Petit guide sur les backdoors cryptographiques à l’usage des gens qui n’y comprennent rien Fred Raynal Follow Feb 13 · 14 min read

Quel choc ! Quelle révélation ! Crypto AG, une société suisse née dans les années 70 a vendu à plein de pays des équipements de chiffrement dont la cryptographie n’était finalement pas complètement robuste. Pire, elle contenait une backdoor permettant à ceux la connaissant d’écouter les conversations. Mais la vraie révélation de cette histoire assez connue est surtout l’identité des actionnaires de CryptoAG : la CIA américaine et le BND allemand.

Quel choc ! Quelle révélation ! Huawei aurait intercepté des communications aux États-Unis, et ce depuis 2009. Des nouvelles informations fournies directement par l’administration américaine en témoignent, administration qui n’a évidemment aucune arrière-pensée économique, mais uniquement de souveraineté nationale quant à la 5G, et qui craint le mélange des genres entre Huawei et le gouvernement chinois.

Essayons de raisonner avec un peu d’objectivité quant à ces “backdoors”, américaines, chinoises ou autre, pour voir comment les mettre en place, et les risques encourus.

Les backdoors crypto pour les nuls (histoire de comprendre de quoi on parle)

La guerre des standards cryptographiques

Les Américains pour le coup sont spécialistes de cela, car ils gèrent les instances de normalisation mondiale, par exemple en standardisant les algorithmes cryptographiques via le NIST.

Souvenons-nous du cas du DES (Data Encryption Standard) à la fin des années 70. À cette époque, la cryptographie était confidentielle, voire classifiée et considérée comme une arme de guerre (c’est d’ailleurs encore aujourd’hui un bien à double usage).

La standardisation du DES a soulevé beaucoup de questions et a certainement permis de créer toute la recherche moderne en crypto.

Avant sa standardisation, le DES a été soumis à la NSA qui était le seul organisme avec les compétences nécessaires pour évaluer l’algorithme.

La NSA a modifié les S-boxes internes (cad la partie critique qui sert à “mélanger” les données, mais on ne doit pas mélanger n’importe comment), mais sans expliquer comment ni pourquoi. La réponse est venue une vingtaine d’années plus tard : les S-boxes initiales étaient vulnérables à la cryptanalyse différentielle. Aujourd’hui, il est reconnu que la NSA connaissait ce type d’attaque avec 15 ans d’avance sur la recherche académique (inexistante sur le domaine à la fin des années 70), et de ce point de vue, ils ont renforcé l’algorithme.

Pour autant, il existe 2 manières d’attaquer un algorithme : par ses maths ou par sa clé.

La NSA s’est assurée que les clés ne dépassent pas 56 bits. Certes, une telle taille de clé n’était certainement pas cassable par force brute fin 70, mais en mettant cette limite, la NSA se réservait une porte d’entrée royale pour le futur. Et c’est en 1998 que la première attaque par force brute publique a fonctionné, cassant une clé en quelques jours. Entre 1977 (date de la certification FIPS) et 1998 (premier cassage public), personne ne sait à partir de quand la NSA a été capable de “bruteforcer” une clé de 56 bits.

D’autres exemples américains existent comme avec Dual_EC_DRBG, où les Américains ont mis puis été pris la main dans le pot de chocolat pour affaiblir des algorithmes.

Cette bataille de standards a conduit la Russie à construire ses propres standards et algorithmes (GOST), tout comme la Chine (SM). L’Europe est absente de cette lutte d’influence, se reposant essentiellement sur les approches américaines, un allié de longue date.

Quel est le risque si un concurrent découvre la backdoor cryptographique ? Il pourra l’utiliser tout comme son concepteur et accéder exactement aux mêmes informations. L’accès aux informations se fait par interception donc le gain dépendra des capacités d’interception de chacun. Et de telles faiblesses sont déployées pour longtemps dans les systèmes, les mises à jour de standard prenant “un peu” de temps, sans parler ensuite des patchs des constructeurs qui ne sont pas installés en quelques secondes sur tous les équipements. Sans oublier bien sûr que les algorithmes affaiblis équipent aussi le pays qui a promulgué le standard, et l’expose donc au risque de voir ses communications être interceptées sans le savoir.

En outre, il faudra ensuite gérer la connaissance acquise d’une connaissance indûment acquise. C’est le problème classique de l’espionnage, qui transfère des informations auxquelles le pays ne devrait pas avoir accès : le comportement ne doit pas changer, ou très lentement, sous peine de griller sa taupe. Souvenons-nous des Alliés pendant la 2ème guerre mondiale, qui ont réussi à casser l’Enigma des Allemands et pouvaient espionner toutes les communications nazies.

Est-il possible d’incriminer le pays qui aurait laissé une telle faiblesse ? Cela relève de la spéculation, car obtenir des preuves formelles d’une telle manipulation relève souvent de l’impossible. Si on regarde le cas de l’algorithme SHA, la communauté scientifique a découvert des faiblesses dans SHA-0 en 2004, faiblesses a priori inconnues de la NSA (au contraire d’autres qui ont donné naissance à SHA-1 sur conseils de la NSA). Toujours est-il qu’un tel acteur peut toujours nier avoir connaissance d’une attaque (plausible deniability), la communauté académique étant aujourd’hui assez structurée pour en découvrir d’elle-même.

Ces questions d’algorithmes touchent tous les aspects, interceptions ou autres. Toutefois, pour la suite, nous nous concentrerons sur les interceptions.

La guerre des équipements télécom

Les équipements télécom sont également un enjeu. Les standards, une fois approuvés, sont mis en oeuvre dans de tels équipements. Et affaiblir les équipements n’est pas non plus une nouveauté.

Pour autant, les backdoors ne sont pas le seul moyen d’accéder à la donnée tant convoitée.

Option 1 : le support

Tous les équipementiers télécoms fournissent du support à leurs clients.

De manière automatique, certains équipements vont chercher des mises à jour de firmwares qui sont ensuite installées. Oui, oui, ces firmwares ont intérêt à être signés, et la signature bien vérifiée. Évidemment, tout le monde sait que c’est toujours le cas (oui, c’est de l’ironie).

Mais ce n’est pas tout : les équipementiers ont aussi des accès à distance pour faciliter l’intervention des techniciens de support. Cela passe par des comptes dédiés, avec des mots de passe par défaut dans la plupart des cas (ou le même mot de passe utilisé pour tous les clients). Je n’ai pas refait l’expérience, mais il y a quelques années, il n’était pas très compliqué de trouver les documentations de ces équipements, qui contenaient allègrement les mots de passe par défaut. Et au pire, en brute forçant, les mots de passe peuvent tomber assez vite, comme ceux qui ont fait du war dialing le savent très bien.

Donc, les équipements Huawei ont-ils de tels accès ? Je n’ai pas ces équipements 5G sous la main, mais je ne vois aucun client au monde qui achèterait un tel équipement sans avoir de support. Donc je parie que de tels accès existent. Sont-ils utilisables par Huawei ? Nécessairement ! Sont-ils sécurisés ? Aucune idée. Le gouvernement chinois en a-t-il connaissance ? On rentre dans le domaine de la spéculation.

Les autorités américaines ont-elles vu des accès à des équipements Huawei sur le sol américain : c’est probable. À quelles fins : espionnage ou support ? Aucun moyen de le savoir.

L’administration Trump pousse-t-elle cette information dans le cadre de sa guerre commerciale avec la Chine ? Je laisse à chacun le soin de se faire son avis …

Option 2 : les interceptions légales

Tous les gouvernements demandent à bénéficier d’accès aux équipements télécom pour réaliser des interceptions légales. Nous sommes là loin du monde des barbouzes, il s’agit d’interception dans le cadre d’enquêtes judiciaires.

Cela vient d’un temps où toutes les communications n’étaient pas chiffrées. Du coup, pour un gouvernement, se placer au coeur du réseau était la bonne solution pour voir passer toutes les communications en clair, et donc les intercepter.

Mais la crypto s’est propagée, et les révélations de Snowden ont favorisé son déploiement. Maintenant, la plupart des communications d’Internet passent par des protocoles chiffrés, que ce soit sur SSL/TLS ou autres. Il n’en est pas de même sur les équipements télécom où, même si certains protocoles sont chiffrés de base, ils sont aussi troués de base. Et quand ils ne le sont pas, il reste aussi des “attaques par downgrade”, où l’équipement télécom va demander au mobile d’employer un protocole moins robuste que celui prévu, protocole qui, comme par hasard, pourra soit être directement en clair, soit cassé après l’interception.

L’autre prise de conscience suite aux révélations de Snowden est que, si l’accès au contenu est intéressant, l’accès aux métadata l’est tout autant. Le graphe de qui communique avec qui au cours du temps est particulièrement révélateur d’informations, et celles-ci ne sont jamais protégées, les opérateurs télécoms en disposent toujours.

Donc, ces équipements télécoms sont dotés de capacité d’interceptions légales, cela fait partie des législations dans tous les pays avec des commissions qui s’en occupent (CALEA aux USA, SORM en Russie).

En théorie, ces accès sont faits pour n’être accessibles que par les autorités (ou les opérateurs pour le compte des autorités), et donc pas par les équipementiers eux-mêmes. Mais qui sait, peut-être un bug par inadvertance ou une faiblesse par exemple dans l’authentification donnera accès aux services…

Que se passe-t-il quand un accès illicite est obtenu à un tel système ? Potentiellement, un attaquant dispose donc pour lui d’un système d’interception. Heureusement, ça n’arrive jamais. Ou pas …

En mars 2005, les autorités grecques se sont rendu compte que des personnalités politiques et militaires de haut rang avaient été espionnées via les interceptions légales à l’insu de leur plein gré. Les équipements de Vodafone Greece ont été “intrusés” et utilisés pour écouter ces cibles. Qui est derrière cette opération ? Comment cette intrusion a-t-elle été réalisée ? Un autre gouvernement ? Goldman-Sachs qui s’inquiétait du changement de gouvernement par rapport à ses petites magouilles ? Ok, c’est de la théorie du complot, mais quitte à spéculer ! La réalité : rien n’a fuité publiquement, aucun indice.

En tout cas, joli ratage pour les gentils avec leur outil qui se retourne contre eux.

Les backdoors ont-elles de l’avenir ?

Les politiques en rêvent majoritairement, mais en général sans comprendre de quoi ils parlent. Le monde judiciaire s’en féliciterait, mais est aussi le garant d’un équilibre liberté vs. sécurité.

Tout dépend donc de quelles backdoors on parle.

“Le temps passe, le monde change” (La Palice)

Au niveau des standards, les batailles d’influence ne vont pas s’arrêter demain, les enjeux de souveraineté sont trop importants. Il est dommage que l’Europe suive, voire subisse, les choix américains, même si AES ou SHA3 sont d’origine européenne. L’avantage de cette approche pour le concepteur de backdoor est qu’il peut globalement nier l’avoir connue si elle est révélée.

Les équipements en ont, pour du support. Cisco retire les mots de passe codés en dur de ses équipements, des solutions modernes existent. Cela mettra du temps, et tous les équipements n’ont pas les mêmes exigences de sécurité ou la même criticité. Là, il est impossible pour le fabricant de nier avoir connaissance du compte par défaut. C’est pour cela d’ailleurs que Cisco chasse et retire ces comptes depuis quelques années maintenant.

Concernant les approches d’interceptions légales, l’usage généralisé de la cryptographie et les messageries de communication transitant par Internet réduisent leur intérêt. C’est exactement pour cela que les politiques dans tous les pays demandent la mise en place de backdoors.

D’une part, les interceptions légales sont de moins en moins à même d’intercepter quoi que ce soit, le réseau télécom étant remplacé par Internet. D’autre part, en télécom, il y a un nombre réduit d’opérateurs par pays et il est donc très facile pour un gouvernement de faire pression sur un opérateur (par exemple en le menaçant de lui retirer sa licence), là où il existe des tonnes d’acteurs pour communiquer sur Internet, acteurs généralement internationaux, ce qui complexifie de suite la législation.

Prenons le cas d’Apple à qui le FBI a demandé l’accès à un de ses iPhones. Si une backdoor crypto existait dans les téléphones de manière systématique parce qu’imposée par un gouvernement, il serait difficile à Apple de n’en donner l’accès qu’au FBI, et pas à l’Arabie Saoudite, l’Allemagne, ou la Chine. Ou alors, seuls les iPhone des citoyens américains en seraient équipés ? Ou ceux des étrangers ? Ou comment distinguer les zones dans lesquelles les iPhones seraient backdoorés de celles où ils ne le seraient pas ? Cela se fait, mais cela demande de l’organisation et des moyens, qu’un petit fournisseur sera incapable de fournir. Et si la backdoor était généralisée, comment différencier le cas d’un terroriste traqué par le FBI d’un gouvernement qui punirait l’homosexualité et se servirait de cette backdoor pour identifier les utilisateurs de Grindr ou des journalistes ?

Gros casse-têtes en perspective …

Ah mais pardon, on me dit dans l’oreillette que c’est déjà arrivé, en Chine, avec une jolie application Android pour traquer les musulmans ouïghours.

Un projet d’avenir pour ceux avec une vision passéiste ?

Pour autant, certains pays s’y attellent. En Russie, une loi interdit l’usage de Tor et demande à tous les fournisseurs de messagerie de permettre un accès aux autorités. Une option est d’installer les serveurs en Russie et de donner des accès aux agents de l’État pour accéder eux-mêmes aux informations. L’autre option est d’affaiblir le logiciel, mais difficile de le faire uniquement pour la Russie.

Dans le même ordre d’idée, la Chine a passé des lois contraignantes, au point qu’Apple a annoncé migrer l’hébergement des infrastructures iCloud directement en Chine pour les utilisateurs chinois, avec toutes les données et clés que cela implique.

Mais dans un cas comme dans l’autre, on peut espérer que, pour une fois, le marché l’emportera. Les utilisateurs se sachant traqués se dirigent alors vers des solutions alternatives, et en particulier ceux qui étaient la cible de tels dispositifs. Sans compter sur le décalage entre la loi et les moyens de l’appliquer. Ainsi, quand la Russie a interdit l’usage de Tor en 2017, il restait plus de 250000 utilisateurs russes quotidiens du réseau en 2018. Tant qu’il existera des pays n’imposant pas les backdoors, le chiffrement robuste perdurera. Et nous n’avons pas parlé du cas des logiciels open source, qui n’appartiennent à personne, et donc qui se chargerait de les développer ou de les contrôler ? Sans compter les personnes qui forkeraient le code si les backdoors étaient ajoutées pour les retirer avant de compiler leur propre version.

En conséquence, finis les mots de passe par défaut (enfin, presque ;), finies les interceptions télécom, place à de nouvelles approches sur de nouvelles technologies. Mais les politiques sont restés, eux, sur une autre époque, passée, comme en témoignent leurs déclarations. Ils n’ont pas pris la mesure du changement qui s’est opéré avec Internet, car ils n’en comprennent pas le fonctionnement. Et bien malin celui qui prédira ce que sera Internet avec la 5G.

Les backdoors du côté des méchants

Je suis un méchant, genre criminel, terroriste ou autre. Et je sais que la Loi impose des backdoors dans les moyens de communication. Comment fais-je alors ?

J’arrête de communiquer et je deviens un loup solitaire. Oups, ça existe déjà et sans backdoor.

J’utilise les moyens qui sont backdoorés. Je suis criminel, pas débile profond. Donc non.

Je cherche des moyens qui ne sont pas backdoorés.

Et là, il y a 2 options : les créer soi-même ou l’open source.

Je peux, avec un petit groupe d’amis, apprendre à développer, et créer une application de messagerie. Ok, elle sera très basique et ne permettra sans doute pas des video-chat de groupes où nous pourrons tous nous déguiser avec des oreilles de lapin, mais elle sera amplement suffisante pour synchroniser une opération.

Ou bien je me tourne vers une solution existante, open source. Le code étant disponible pour la Terre entière, il est raisonnable de penser qu’il est un peu plus difficile de dissimuler une backdoor dedans. Il y en a qui ont essayé, et en général, ça a été remarqué assez vite. Bon évidemment, si un gouvernement décide de mettre des backdoors, il peut aussi vouloir interdire l’open source. Mais dans ce cas, c’est quand même confier les clés de la boutique à des sociétés privés.

Au final, moi, (moche et) méchant, je me tiendrai donc éloigné de choses que je ne maîtrise pas. En revanche, moi, (beau et) gentil, je continuerai à utiliser les moyens offerts par les entreprises qu’on aura forcées à installer des backdoors. Et du coup, il n’y aura que les gentils et les débiles qui seront surveillés …

Le “Rien à cacher” vs. Contrôle et privacy

“Rien à cacher” est un argument qui revient souvent. Pour les promoteurs de backdoors, si vous n’avez rien à vous reprocher, vous n’avez rien à cacher. De même, Madame Michu à qui on explique que c’est pour son bien et sa sécurité répète à tout va qu’elle n’a rien à cacher car elle détient juste une collection de photos de ses petits-enfants.

MAIS CE N’EST PAS LE PROBLÈME (bordel) !

Pour citer Snowden: This is not different than saying: We don’t care about freedom of speech because we have nothing to say.

Il ne s’agit pas de savoir si untel ou unetelle à des choses à se reprocher et donc à cacher, on en a tous, mais il s’agit du contrôle qu’on concède à un tiers sur nos vies, sur notre quotidien.

Aujourd’hui, cela semble complètement naturel de confier sa vie à son téléphone Android (donc Google) ou à Facebook : ils savent déjà tout de nous, et le pigeon^w utilisateur n’a quasiment pas son mot à dire. Normal, ce sont des sociétés de droit privé, pas des démocraties.

Quand un gouvernement veut mettre en place des backdoors, les citoyens lui concèdent de facto un droit de contrôle sur leur vie, qu’ils aient ou non des choses à cacher. Et qui dit que le prochain gouvernement n’utilisera pas ses backdoors pour traquer les exilés fiscaux ? Ou les homosexuels ? Ou les immigrés ? Ou les roux ? Certes, il y a des contre-pouvoirs dans les institutions, mais la tentation sera toujours présente pour ceux qui nous gouvernent. Et contrairement à Oscar Wilde, le meilleur moyen de résister à la tentation, dans ce cas, n’est pas d’y céder, mais de simplement ne pas créer la tentation, et donc ne pas créer de backdoor. Voulons-nous vraiment prendre le risque qu’un tel pouvoir tombe entre de mauvaises mains ?

C’est une vraie question de société, pas aussi simple qu’un tweet de 280 caractères (ou moins).

Il est (enfin) temps de conclure

Les backdoors sont une chimère. Certains “control freaks” pensent encore comme dans les années 70 et s’imaginent que ce qui marchait alors fonctionnera encore demain.

Elles ont existé a des fins d’espionnage et je ne prends pas un grand risque en prédisant que cela va continuer encore longtemps, sous de multiples formes. Mais les backdoors pour lutter contre le terroriste ou le pedophile est un autre sujet, sociétal.

Alors, est-ce que les américains espionnent les chinois ? Est-ce que les chinois espionnent les américains ? La réponse aux 2 questions est sans ambiguïté oui.

Le risque avec les équipements 5G de Huawei est de se retrouver en situation de dépendance vis-à-vis d’une société étrangère et susceptible de planter ses équipements à distance lors d’une crise, coupant ainsi l’infrastructure de l’Internet de demain. Mais aujourd’hui, notre Internet n’est-il pas déjà dépendant de nombreuses resources que nous ne contrôlons pas ? Cisco, registrars, DNS, … tiens d ailleurs les Russes envisagent de développer leur propre DNS pour éviter une coupure intempestive de la part des américains.

De nombreuses activités dépendent de la sécurité de la cryptographie, comme le commerce en ligne, ou l’IoT pour lequel la 5G change la donne. N’importe quoi sera connecté, en permanence, certains de ces objets effectueront des transactions, d’autres auront des vies entre leurs mains (ex. : détecteurs de fumées, systèmes d’alarme, devices médicaux). Pouvons-nous réellement nous permettre d’affaiblir la sécurité ?