Pourquoi PGP ?

"Pourquoi j'ai écrit PGP"
par Phil Zimmermann

PGP

"Quoi que vous ferez, ce sera insignifiant, mais il est très important que vous le fassiez."
["Whatever you do will be insignificant, but it is very important that you do it."]
—Mahatma Gandhi

C'est personnel. C'est privé. Et cela ne regarde personne d'autre que vous. Vous pouvez être en train de préparer une campagne électorale, de discuter de vos impôts, ou d’avoir une romance secrète. Ou vous pouvez être en train de communiquer avec un dissident politique dans un pays répressif. Quoi qu'il en soit, vous ne voulez pas que votre courrier électronique (e-mail) ou vos documents confidentiels soient lus par quelqu'un d'autre. Il n'y a rien de mal dans la défense de votre intimité. L'intimité est aussi importante que la Constitution.

Le droit à la vie privée est disséminé implicitement tout au long de la Déclaration des Droits. Mais quand la Constitution des Etats-Unis a été bâtie, les Pères Fondateurs ne virent aucun besoin d’expliciter le droit à une conversation privée. Cela aurait été ridicule. Il y a deux siècles, toutes les conversations étaient privées. Si quelqu’un d’autre était en train d’écouter, vous pouviez aller tout simplement derrière l’écurie et avoir une conversation là. Personne ne pouvait vous écouter sans que vous le sachiez. Le droit à une conversation privée était un droit naturel, non pas seulement au sens philosophique, mais au sens des lois de la physique, étant donnée la technologie de l’époque.

Mais avec l’arrivée de l’âge de l’information, débutant avec l’invention du téléphone, tout cela a changé. Maintenant, la plupart de nos conversations sont acheminées électroniquement. Cela permet à nos conversations les plus intimes d’être exposées sans que nous le sachions. Les appels des téléphones cellulaires peuvent être enregistrés par quiconque possède une radio. Le courrier électronique, envoyé à travers Internet, n’est pas plus sûr que les appels de téléphone cellulaire. Le e-mail est en train de remplacer rapidement le courrier classique, devenant la norme pour tout le monde, et non plus la nouveauté qu’il était dans le passé. Et le e-mail peut être systématiquement et automatiquement fouillé à la recherche de mots intéressants, sur une grande échelle, sans que cela soit détecté. C’est comme la pêche aux filets dérivants.

Peut-être pensez-vous que le courrier électronique que vous recevez est assez légitime pour que le cryptage ne se justifie pas. Si vous êtes vraiment un citoyen au dessus de tout soupçon, pourquoi n'envoyez-vous pas toujours votre correspondance papier sur des cartes postales? Pourquoi ne vous soumettez-vous pas aux tests de consommation de drogue sur simple demande? Pourquoi exigez-vous un mandat de perquisition pour laisser la police fouiller votre maison? Essayez-vous de cacher quelque chose? Si vous cachez votre courrier dans des enveloppes, cela signifie-t-il que vous êtes un [élément] subversif ou un trafiquant de drogue, ou peut-être un paranoïaque aigu. Est-ce que les citoyens honnêtes ont un quelconque besoin de crypter leurs e-mails?

Que se passerait-il si tout le monde estimait que les citoyens honnêtes devraient utiliser des cartes postales pour leur courrier? Si un non-conformiste s'avisait alors d'imposer le respect de son intimité en utilisant une enveloppe, cela attirerait la suspicion. Peut-être que les autorités ouvriraient son courrier pour voir ce que cette personne cache. Heureusement, nous ne vivons pas dans ce genre de société car chacun protège la plupart de son courrier avec des enveloppes. Aussi personne n'attire la suspicion en protégeant son intimité avec une enveloppe. La sécurité vient du nombre. De la même manière, ce serait excellent si tout le monde utilisait la cryptographie de manière systématique pour tous ses e-mails, qu'ils soient innocents ou non, de telle sorte que personne n'attirerait la suspicion en protégeant l'intimité de ses e-mails par la cryptographie. Pensez à le faire comme une forme de solidarité.

Jusqu'à aujourd'hui, si le Gouvernement désirait violer l'intimité de citoyens ordinaires, il devait consentir une certaine dépense d'argent et de travail pour intercepter, ouvrir et lire les lettres. Ou il devait écouter et si possible transcrire le contenu des conversations téléphoniques, du moins avant que la technologie de la reconnaissance vocale automatique soit disponible. Cette méthode, coûteuse en travail, n'était pas praticable sur une grande échelle. Cela était fait seulement dans les cas importants, quand cela en valait la peine.

En 1991 aux Etats-Unis, le projet de loi 266 du Sénat, un texte anti-criminalité, comportait une disposition troublante cachée à l'intérieur du texte. Si cette résolution était devenue une véritable loi, cela aurait contraint les fabricants d'équipements de communications sécurisées à insérer des "portes dérobées" spéciales dans leurs produits, de telle sorte que le gouvernement puisse lire les messages cryptés par n'importe qui. Le texte disait:

"La recommandation du Sénat est que les fournisseurs de services de communications électroniques et les fabricants d'équipements de communication électronique devront s'assurer que les systèmes de communication permettent au gouvernement d'obtenir le contenu en clair des communications vocales, des données, et des autres communications dans les cas prévus par la loi".

Ce fut cette loi qui m’a conduit à publier PGP électroniquement de manière gratuite cette année-là, peu de temps avant que la mesure ne soit retirée après de vigoureuses protestations des groupes de défense des libertés civiles et des groupes industriels.

Le "Digital Telephony bill" de 1994 a fait obligation aux compagnies de téléphone d’installer des dispositifs d’interception à distance dans leurs commutateurs centraux, créant une nouvelle infrastructure technologique pour cette interception "pointer-et-cliquer", de telle sorte que les agents fédéraux n’ont plus à sortir et attacher des pinces crocodiles sur les lignes de téléphone. Maintenant, ils auront la possibilité de rester assis dans leur quartier général à Washington et d’écouter vos appels téléphoniques. Bien sûr, les lois requièrent encore une commission rogatoire pour une interception. Mais alors que les infrastructures technologiques peuvent durer pendant des générations, les lois et politiques changent du jour au lendemain. Une fois que l’infrastructure des communications est optimisée pour la surveillance, une modification dans les conditions politiques peut conduire à abuser de ce pouvoir fondé sur de nouvelles bases. Les conditions politiques peuvent se modifier avec l’élection d’un nouveau gouvernement, ou peut-être même de manière abrupte après l’attentat à la bombe contre un immeuble fédéral.

Un an après que le "Digital Telephony bill" de 1994 soit passé, le FBI dévoila des plans pour exiger des compagnies de téléphone d’intégrer dans leurs infrastructures la capacité d’intercepter simultanément 1 % de tous les appels téléphoniques dans toutes les grandes villes américaines. Cela représenterait une multiplication par plus de mille par rapport au niveau précédent dans le nombre d’appels qui peut être intercepté. Dans les années précédentes, il y avait eu seulement à peu près un millier de commissions rogatoires d’interception par an aux Etats-Unis, à la fois au niveau fédéral, au niveau des états et au niveau local. Il est difficile de savoir comment le gouvernement pourrait ne serait qu’employer assez de juges pour signer assez d’ordres d’interception pour intercepter 1 % de tous les appels téléphoniques, encore moins embaucher assez agents fédéraux pour s’asseoir et écouter tout ce trafic en temps réel. La seule façon plausible de traiter toute cette quantité de trafic est une application massivement Orwellienne de la technologie de reconnaissance vocale pour passer au crible tout cela, à la recherche de mots-clés intéressants ou de la voix d’un interlocuteur particulier. Si le gouvernement ne trouve pas la cible dans le premier échantillon de 1 %, les interceptions peuvent être étendues à un 1 % différent jusqu'à ce que la cible soit trouvée, ou jusqu'à ce que la ligne de téléphone de chacun ait été inspectée à la recherche de trafic subversif. Le FBI dit qu’ils ont besoin de cette capacité pour prévoir le futur. Ce plan a provoqué un tel scandale qu’il a été retiré au Congrès, en peu de temps, en 1995. Mais le simple fait que le FBI ait été jusqu'à demander ces pouvoirs élargis révèle leur programme. Et la défaite de ce plan n’est pas si rassurante quand vous considérez que le "Digital Telephony bill" de 1994 avait aussi été retiré la première fois qu’il a été introduit, en 1993.

Les avancées technologiques ne permettent pas le maintien du statu quo, à partir du moment où la vie privée est concernée. Le statu quo est instable. Si nous ne faisons rien, des nouvelles technologies donneront au gouvernement des nouvelles capacités de surveillance dont Staline n’aurait jamais pu rêver. La seule façon de garder la haute main sur la vie privée dans l’âge de l’information est la cryptographie sûre.

Vous ne devez pas avoir à vous méfier du gouvernement pour vouloir utiliser de la cryptographie. Vos affaires peuvent être interceptées par les concurrents, le crime organisé, ou des gouvernements étrangers. Plusieurs gouvernements, par exemple, admettent utiliser leurs services d’écoutes contre les compagnies d’autres pays pour donner à leurs propres sociétés un avantage sur la concurrence. L’ironie est que les restrictions du gouvernement des Etats-Unis sur la cryptographie ont affaibli les défenses des entreprises américaines contre les services de renseignement étrangers et le crime organisé.

Le gouvernement sait quel rôle pivot la cryptographie est destinée à jouer dans le rapport de force avec son peuple. En Avril 1993, l’Administration Clinton dévoila une audacieuse nouvelle initiative dans la politique cryptographique, qui avait été préparée à l’Agence de Sécurité Nationale ("National Security Agency" NSA) depuis le début de l’administration Bush. La pièce centrale de ce dispositif est le microprocesseur construit par le gouvernement et appelé puce "Clipper", contenant un algorithme de la NSA classé top secret. Le gouvernement est en train d'encourager l'industrie privée à l'insérer dans leurs équipements de communications sécurisées, comme les téléphones sécurisés, les fax sécurisés, etc. AT&T insère dès à présent la "Clipper" dans ses équipements vocaux sécurisés. Ce que cela cache: au moment de la fabrication, chaque puce "Clipper" sera chargée avec sa propre clé, et le gouvernement en gardera une copie, placée entre les mains d'un tiers. Il n'y a pas à s'inquiéter, cependant: le gouvernement a promis qu'il utiliserait ces clés pour lire le trafic des citoyens uniquement dans les cas dûment autorisés par la loi. Bien sûr, pour rendre la "Clipper" complètement efficace, la prochaine étape devrait être de mettre hors-la-loi tout autre forme de cryptographie.

Le gouvernement avait déclaré au début que l’utilisation de Clipper serait volontaire, que personne ne serait forcé de l’utiliser à la place d’autres types de cryptographie. Mais la réaction du public contre le Clipper a été forte, si forte que le gouvernement a anticipé. L’industrie informatique a affirmé de manière monolithique son opposition à l’usage de Clipper. Le directeur du FBI, Louis Freeh, répondit à une question lors d’une conférence de presse en 1994 en disant que si Clipper n’arrivait pas à obtenir le soutien du public, et que les interceptions du FBI étaient réduites à néant par une cryptographie non contrôlée par le gouvernement, son Bureau n’aurait pas d’autre choix que de chercher une solution législative. Plus tard, dans les suites de la tragédie d’Oklahoma City, M. Freeh témoignant devant la Commission Judiciaire du Sénat, déclara que la disponibilité publique de cryptographie sûre devait être restreinte par le gouvernement (bien que personne n’eût suggéré que la cryptographie avait été utilisée par les auteurs de l’attentat).

L’Electronic Privacy Information Center (EPIC) a obtenu des documents révélateurs par le biais du "Freedom of Information Act" [loi sur la liberté de l’information]. Dans un document de travail intitulé "Encryption: The Threat, Applications and Potential Solutions" [Cryptage : la menace, les applications, et les solutions possibles], et envoyé au Conseil national de sécurité en Février 1993, le FBI, la NSA, et le Ministère de la Justice (DOJ) concluaient que « Les solutions techniques, telles qu’elles existent, marcheront seulement si elles sont incorporées dans tous les produits de cryptage. Pour s’assurer que cela a lieu, une loi obligeant à l’utilisation de produits de cryptage approuvés par le Gouvernement ou l’adhésion aux critères de cryptage du Gouvernement est requise. »

Le gouvernement a eu un comportement qui n’inspire pas confiance dans le fait qu’il n’abuseront pas de nos libertés civiles. Le programme COINTELPRO du FBI avait ciblé les groupes qui s’opposaient aux politiques du Gouvernement. Ils ont espionné les mouvements pacifistes et le mouvement des droits civils. Ils ont intercepté le téléphone de Martin Luther King Jr. Nixon avait sa liste d’ennemis. Et ensuite il y a eu le fiasco du Watergate. Le Congrès paraît maintenant prêt à faire passer des lois restreignant nos libertés civiles sur Internet. A aucun moment dans le passé la méfiance envers le Gouvernement n’a été si largement partagée sur tout le spectre politique qu’aujourd’hui.

Si nous voulons résister à cette tendance perturbante du gouvernement pour rendre illégal la cryptographie, une mesure que nous pouvons adopter est d’utiliser la cryptographie autant que nous le pouvons actuellement pendant que c’est encore légal. Quand l’utilisation de cryptographie sûre devient populaire, il est plus difficile pour le gouvernement de la criminaliser. Par conséquent, utiliser PGP est bon pour préserver la démocratie.

Si l'intimité est mise hors la loi, seuls les hors-la-loi auront une intimité. Les agences de renseignement ont accès à une bonne technologie cryptographique. De même les trafiquants d'armes et de drogue. Mais les gens ordinaires et les organisations politiques de base n'avaient pour la plupart pas eu accès à une technologie cryptographique de "qualité militaire" abordable. Jusqu'à présent.

PGP donne aux gens le pouvoir de prendre en main leur intimité. Il y a un besoin social croissant pour cela. C'est pourquoi je l’ai créé.

Philip R. Zimmerman, 1990-1998
(Manuel de PGP 6.5 - "Introduction à la cryptographie" - freeware, version du 24 decembre 1999)
© Network Associates Inc.

Uco Mesdag

Read more posts by this author.

The Netherlands