Chapitre I - Cryptologie : art ou science du secret ?

Une histoire des codes

D’abord réservée aux usages militaires et diplomatiques, la cryptologie fait partie intégrante de notre quotidien depuis l’avènement d’Internet. Aujourd’hui incontournable, cette science du secret offre des possibilités sans équivalent connu à ce jour.

Atbash

Le code atbash est un chiffre de substitution hébreu, l’un des tout premiers du genre. Il repose sur un principe de substitution alphabétique inversée consistant à remplacer chaque lettre, selon la place qu’elle occupe dans l’alphabet, par la lettre occupant la même place en sens inverse. a devient donc Z, b devient Y, etc. L’atbash était utilisé dans des textes religieux tels que l’Ancien Testament et consistait davantage, pour ceux qui l’employaient, à éveiller l’intérêt et la curiosité de leur lectorat qu’à réellement occulter le sens de leurs propos.

- 500 avJC

Chiffre de César

Le chiffre de César est l’un des chiffres de substitution que Jules César (100-44 av. J.-C.) avait coutume d’employer dans ses récits et correspondances. Il consiste à substituer une lettre par une autre en décalant l’alphabet de trois places vers la droite.

-50 av JC

1856

Le chiffre de Vigenère

Le chiffre de Vigenère doit son apparition au diplomate français Blaise de Vigenère (1523-1596) qui fit le choix, après plusieurs années d’exercice, de quitter ses activités diplomatiques pour se consacrer à l’étude de la cryptographie. S’appuyant sur les travaux de savants comme Alberti, il donna sa forme finale au système qui porte son nom : le carré de Vigenère.

Le chiffre de Vigenère repose sur un système considérant non plus un mais 26 alphabets, chacun étant décalé d’une place par rapport à celui qui le précède. La grille ainsi constituée prend la forme d’un carré avec en abscisse l’alphabet clair et en ordonnée des numéros allant de 1 à 26 de telle sorte que si le numéro 5 est choisi a devient F, si l’on choisit le numéro 12 n devient Z et ainsi de suite.

Le chiffre de Mary Stuart

Le 15 octobre 1586, Marie Stuart (1542-1587), reine d’Écosse, pénètre dans la salle d’audience du château de Fotheringhay (Northamptonshire, Angleterre) qui devient dès lors le théâtre de son propre procès.

De quoi l’accuse-t-on ? De trahison envers la reine Elizabeth.
En effet, Marie Stuart est accusée, avec d’autres conspirateurs, d’avoir fomenté un complot dans le but d’assassiner Elizabeth, les deux femmes étant rivales et entretenant de difficiles relations où se mêlent conflits religieux, luttes de pouvoir, alliances et complots.
Au moment de son procès, Marie Stuart est déjà la prisonnière de la reine Elizabeth mais elle est soupçonnée d’avoir agi depuis sa cellule, avec l’aide de quelque complice. Pour obtenir l’aide de ses partisans et préparer sa fuite, Marie entretenait avec eux des correspondances secrètes qu’elle faisait circuler par un habile stratagème. Ses correspondances étant chiffrées, Marie Stuart entame son procès avec une sérénité toute relative, confiante en la robustesse de son chiffre. Mais c’était sans compter la détermination de Walsingham, Premier secrétaire de la reine Elizabeth et chef de l’espionnage anglais, qui mobilise Thomas Phelippes, grand cryptanalyste qui perce le secret du chiffre de Marie Stuart et entérine son exécution en apportant la preuve de sa culpabilité.
Pour la toute première fois, une vie humaine s’en remet à la puissance d’un chiffre…

Enigma

De tout temps, la cryptographie a servi des usages militaires et jusqu’à la fin de la Première Guerre mondiale, le chiffrement des messages et leur analyse ne reposaient que sur le savoir et l’ingéniosité de brillants scientifiques. Mais en 1918, l’inventeur allemand Arthur Scherbius, convaincu du rôle déterminant qu’avaient à jouer les technologies du XXe siècle en matière de cryptographie, mit ses idées en application et présenta la machine de chiffrement Enigma, notamment utilisée par l’armée allemande durant la Seconde Guerre mondiale.
Si, dans les premières années du conflit, cette machine fut pour eux un précieux allié en rendant inintelligibles leurs communications, elle contribua également à la chute d’Hitler grâce à l’intervention d’une équipe de chercheurs menée par le mathématicien anglais Alan Turing (1912-1954).
Considéré comme le père de l’ordinateur, il s’appuya sur les travaux d’autres scientifiques eux aussi déterminés à percer le secret d’Enigma et conçut à son tour une machine dont la puissance de calcul vint à bout du code sur lequel reposait toute la sécurité du système

1918

Data encryption standard (DES)

Le Data Encryption Standard (DES) est un algorithme de chiffrement symétrique qui fut de 1976 à 2001 le standard de chiffrement. Il utilisait alors une clé de chiffrement de 56 bits, jugée suffisante pour prémunir les entreprises du risque d’espionnage industriel. Mais le chiffrement symétrique posait un autre problème : le partage de la clé. En 2000, DES cède la place à l’algorithme Advanced Encryption Standard (AES), encore d’usage aujourd’hui et dont les propriétés offrent un niveau de sécurité bien plus grand et un schéma de mise en œuvre plus simple. Le standard de chiffrement AES est le résultat d’un concours académique lancé en 1997 par le National Institute of Standards and Technology (NIST) américain. 16 équipes de cryptologues venues du monde entier ont participé à cette compétition publique. En 2000, c’est l’algorithme proposé par l’équipe belge qui remporte la compétition et vient donc remplacer DES.

1975

Rivest Shamir Adleman (RSA)

Dans les années 70, trois chercheurs du Massachusetts Institute of Technology (MIT) ont mis au point un système de cryptographie asymétrique doté d’une clé de chiffrement et d’une clé de déchiffrement distinctes l’une de l’autre. On appelle cet algorithme RSA, du nom des trois inventeurs qui en sont à l’origine : Ronald Rivest, Adi Shamir et Leonard Adleman.
Aujourd’hui encore, RSA est l’algorithme le plus utilisé et on le retrouve dans de très nombreux protocoles de communication sécurisés sur Internet : messageries, sites de e-commerce, démarches administratives en ligne, etc.

1977

Advanced Encryption Standard (AES)

Le standard de chiffrement symétrique actuel AES est le résultat d’un concours académique lancé en 1997 par le National Institute of Standards and Technology (NIST) américain. 16 équipes de cryptologues venues du monde entier ont participé à cette compétition publique.
En 2000, l’algorithme proposé par l’équipe belge remporte la compétition et vient donc remplacer Data Encryption Standard (DES), le standard précédent.

2000

Loi pour la confiance dans l'économie numérique

En 2004, la loi n° 2004-575 du 21 juin pour la confiance dans l’économie numérique (LCEN) prend acte des décisions prises en 1999 en abrogeant les tiers de confiance et en énonçant dans l’article 30 :

« L'utilisation des moyens de cryptologie est libre. »

La LCEN, dont les dispositions sont toujours en vigueur aujourd’hui, régit tous les aspects de l’usage qui est fait des moyens de cryptologie à l’intérieur et à l’extérieur du territoire français.

Elle donne ainsi une définition précise de ce que l’on entend en droit français par « moyen de cryptologie » et « prestation de cryptologie » (article 29) ;
elle encadre l’utilisation, la fourniture, le transfert et l’import-export de tels moyens (article 30) ;
elle soumet à simple déclaration la fourniture de moyens de cryptologie ;
et elle prévoit sous quelles conditions s’exerce le droit de l’État à saisir des données pour en obtenir une version en clair (article 38).

2004

Entre réalité et fiction

Eu égard à son histoire et aux nombreuses idées reçues qu’elle véhicule, la cryptologie est un sujet méconnu mais néanmoins fantasmé. Pour preuve, nombre d’œuvres littéraires ou cinématographiques dont les protagonistes ont en commun la détention ou la quête d’une information convoitée font régulièrement la part belle aux intrigues sur fond de messages chiffrés.

Avec l’Internet et le Web, la demande en cryptologie a explosé. Et paradoxalement, la cryptologie est passée d’une science du secret à une science de confiance.

Jacques Stern

Cryptologue

Un travail d'experts qui nous concerne tous

Il est essentiel de rappeler que l’intégration d’applications cryptographiques dans un environnement professionnel concerne de très nombreux secteurs d’activité et fait appel à des savoir-faire spécifiques, voire à l’intervention d’experts spécialisés dans la mise en œuvre de ces solutions et l’accompagnement à ces usages.

« Responsabiliser chaque maillon de la chaîne des systèmes d’information est une priorité. »

Mais ces experts ne peuvent garantir à eux seuls la cybersécurité des institutions, des entreprises et des particuliers sans une prise de conscience collective des enjeux du numérique et l’assimilation de bonnes pratiques. Un effort de sensibilisation auquel s’ajoute l’entretien de relations de confiance avec les personnes et entités concernées par ces questions, en tant que concepteurs ou - peut-être comme vous - utilisateurs finaux de ces solutions.

Quid des objets connectés ?

Si l’essor des objets connectés génère d’incontestables progrès, ils sont aussi une cible de choix pour qui souhaite en capter les données (éléments de santé, coordonnées bancaires, informations stratégiques...). Les caméras, micros, accès réseau et autres applications dont sont dotés ces objets sont autant de passerelles pour un attaquant qui ne choisit généralement pas sa cible par hasard...
On constate en effet que ces objets aux systèmes hétérogènes évoluant au sein d’environnements contraints ne sont pas suffisamment armés contre les menaces qui les guettent, faute de ressources dédiées à la sécurité. Pourtant, avec un peu de bon sens (intégration de la composante sécuritaire de bout en bout) et grâce aux fruits de la recherche en cryptographie légère (en termes d’espace et de coût) notamment, les objets connectés ont toutes les raisons de se convertir à la cybersécurité : protection contre des risques majeurs, attractivité des solutions, soutien de la filière, etc.