Beaucoup de bruit pour rien… On découvre en 2020 que les espions espionnent. Si je m’attendais à ça…
Je vais être honnête : je ne connaissais pas cette société avant qu’on en parle début 2020. Par contre, je me suis laissé dire que c’était un secret de Polichinelle que cette officine était employée par tout un tas de services de renseignement pour intercepter des communications importantes.
Import/export
Rappelons-nous : longtemps, le matériel cryptographique a été une arme de guerre, contrôlée par les états, et disponible uniquement pour des usages régaliens.
Avec l’arrivé du web, le chiffrement est devenu incontournable : sans lui, aucune utilisation commerciale d’internet n’aurait été possible. Or le problème est le suivant (et il est toujours d’actualité) :
- soit le chiffrement est efficace et fort, et alors les services de renseignements ont du mal à déchiffrer ;
- soit le chiffrement est faible, les agences de renseignement sont contentes mais pas les utilisateurs.
Ainsi, l’export de matériel de chiffrement a longtemps été réglementé de façon à n’autoriser que ce que les autorités pouvaient déchiffrer, d’où des clés de taille modeste (cf. vulnérabilité Freak). Sauf que les clients potentiels ne voulaient pas de clés qu’on puisse casser, donc ceux-ci n’avaient pas intérêt à prendre des solutions vendues par des américains, des français, dont la force était amoindrie pour être autorisées à l’export.
The Solution
La solution est de s’adresser à un fournisseur neutre (par exemple la Suisse), qui ne s’engagera dans aucun conflit militaire, et donc qui ne cherchera pas à intercepter les communications chiffrées. Parfait. Prenons Crypto AG.
Beaucoup de clients de toute taille l’ont choisi, parfois des états. Bien. Tout le monde est content, sauf les états souhaitant espionner ses copains.
And the winner is…
Je suis un état. Mes solutions de chiffrement affaiblies, les seules que j’autorise à la vente, n’intéressent personne (ce qui est normal), et si je vends une solution que je présente comme sûre, tout le monde s’attendra à ce qu’il y ait une porte dérobée quelque part.
Donc ?
Donc je magouille pour racheter une boîte sérieuse et crédible, en façade, et je troue ses solutions pour pouvoir quand même déchiffrer les données tout en ayant l’air de vendre des produits sérieux et sûrs. Genre Crypto AG.
La cible est tellement tentante que plusieurs pays s’y sont intéressés. L’Allemagne et les USA ont pris de parts dans Crypto AG (comprenons bien : ils contrôlaient la boîte en sous-main), et ont vendu pendant 30 ans des produits sûrs en apparence mais dont il gardait la maîtrise. Malin. Et tout le monde y a cru, bien que tout le monde savait. Dans les milieux du renseignement, tout le monde connaissait Crypto AG et savait l’utiliser.
Tout le monde savait ?
Toujours facile à dire après coup, mais dans les articles ci-dessous, on voit que certains clients ont pu avoir des doutes quand ils se sont aperçus que des messages sécurisés avec les solutions Crypto AG ont été portés à la connaissance de personnes non autorisées, comme… le président Reagan1 faisant allusion à des messages iraniens… Ils n’ont pas de chance avec leurs présidents2, les ‘ricains. Après, l’histoire de l’acquisition n’a pas été un long fleuve tranquille3 pour les américains, CIA et NSA se chamaillant longuement à ce sujet.
Quelques sources
- https://www.courrierinternational.com/article/espionnage-le-coup-du-siecle-pour-la-cia-crypto-ag-une-entreprise-suisse
- https://www.20minutes.fr/monde/2716263-20200211-renseignement-americain-allemand-espionne-centaine-pays-grace-societe-cryptage
- https://www.theregister.co.uk/2020/02/11/crypto_ag_backdoored_german_swiss_news_allegs/