Prologue : La cryptologie en France.
Jusqu’en 1999, l’usage de la crypto "forte" ( c-a-d utilisant des clés supérieures à 128 bits) était interdit en France pour les particuliers et la majorité des entreprises. Pourquoi ? Selon l’administration, la crypto permettrait aux terroristes et gangsters de tout poil de berner les services chargés de lutter contre eux. Ceci n’empêchait d’ailleurs pas que le logiciel PGP ( "Pretty Good Privacy" aux clés comprises entre 128 et 2048 bits), interdit en France, y soit largement utilisé.
Puis, l’usage de la crypto "forte" a été autorisé pour permettre aux entreprises françaises de se protéger contre les interceptions américaines (le réseau Echelon, encore et toujours). Toutefois, on assiste depuis quelques mois à une importante augmentation du nombre de personnes l’utilisant pour crypter leurs mails (avec un certain nombre de terroristes et autres gangsters dedans).
I) But et Moyens juridiques donnant naissance au projet Emeraude.
Le projet Emeraude consiste à installer des moyens d’interception de tout trafic ayant pour origine ou destination un internaute situé sur le territoire français. C’est techniquement très facile, comme en quelque sorte d’ installer une "bretelle" sur une ligne téléphonique.
Le but de ce projet est de "permettre aux services de lutte contre le terrorisme et contre le banditisme organisé, d’intercepter tout échange de données et d’informations susceptibles de porter atteinte à l’ordre public ou à la sécurité du territoire" selon une note du cabinet du Premier Ministre en date du 3 février 2000.
Juridiquement, les choses sont simples : Tout magistrat peut ordonner l’interception des communications de toute personne soupçonnée de quoi que ce soit. Ce sont les écoutes "judiciaires". De plus, dans les cas d’atteintes à la sûreté de l’état, on peut aussi ordonner des écoutes "administratives" (comme celles ordonnées par exemple par François Mitterrand contre Carole Bouquet... mdr). Le cadre juridique existe donc.
II ) Comment Emeraude résout le problème des mails cryptés.
Avec le développement de la crypto "à la portée de tous", le projet Emeraude avait un gros problème : intercepter les emails c’est bien, mais si ceux-ci sont cryptés, ça ne sert pas à grand-chose ! En effet, la DST n’a pas les moyens informatiques de la NSA et elle ne pourra pas casser en même temps le code de centaines de milliers de mails. Toutefois une solution simple a été trouvée...
Des constats évidents ont été fait : PGP est quasiment le seul logiciel de cryptage utilisé par le "grand public" et tout message crypté par PGP commence par les mêmes séquences.
Il a donc été décidé, très simplement, deux choses :
1) Repérer les suspects potentiels, c’est à dire tous ceux qui cryptent leur courrier. Dans le lot, il se trouvera bien quelques terroristes et gangsters.
2) Par ailleurs, "en cas de doute", si on ne peut pas décrypter les données, on les détruit. Les seuls mails cryptés que vous pouvez donc recevoir dans votre mailbox sont donc des mails qui ont été "lus" auparavant par les ordinateurs du Ministère de l’Intérieur...
Comme les services ne veulent pas passer leur temps à contrôler le courrier, le boulot sera imposé aux fournisseurs de service ! C’est d’ailleurs en quelque sorte ce qu’il se passe concernant les écoutes téléphoniques, qui sont maintenant effectuées par des agents des télécoms, qui transmettent ensuite les bandes aux services demandeurs (Sauf en cas d’écoutes "administratives", alors gérées directement par le Ministère de la Défense).
Ainsi, les fournisseurs d’accès français ont été priés, au mois de mars 2000, de préparer un système de contrôle des mails, directement sur leurs serveurs. Concrètement donc, si vous cryptez votre courrier, vous serez inscrit sur une liste particulière qui sera transmise au Ministère de l’intérieur (euh...n’oubliez pas que votre fournisseur sait qui vous êtes, puisqu’il connaît le numéro de téléphone par lequel vous vous connectez.)
III) Comment se défendre ?
Un moyen de contrer cet espionnage consisterait à utiliser un autre logiciel que PGP. Facile pour les professionnels de l’informatique, beaucoup moins pour les amateurs. De toutes façon, Emeraude serait capable depuis mi-2001 de repérer toutes communications cryptées, quelque soit le logiciel utilisé...
Un autre moyen est d’employer des procédés de stéganographie, consistants à dissimuler au sein de fichiers "anodins" (images, pages html, etc) d’autres fichiers. Cette solution est de loin la plus "sure", car vos fichiers confidentiels peuvent alors être cachés au sein d’une photo de vacances par exemple et le "filtre PGP" ne détectera strictement rien.