La clé du secret
Texte: de Linval, Robert Cassius

La cryptographie à clé publique: pierre angulaire de l'avenir d'Internet.

La question des communications par le biais d'Internet suscite peu d'intérêt dans le public en général. C'est malheureux, car l'avenir du réseau en dépend. Pour atteindre son plein potentiel comme médium d'échanges commerciaux, Internet doit donner trois garanties aux usagers: il doit permettre d'identifier l'expéditeur d'un message; il doit offrir l'assurance que le message attribué à quelqu'un n'a pas été modifié en transit; et, enfin, il doit rendre possibles des communications confidentielles, c'est-à-dire à l'abri des regards indiscrets.

«Imaginez qu'Internet soit une ville où le seul moyen de communication est le pigeon voyageur. Imaginez aussi qu'il n'existe, dans cette ville, qu'une sorte de papier et que tout le monde utilise le même type de machine à écrire pour dactylographier et signer ses messages. En d'autres mots: tous les messages ont la même forme. Si vous recevez un courrier signé par Jean, comment pouvez-vous être certain qu'il émane effectivement de lui? Ce n'est pas possible, conclut Andrew Fernandes, cryptographe et étudiant à la maîtrise en mathématiques à l'Université McGill. N'importe qui aurait pu mettre le nom de Jean au bas du message. Sur Internet, ça peut se produire.»

Pourtant, cet aspect est négligé, remarque Claude Crépeau, professeur agrégé à l'Institut d'informatique et recherche opérationnelle de l'Université de Montréal et spécialiste de la cryptographie quantique - le nec plus ultra en cryptographie. L'avenir d'Internet sera fonction des développements dans le domaine. «Pour utiliser Internet à des fins commerciales, il faut pouvoir identifier de façon certaine la source de l'information reçue», conclut le professeur Crépeau. Or, ça demeure difficile.

La cryptographie à clé publique permet de pallier le problème. Grâce à elle, il est possible de signer les messages et de vérifier leur intégrité. La cryptographie, traite de la transformation d'un message donné en cryptogramme: message codé, indéchiffrable pour celui qui ne possède pas la formule permettant de le décoder. Cette formule s'appelle une clé.

La cryptographie à clé publique repose sur une idée fort simple. Chaque usager du cryptosystème possède une paire de clés: une clé publique, largement diffusée, à laquelle correspond une seule autre clé, la clé privée, conservée secrète.

La clé privée sert à deux opérations: d'abord à déchiffrer les messages encodés à l'aide de la clé publique correspondante; ensuite à signer les messages transmis.

La clé publique sert aussi à deux fins: d'abord, à cryptographier les messages à l'attention du titulaire de la clé privée correspondant, afin de les rendre impénétrables pour les tiers; ensuite, elle sert à lire la signature apposée sur le message par l'expéditeur, titulaire de la clé privée correspondante à la clé publique utilisée.

Si l'expéditeur veut signer le message il n'a qu'à effectuer une opération mathématique sur ce dernier à l'aide de sa propre clé privée. Le résultat de cette opération pourra ensuite être analysé par le destinataire du message à l'aide de la clé publique de l'expéditeur.

Si le résultat n'est pas probant, le destinataire sait que le message n'a pas été signé par l'expéditeur, ou qu'il a été modifié en transit. Il faut s'en méfier. Donc, l'intégrité du message se trouve contrôlée.

Malheureusement le problème de l'authentification n'est pas réglé. En effet, comment s'assurer qu'une clé publique appartient bel et bien à la personne que vous voulez joindre? Encore une fois, les apparences peuvent être trompeuses. Un faussaire peut tenter de vous faire chiffrer de l'information à l'aide de sa clé publique, alors que vous croyez qu'elle appartient à votre interlocuteur. Si le subterfuge fonctionne, son auteur pourra lire des informations qui ne lui étaient pas destinées.

Aussi, le cryptosystème doit permettre l'authentification des clés publiques. Cette opération s'effectue à l'aide d'un certificat émis par un tiers certificateur. Ce certificat est en fait une attestation de l'identité du titulaire de la clé publique à laquelle il se rattache.

Le Comité consultatif sur l'autoroute de l'information recommande au gouvernement fédéral d'instaurer un tel système de certification. Les efforts en ce sens ont déjà commencé.

Malheureusement, il n'existe pas encore d'entité en mesure de jouer un tel rôle, explique Me David Masse, spécialiste des questions juridiques reliées aux inforoutes. Et la création d'une infrastructure de certification soulève bien des problèmes difficiles à résoudre.

La cryptographie: une arme à deux tranchants

La cryptographie permet de conserver secret le contenu des messages. Si cela sert à protéger la vie privée des honnêtes citoyens, les forces de l'ordre ne manquent pas une occasion de souligner que les criminels peuvent aussi utiliser ces outils. S'ils le font, ils peuvent communiquer en toute impunité, à l'abri des oreilles de la police. Cela complique énormément la tâche des policiers.

Aux États-Unis, ces considérations ont donné lieu à l'initiative du Clipper Chip, lancée au mois d'avril 1993. Elle prévoit la création d'un standard de chiffrement qui permettra aux forces de l'ordre de décrypter les messages des criminels, sur autorisation de la Cour. Le gouvernement américain espère que l'industrie adoptera ce standard.

L'initiative repose sur l'idée que le producteur du logiciel de chiffrement en confie la clé à une autorité désignée. En obtenant cette clé, les policiers sont en mesure de déchiffrer les messages des criminels. Pour obtenir la clé, les policiers doivent suivre des règles semblables à celles permettant d'obtenir un mandat d'écoute électronique. L'initiative est vivement critiquée aux États-Unis. Elle en est à sa troisième version, mais n'a toujours pas la faveur de l'industrie.

Chez nos voisins du sud, la cryptographie est une affaire sérieuse. La loi américaine interdit l'exportation de logiciels de chiffrement trop puissants. D'ailleurs, Phil Zimmerman, le créateur de PGP (Pretty Good Privacy), le logiciel de chiffrement probablement le plus populaire chez les internautes, a fait l'objet d'accusations d'exportation illégale de tels produits pendant de nombreuses années. Le gouvernement américain a récemment mis fin à ses poursuites.

Au Canada, les mêmes restrictions d'exportation s'appliquent au sujet des produits de chiffrement américains, explique David Masse. Pourtant, le Canada a refusé de lancer une initiative semblable à celle du Clipper Chip.

Conscient du besoin criant d'harmonisation en matière de cryptographie à l'échelle mondiale, l'OCDE est à préparer des lignes directrices sur les politiques de cryptographie. Elles devraient être soumises aux membres pour approbation durant 1997. Parmi les considérations sur lesquelles s'est penché le groupe chargé de les rédiger, se trouve le droit pour les forces de l'ordre d'accéder à des informations chiffrées, en conformité avec la loi.

Information sur la cryptographie

PGP
www.pgp.com

RSA
www.rsa.com

MIT
http://web.mit.edu/pgp

Différentes pages sur l'encryption et la sécurité
www.yahoo.com/Computers and Internet/Security and Encryption/
Cryptography Beginners Page
http://www.ftech.net/monark/crypto/index.htm
(rcassius@mlink.net)