faire une liste exhaustive est actuellement impossible. On notera Les manières dont s’organisent ces dynamiques induisent la promotion d’une culture de la Chapitre 12
toutefois l’existence de logiciels généralement reconnus comme fiables comme Truecrypt, surveillance (Giroux 2014) qui banalise la supervision à la fois militaire et commerciale de
qui permet le cryptage d’un disque dur, de TOR, qui offre l’anonymat aux internautes, et de nos activités.
Tails, un système d’exploitation qui tient sur une clé USB et qui fournit de nombreux outils Elle s’invite dans nos vies par l’entremise de services que nous activons pour notre propre
de protection utilisables sur n’importe quelle machine infectée. Il existe enfin une multitude plaisir. En nous surveillant nous-mêmes, par exemple en activant une application de mesure
de plug-ins qui permettent d’effacer toutes sortes de métadonnées ou d’assurer le cryptage de performance sportive, nous contribuons à produire également des informations sur nos
de messages instantanés. Ces outils se développent aussi depuis peu sur nos appareils de activités que des tiers collectent et analysent. Cette banalisation de la surveillance apparaît
téléphonie mobile. On trouve aisément des manuels et des conseils en ligne qui présentent également au grand jour lorsque nous prenons position par rapport à des formes de surveil-
leur usage 18. A cela s’ajoute le phénomène des cryptoparties 19 qui s’organisent un peu lance non souhaitée. S’il s’agit d’informations hautement personnelles, il n’est pas rare
partout depuis 2011. Il s’agit de réunions ouvertes à chacun où sont présentées certaines pourtant d’entendre que cela importe peu du moment où nous n’avons rien à cacher ou bien
solutions techniques pour améliorer la sécurité des ordinateurs et des communications digi- que d’une manière ou d’une autre nous ne pouvons plus rien faire pour protéger notre vie
tales. Enfin, depuis 2013, de nombreuses actions ont été organisées à l’échelle mondiale. privée. Dans tous les cas, ces postulats résignés banalisent la surveillance de notre quotidien.
L’Electronic Frontier Foundation a intenté plusieurs procès à la NSA tandis que Reset The A l’heure où je rédige cet article, toute l’attention des journalistes et des experts est focalisée
Net et Encrypt All Things sont des initiatives qui ont activement milité pour que les individus sur la NSA et les scandales que distillent les documents de Snowden depuis plus d’une année.
et les compagnies informatiques relèvent leurs mesures de sécurité afin de rendre plus sûre Or, ces scandales ne doivent pas masquer ce que d’autres agences nationales et d’autres
l’utilisation des réseaux informatiques. institutions font ou sont en train de développer. On pourra à ce titre penser aux révisions
En somme, les scandales qui frappent la NSA et qui ont révélé au monde l’existence d’une suisses et françaises des lois sur le renseignement, aux dispositifs mis en œuvre par la Chine,
surveillance digitale de masse représentent une formidable promotion des projets menés ou se remémorer que des entreprises privées vendent leurs services à des gouvernements qui
par les cypherpunks et les hacktivistes et, de façon moins évidente à comprendre, par le n’hésitent pas à réprimer la liberté de parole et de protester 20. Malgré les limites empiriques
propres à cet essai, il est possible de souligner, sous forme d’hypothèse, un phénomène
16 Le terme est souvent attribué au groupe de hackers «Cult of the Dead Cow». (http://www.cnet.com/news/old-time- social dont l’envergure dépasse largement les faits qui ont été présentés. Il s’agit d’une
hacktivists-anonymous-youve-crossed-the-line/) dynamique sociale qui participe aux brouillages des frontières entre les institutions publiques,
17 A ce titre, il est particulièrement frappant de voir depuis quelques années de nouvelles formes de collaborations se
Etats, compagnies privées et mouvements contestataires.
tisser entre hackers, journalistes et blogueurs. On pense notamment aux actions menées par Reporters sans Frontière
ou les plateformes anonymes d’envoi de fichiers mises en place par certains journaux (strongbox, etc.).
18 Par exemple: https://cryptoanarchy.freed0m4all.net/wiki/Main_Page; https://ssd.eff.org.
19 La formule a été inventée par Asher Wolf à Melbourne en Australie et s’est rapidement exportée vers d’autres conti- 20 On pensera à la surveillance et à la répression des activistes en Syrie, en Iran, en Ethiopie ou au Bahrein qui ont été
nents (http://www.wired.com/2014/05/snowden-cryptoparty). Plus d’information sur: https://www.cryptoparty.in. documentées par le CitizenLab de l’Université de Toronto (http://citizenlab.org).

284 Secrets | David Bozzini Secrets | Cryptographie et surveillance digitale 285


Il n’est en effet pas si facile d’opérer un tri clair entre les militaires, les capitalistes et les LEISTERT Oliver. 2012. «Resistance against cyber-surveillance within social movements and how surveillance adapts».
Surveillance & Society 9/4:441-456.
activistes. Les hacktivistes et les cypherpunks dont nous avons parlé font partie d’une élite
L’HOIRY Xavier et Clive NORRIS. 2014. Exercising democratic rights under surveillance regimes. Executive Summary.
intellectuelle qui est employée dans les institutions étatiques ou dans les entreprises lorsqu’ils
[http://irissproject.eu/wp-content/uploads/2014/06/IRISS-WP5-Executive-Summary-for-Press-Release.pdf ∙
ou elles ne fondent pas leur propre start-up. Les chefs d’entreprises non seulement collaborent consulté en ligne le 17 mai 2015]
étroitement avec les militaires mais sont souvent eux-mêmes d’anciens officiers de l’armée LYON David. 2014. «Surveillance, Snowden, and Big data: capacities, consequences, critique». Big Data & Society
tandis que de hauts gradés et des politiciens font souvent partie des conseils d’administration (jul-dec): 1-13.
de l’industrie Internet. Ces acteurs aux facettes et aux carrières multiples tentent parfois d’agir MARCZAK Bill, Claudio GUARNIERI, Morgan MARQUIS-BOIRE et John SCOTT-RAILTON. 2014. «Hacking team and the
dans un sens où ils considèrent contrebalancer un pouvoir qu’ils estiment nocif. C’est le cas targeting of ethiopian journalists». Citizen Lab Research Brief 32, 12 février.
[https://citizenlab.org/2014/02/hacking-team-targeting-ethiopian-journalists/ ∙ consulté en ligne le
d’un Snowden ou de Manning par exemple mais de manière plus générale, il faut remarquer
17 mai 2015]
l’extrême volatilité des compétences et des informations qui circulent entre ces trois pôles.
MASCO Joseph. 2014. The theater of operations: national security affect from the cold war to the war on terror.
Cette mobilité des acteurs et de leurs compétences ainsi que cette volatilité des techniques Duke: University Press.
exemplifie de nouvelles formes de contre-pouvoir mis en œuvre par cette élite informatique 21 MCKENZIE WARK Kenneth. 2004. A Hacker Manifesto. Harvard University Press.
et dont le leaking ne représente que la partie la plus spectaculaire. NAUGHTON John. 2014. Why Facebook and Google are buying into drones. [http://www.theguardian.com/
world/2014/apr/20/facebook-google-buying-into-drones-profit-motive ∙ consulté en ligne le 17 mai 2015]
PIKETTY Thomas. 2013. Le Capital au XXIe siècle. Paris: Le Seuil.
Bibliographie PRICE David. 2014. The new surveillance normal. NSA and corporate surveillance in the age of global capitalism.
[http://monthlyreview.org/2014/07/01/the-new-surveillance-normal/ ∙ consulté en ligne le 17 mai 2015]
BLUETOUFF. 2011: #OpSyria: Syrian Censorship Logs (Season 3). [https://reflets.info/opsyria-syrian-censoship-log/ ∙ ROSENZWEIG Roy. 1998. «Wizards, bureaucrats, warriors, and hackers: writing the history of the Internet». The
consulté en ligne le 17 Mai 2015] American Historical Review 103/5: 1530-1552.
BOIRE Morgan Marquis. 2011. Backdoors are forever: hacking team and the targeting of dissent. [https://citizenlab. SINGH Simon. 2000. The code book. New York: Anchor Books.
org/wp-content/uploads/2015/03/Backdoors-are-Forever-Hacking-Team-and-the-Targeting-of-Dissent_
websitepdf.pdf ∙ consulté en ligne le 17 Mai 2015] SWIRE Peter et Kenesa AHMAD. 2012. «Encryption and Globalization». Columbia Science and Technology Law
Review 23; Ohio State Public Law Working Paper 157. [http://ssrn.com/abstract=1960602 or http://dx.doi.
COLEMAN Gabriella. 2013. Coding freedom: the ethics and aesthetics of hacking. Princeton and Oxford: Princeton org/10.2139/ssrn.1960602 ∙ consulté en ligne le 17 mai 2015]
University Press.
TALBOT David. 2013. «Bruce Schneier: NSA spying is making us less safe». MIT Technology Review, 23 septembre.
Chapitre 12 COLLINS Sean et Stephen MCCOMBIE. 2012 «Stuxnet: the emergence of a new cyber weapon and its implications». [http://www.technologyreview.com/news/519336/bruce-schneier-nsa-spying-is-making-us-less-safe/ ∙ consulté Chapitre 12
Journal of Policing, Intelligence and Counter Terrorism 7/1: 80-91. en ligne le 17 mai 2015]
DIFFIE Whitfield et Martin HELLMAN. 1977. «Exhaustive cryptanalysis of the NBS data encryption standard». WATERCUTTER Angela. 2013. «Stallman: How Much Surveillance Can Democracy Withstand ?». Wired, 14 octobre.
Computer 10: 74-84. [http://www.wired.com/2013/10/a-necessary-evil-what-it-takes-for-democracy-to-survive-surveillance/ ∙
DIFFIE Whitfield et Susan LANDAU. 2007. Privacy on the line: the politics of wiretapping and encryption. Cambridge, consulté en ligne le 17 mai 2015]
MA: MIT Press.
EDWARDS Paul. 1996. The Closed World: Computers and the politics of discourse in cold war America. Cambridge,
MA: MIT Press.
EFF. 1998. Frequently asked questions (FAQ) about the electronic frontier foundation’s «DES cracker» machine.
[https://w2.eff.org/Privacy/Crypto/Crypto_misc/DESCracker/HTML/19980716_eff_des_faq.html#whouses ∙
consulté en ligne le 17 mai 2015]
FARWELL James et Rafal ROHOZINSKI. 2011. «Stuxnet and the future of cyber war». Survival: global politics and
strategy 53/1: 23-40.
FOSTER John Bellamy et Robert MCCHESNEY. 2014. «Surveillance capitalism». Monthly Review 66/3: 1.
FOUCAULT Michel. 2004. Sécurité, territoire, population. Cours au Collège de France (1977-1978). Paris: Editions
EHESS, Gallimard, Le Seuil.
GIROUX Henry A. 2014. «Totalitarian paranoia in the post-orwellian surveillance state». Cultural Studies. 29/2:
108-140.
GRAHAM Stephen. 2011. Cities under siege: the new military urbanism. New York: Verso Books.
HUGHES Eric. 1993. A Cypherpunk’s Manifesto.
[http://www.activism.net/cypherpunk/manifesto.html ∙ consulté en ligne le 17 mai 2015]
HYPPONEN Mikko. 2014. The Talk I Was Going to Give at RSA.
[https://www.youtube.com/watch?v=ioHEGM3CqSE ∙ consulté en ligne le 17 mai 2015]
KALIA Amul. 2014. The 90s and Now: FBI and its inability to cope with encryption. [https://www.eff.org/
deeplinks/2014/10/90s-and-now-fbi-and-its-inability-cope-encryption ∙ consulté en ligne le 17 mai 2015]
LANDAU Susan. 2013. «Making sense from Snowden: what’s significant in the NSA surveillance revelations». IEEE
Security & Privacy 11/4: 54-63.

21 Wark (2004) parle en ce sens d’une classe hacker; Coleman (2013) parle des armes des geeks (weapons of the geek),
clin d’œil aux armes des faibles (weapons of the week) discuté par James Scott.

286 Secrets | David Bozzini Secrets | Cryptographie et surveillance digitale 287

View publication stats