Actus Écosystème

La cryptologie, ou la science du secret, accompagne les communications humaines depuis des millénaires. Son usage le plus connu au fil du temps relève du domaine militaire. La compilation des procédés cryptographiques (IV avant J.-C.) rédigée par Enée le Tacticien, la célébrissime Enigma des nazis, la pas moins célébrissime machine de Turing qui a permis de prévenir l’invasion de l’Angleterre et de raccourcir ainsi la liste de victimes de la Seconde guerre mondiale… Autant d’exemples qui démontrent qu’une complexification grandissante des méthodes s’accompagne d’une grande constance quant au domaine de l’application durant des siècles. Or, à l’ère numérique, un basculement s’opère : cet outil de sécurité extérieure et de contre-espionnage, cette arme de guerre ou de défense devient une toile de fond de nos échanges dès lors que l’on utilise un smartphone ou une carte bancaire. Car si la cryptologie était utilisée à des fins plus profanes par le passé, en commerce ou en relation épistolaire, elle ne faisait jamais partie du quotidien du plus grand nombre. Aujourd’hui, c’est devenu le cas !

Quels enseignements pouvons-nous tirer de ce changement ? Quels sont les enjeux de la cryptologie à l’état actuel ? Nous allons tenter de les déchiffrer à travers un exemple concret, celui de Snowpack, une spin-off du CEA-List, institut de la recherche du CEA spécialisé en systèmes numériques intelligents. La solution d’invisibilité sur Internet de Snowpack, d’une grande élégance, nous permettra d’entrevoir la complexité de ce monde ultraspécialisé, au vocabulaire souvent opaque. Notre but sera justement de vulgariser et de contextualiser ses concepts clés afin de les rendre plus lisibles.

Snowpack, notions de base

Dès qu’il s’agit du numérique, les champs d’incompréhension sont vastes, notamment parce que l’intuition et le bon sens nous y desservent plus que ne nous servent. L’exemple le plus simple à citer est celui de la numérisation qui permettrait de dématérialiser nos échanges et, par conséquent, d’ôter du poids économique et écologique, tout en apportant de la rapidité. Or derrière une éphémère légèreté du document pdf ou du courrier électronique se trouvent des machines bien matérielles qui tournent et qui consomment de l’énergie à leur usage mais aussi à leur production. Evitons donc ce piège et passons d’abord en revue les notions indispensables à la compréhension de la technologie de rupture signée Snowpack. Voici donc un petit coup d’évangélisation qui a d’ailleurs été voulu par Frédéric Laurent, l’un des co-fondateurs.

I. C comme cryptologie

First things first, parlons du domaine dans lequel s’inscrit la start-up : la cryptologie. Jusqu’ici nous l’avons présentée comme une science de secret, mais qu’en pensent les professionnels ? Voici la définition que donne Jacques Stern, médaille d’or du CNRS 2006, père fondateur de la cryptologie française et professeur d’informatique à l’Ecole normale supérieure, dans son livre « La cryptologie au cœur du numérique » :

« La cryptologie moderne est une partie de l’informatique, qui est quant à elle l’étude des processus qui permettent la manipulation, le stockage et la communication d’informations numériques. La cryptologie a pour objet de protéger ces processus contre un adversaire hostile. Elle doit notamment garantir une trilogie fondamentale : intégrité, authenticité, confidentialité. Il s’agit, par exemple, de vérifier l’intégrité d’un fichier sauvegardé, d’authentifier l’origine d’un message électronique, d’empêcher l’accès à des données sensibles durant le transfert ».

Ainsi la protection des données s’avère être le cœur battant de la cryptologie, et la première question qui en découle, à savoir « la protection contre qui ? » amène la réflexion autour des notions de confiance et de malveillance.

Sur Internet comme dans la vraie vie, les dangers sont multiples. En revanche, les repérer ou avoir conscience de leur existence sur la toile se présente moins évident. Le vol d’un bien matériel, quant à lui, est toujours perceptible, mais l’écoulement des informations peut se faire sans que la partie lésée ne s’en aperçoive. Comment est-ce possible ? Ci-dessous, un des cavaliers d’Apocalypse numérique des plus redoutables (et rendez-vous plus loin dans l’article pour découvrir l’Apocalypse elle-même).

II. M comme Man in the middle

En français le terme se traduit par « l’attaque de l’homme du milieu (HDM) », ainsi le nom présente d’une manière directe et imagée le principe de ce type de cyberattaque. Elle s’utilise afin d’intercepter les communications entre deux parties, sans que ni l’une ni l’autre ne puisse se douter que le canal de leur communication ait été compromis. Le canal le plus courant étant une connexion à Internet d’un ou une internaute, le programme d’attaquant « se met » au milieu, donc entre les deux parties communicantes, ce qui lui permet d’observer, d’intercepter ou bien de changer les messages d’une ou plusieurs victimes. Si on traduit ce mécanisme en termes techniques, l’attaquant saisit et substitue les « clés » que les communicants utilisent pour interchanger les messages. Elles fonctionnent littéralement comme nos clés matérielles qui correspondent ou pas à la serrure. Afin de se prémunir contre HDM, plusieurs possibilités peuvent être envisagées, l’une des plus répandues sur internet étant de passer par un tiers de confiance.

III. T comme Tiers de confiance

Et c’est là que l’on retrouve la garantie de Snowpack : sa technologie est si puissante, que la confiance n’est plus nécessaire. La confiance au sens cyber du terme bien évidemment, nous l’expliquons ci-dessous.

Au début de l’article nous avons évoqué une évolution fulgurante du rôle de la cryptologie au XXème siècle. La veille de la Seconde guerre mondiale, l’article de la loi cite encore cette science parmi les armes de guerre. Sa libéralisation ne date pas tout à fait d’hier – elle suit le cours du développement du réseau internet – mais reste, historiquement parlant, un événement récent. La notion du tiers de confiance découle de l’article 28 de la loi du 30 décembre 1990 qui définit le cadre légal pour toute prestation en cryptologie, l’assignant définitivement au domaine civil. Actuellement la notion de tiers de confiance s’interprète de manière large et rime bien avec son vaste usage dans nos sociétés.  En effet, les banques, les services du type PayPal, Doctolib, opérateurs de téléphonie mobile, et toute entreprise qui stocke et gère nos données en ligne se positionne en tiers de confiance (habilitant et validant des données pour nous). Le côté matériel et électronique (par exemple le routage) des transactions qui sont ainsi menées pour notre compte par des tiers reste une zone d’ombre… ou devrait-on dire une zone de confiance pour les usagers non avisés. Pour résumer en simplifiant : tout le contrôle passe entre les mains d’un tiers (souvent une entreprise), ce qui induit la nécessité de lui faire confiance car toute la mécanique matérielle, électronique et organisationnelle nous échappe. Mais « la confiance n’est pas la sécurité, c’est parfois même le contraire », intertitre le Monde en 2011. La situation a bien évolué depuis, selon Frédéric Laurent, CEO de Snowpack :

« La confiance est le paradigme de la cybersécurité aujourd’hui. « Trust » est LE mot que l’on retrouve sur le site de l’ANSSI (et équivalents dans d’autres pays). Les deux grandes associations cyber en France s’appellent Hexatrust et Alliance pour la confiance numérique ».

Or, comme nous le savons déjà à travers la mission même de Snowpack, le co-fondateur de la start-up se montre très critique vis-à-vis de cette facilité à se fier sur internet. Le point le plus problématique qu’il soulève étant, sans grande surprise, la surveillance de masse.

Dévoilée par Edward Snowden en 2013, la surveillance de masse viole l’une des valeurs fondamentales des sociétés contemporaines, le droit à la vie privée, droit constitutionnel de plus de 150 pays du monde. Discrète et sournoise, la vraie Apocalypse s’attaquant aux bases des sociétés démocratiques, la surveillance de masse ne se justifie pas. Elle reste toujours illégale et pourtant se pratique par plusieurs Etats qui interceptent des communications privées, numériques et téléphoniques, sans procédure légale engagée, via des outils comme, par exemple, XKeyScore américain. Mais malgré les révélations de CITIZENFOUR qui fêteront le 6 juin leur dixième anniversaire, le manque de sensibilisation des usagers à ce sujet, la technicité des termes, un certain flou juridique maintiennent la situation dans laquelle la confiance sur Internet s’accorde souvent aveuglement. De nombreux Etats et entreprises en profitent en s’emparant de nos données.

C’est donc de cette confiance liée à l’absence du contrôle que Snowpack propose de nous affranchir grâce à sa solution de cryptage inédite. Cette loi est abrogée en 2004, la notion du tiers de confiance n’est plus définie juridiquement.

IV. S comme flocon de neige

Pour protéger les données des attaques, la start-up s’appuie sur un principe qui la différencie de toute technologie de type VPN ou Tor (qui, tout en offrant de la sécurité, restent des tiers de confiance pouvant stocker et manipuler nos données) et promet qu’elle-même ne sait rien de ce que l’on lui confie ! Passer par Snowpack ne nécessite pas de lui faire confiance. Comment est-ce possible ?

Au lieu de masquer nos data et metadata – l’adresse IP dans le cas de VPN ou bien lieu de connexion dans le cas de Tor browser – Snowpack les transforme en « poudre de neige ». La technologie associe le message envoyé, donc un paquet de données numérique, en une boule de neige métaphoriquement parlant, puis la brise en mille morceaux qui, tels des flocons de neige sont anonynimisés puis éparpillés librement parmi des milliers de milliards d’autres. Afin d’intercepter le message il faut donc le reconstruire, tandis que ses parties constituantes se ressemblent toutes : Snowpack les cache dans un torrent de bruits numériques. La tâche de décryptage malveillant de nos communications s’avère ainsi être aussi hardie que la recherche de deux flocons identiques lors d’une tempête alpine.

C’est de la magie réelle et pas uniquement en périodes de fêtes de Noël !