PGP
et les rumeurs
Depuis son apparition en 1992, PGP a toujours fait l'objet de rumeurs
mettant en cause sa robustesse cryptographique. Ainsi, en 1994, quand est
sortie la version 2.5 incompatible avec les versions antérieures
pour des questions de licence, ou en 1997 lors de la sortie de la version
5.0 pour Windows et Mac qui proposait une interface graphique et un nouveau
type de clefs. Plus récemment, en 1999, une énième
vague de rumeurs est apparue en France, à la faveur de la
libéralisation
de la cryptologie. A chaque fois, le même propos revient : «
PGP peut être cassé », mais aucune démonstration
n'est fournie. Pourtant, la cryptographie relève de la science,
non de la magie, et elle s'appuie sur des critères objectifs.
A noter qu'en mai 2000 une faille de sécurité
grave a été découverte dans la version Unix/Linux de
PGP 5.0 et PGP 5.0i (voir notre brève du
31 mai 2000). Mais rien ne prouve que cette faille ait été
insérée de manière intentionnelle par les programmeurs
de PGP (sur cette faille, voir l'analyse du cryptographe Peter
Gutmann).
Ces rumeurs se fondent, au choix, sur :
- un cas d'attaque réussie contre un utilisateur négligent
de PGP;
- une bouffée irrationnelle de paranoïa;
- un dénigrement conscient aux fins de décrédibiliser
PGP.
En anglais on appelle cela du "FUD" (Fear, Uncertainty and Doubt) :
peur, incertitude, doute.
On a vu récemment en France deux grandes sources de rumeurs sur
PGP : dans la presse et dans les groupes de discussion.
Ces rumeurs sont en général :
« PGP contient une "backdoor" »
« Les gouvernements peuvent casser PGP »
« Le code-source de PGP n'a jamais été vraiment
scruté »
« GnuPG est plus sûr que PGP ».
Quelques
sources de rumeurs en France
La presse
- Le bulletin "Sécurité
Informatique" n° 24 du CNRS
consacré à la cryptologie (avril 1999)
La rédaction de ce numéro spécial a été
confiée de manière surprenante, non pas à des
universitaires
du CNRS, mais à des spécialistes du SCSSI gouvernemental.
Pourtant, jusqu'aux décrets du 17 mars 1999, ce dernier organisme
était implicitement chargé de s'assurer que le chiffrement
disponible en France contenait une porte d'accès pour le gouvernement,
et son directeur Jean-Louis Desvignes avait exprimé publiquement
son hostilité à la libre diffusion de PGP.
Dans ce bulletin "Sécurité
Informatique" n° 24 "De l'usage de la cryptologie", le chef de
la Division Chiffre du SCSSI cite trois "cas typiques" de programmes
"ne
méritant pas forcément la confiance que semble créer
leur notoriété". Il s'agit de Lotus Notes (backdoor
avérée),
SSH (faille de sécurité trouvée dans le code-source)
et... PGP. Associer sans preuve PGP à Lotus Notes et au cas particulier
de SSH est pour le moins discutable.
Parlant de PGP, l'auteur met indirectement en cause les versions
internationales
"i" de Stale Schumacher disponibles sur www.pgpi.org (pourtant les
plus sûres), considère que l'examen poussé du code
est peut-être impossible (il s'agit pourtant d'un code cryptographique
classique écrit en langage C), émet sur les "web of trust"
un jugement de valeur ignorant précisément la raison d'être
de celui-ci (le refus d'une certification centralisée et la
préférence
pour des liens de confiance graduels et plus complexes qu'il n'y parait),
et insiste exagérément sur le virus anti-PGP "Caligula" qui
ne s'est jamais répandu et n'était qu'un banal Cheval de
Troie.
Voilà de quoi alimenter les rumeurs en se servant de la caution
scientifique du CNRS.
Extraits:
"Etre connu et reconnu ne suffit pas. Dans les produits
que l'on peut facilement trouver sur le marché, bon nombre ne
méritent
pas forcément la confiance que semble créer leur
notoriété.
Voyons quelques cas typiques :
Lotus Notes.
(...)
SSH.
(...)
PGP.
Ce produit a longtemps été un symbole
de la cryptologie libre incassable même par les grandes puissances.
Toutefois la multiplication des versions, dont certaines sont dites
internationales,
et la complexité du code rendent difficile, si ce n’est impossible,
un examen systématique et poussé. La plupart des personnes
qui font confiance à PGP n’ont jamais revu le code source et encore
moins recompilé l’exécutable. De plus, quelle que soit la
qualité de l’implémentation, la certification des clés
en anneau est modérément sûre. Enfin certains virus
spécialisés semblent être capables de faire fuir sur
Internet la clé privée d’un utilisateur de PGP."
- Les numéros 4 et 5 de la revue
Pirates
Mag' (1999)
Sous formes de conseils avisés, sont relayées des "rumeurs",
présentées comme telles tout en semblant y prêter foi.
Aucune preuve n'est apportée.
Extraits:
Pirates Mag' n° 4, p. 17, "Les Indiens ont peur des
cowboys" :
"Par exemple, utilisez GPG au lieu de PGP : le premier
est un logiciel libre, alors que je ne parierais pas ma chemise sur la
sécurité du second, qui a été autorisé
à l'exportation par le gouvernement américain, ce qui en
dit long..."
Pirates Mag' n° 5, p. 9, "Pas clair" :
"Au mois de juin, .Net offrait sur son CD-Rom
mensuel une version 5.5 de PGP
(...)
Mais le plus gênant dans cette affaire, et nous
en faisions déjà état dans Pirates Mag' 4, est que
certaines versions compilées de PGP 5.5 souffriraient (rumeur) d'un
trou de sécurité à la demande des services
américains".
Les groupes de
discussion
- Dans fr.misc.cryptologie (et
parfois jusque dans fr.comp.securite),
des messages affirment régulièrement des choses comme : "je
sais que certains services d'Etat cassent PGP, mais je ne peux rien dire
de plus" ou "une certaine version de PGP a une backdoor", etc. Les auteurs
de ces "révélations" sont divers : de l'apprenti pirate
informatique
au consultant s'autoproclamant spécialiste en cryptographie.
Interrogés
par les intervenants habituels du forum, jamais les auteurs de ces messages
sensationnels n'ont pu apporter de preuves sur la supposée "porte
arrière" de PGP.
Exemples:
Newsgroups: fr.misc.cryptologie
Subject: Re: crypto : utilisez des logiciels libres
pour eviter les failles de securite volontaires ! (et non a la censure
!)
From: Brain Override
<brain.override@free.fr>
Date: Tue, 01 Jun 1999
(...)
Bon là aussi il est temps de mettre les
choses au clair ! Cette rumeur n'est pas fausse.. En tout cas sur une partie
des versions commercialisés de PGP... Et si Olivier à les
"même sources que moi et même des preuves", il ne pourra pas
te les divuguées (moi non plus d'ailleurs). Cependant je peux juste
vous dire qu'il y a un service en france capable de lire en clair un message
crypter sur certaines versions assez récentes de PGP...
( source
)
Newsgroups: fr.misc.cryptologie
Subject: Re: Quel but cherche Mr. Aichelbaum ?
From: "Christophe Casalegno"
<christophe.casalegno@digital-network.org>
Date: Fri, 26 Nov 1999 22:03:22 GMT
> citons : Australie, Inde, France, etc. (si vous lisiez
vraiment
> nos magazines, vous le sauriez, nous avons meme
indique les sources).
> ex. pour la France, il s'agit du bulletin 24 du
CNRS avec des articles
> ecrits par des membres du SCSSI (sujet deja aborde
dans ce newsgroup).
>
> ces pays ont donc deconseille les produits de securite
d'origine
> americaine de facon officielle, en nommant parfois
PGP, pour
> cause de failles potentielles (il y a eu des
precedents*...).
Bonjour, je suis le responsable d'une société
de sécurité informatique, et
je tiens à préciser que nous
déconseillons
également l'utilisation de PGP.
Certaines versions récentes (je ne dis pas
toutes), sont en effet équipés de
portes par derrière. Je crois par contre que
cela ne concerne que les
version supérieures à la version
2."
( Fil
de discussion complet )
Newsgroups: fr.misc.cryptologie
Subject: BACKDOOR DANS PGP : DEMONSTRATION
From: Anonymous <nobody@squat.net>
Date: Wed, 2 Feb 2000 03:04:02 +0100
Pas de blabla, une demo que vous faites
vous-meme.
Ne fonctionne a ma connaissance qu'avec
651
1- Cryptez un fichier avec les cles de votre choix
(RSA seulement)
2- Double cliquez pour decrypter
3- Saisissez le texte suivant:
VCx8z8/7oxbeJwV3KT94UhX3C2sGdudCg/SOSGR6a1LpFIZqdvuv01WtlU3KR4l2nWjr42DUY+6
gwzWVgHFdZ1US1nfuBNBU+ZozYhwIL0Y3BVKgRyEFEx/A/xI8TH8UzLlWTKISEWJzVzHphdyTDh
jKUjSQdWgtiIKdoLoiajuZxx/rmTaCiVfOKi6paB0IpOegjP9Bqkg5ZjLmYZ72/qja0Epel19cj
5n+HAVGFtivUgx9I2ph65xu/3702bq3
4- Ca genere une erreur de cle, tapez alors le texte
suivant :
xeK9heU5WKbFRtULwfijyHhEjRBkrdiyWhzc5l1BPTkiAusxwmyEnbSNoohf3sGl
DqVxnzaFxfxTg0K57Hm+uWDvZbFHhjSVTyyo2D/0Uvo5ABOFB5AzPdFsEqQQyUGC
ozNe71VHAKFhZUsQq7R8isNYHNER6cJ3jB/hMsI7qUAHfvPP6mVEcMktBCDWU8tS
01VSbOg/IZ7nUMDx151wAR2cZsCG7cHDTgP1PXlBB6/FTxAP/06svr1GUTyAOp6U
JfMQMueMWlyxP/iPI8Xd133eiRix6+jCPx9LVAPLjB4uFO4x0rXU9AMZzec1mxvw
ET LE FICHIER SE DECRYPTE !
No comment !
Et la preuve de la mystification ci-dessus :
Newsgroups: fr.misc.cryptologie
Subject: Re: BACKDOOR DANS PGP : DEMONSTRATION
From: fapp2@cam.ac.uk
Date: Wed, 02 Feb 2000 11:25:14 GMT
Vous avez beaucoup d'imagination mais vous n'avez
visiblement
jamais
utilisé PGP 6.x ou vous êtes incapable
de décrire correctement la
procédure à suivre. Dans les deux cas
cela en dit long sur le reste de
votre message.
> 1- Cryptez un fichier avec les cles de votre
> choix (RSA seulement)
Donc avec une clé publique dont on n'a pas
clé
privée par exemple.
> 2- Double cliquez pour decrypter
> 3- Saisissez le texte suivant:
>
Cx8z8/7oxbeJwV3KT94UhX3C2sGdudCg/SOSGR6a1LpFIZqdvuv01
> WtlU3KR4l2nWjr42DUY+
Où voulez vous saisir ce texte ? Car à
ce moment, PGP indique un message
avertissant que vous ne possédez pas la clé
privée correspondant à la
clé publique utilisée pour le chiffrement
et la seule solution et
d'annuler l'opération.
Revoyez votre copie, merci.
Fabien.
«
PGP contient une "backdoor" »
C'est faux.
PGP ne contient pas de "backdoor" (porte arrière, ou porte
dérobée)
qui serait connue des programmeurs et placée intentionnellement
par eux. Nous parlons ici des versions PGP américaines, internationales
"i", ou freeware "fr",
signées par PGP Inc., Network Associates
Inc., le MIT, Stale Schumacher, ou Fabien Petitcolas.
En revanche, ce n'est pas parce que quelqu'un va prendre un programme
X ou Y et l'appeler "PGP", ou bien va compiler le code-source "i" et diffuser
sa version personnalisée de PGP, qu'il faudra lui faire confiance
! c'est là le b.a.-ba de toute sécurité informatique.
Les versions commerciales US sont signées par la clef "NAI PGP
software release key" détenue par Will Price, responsable du
développement
de PGP chez NAI. Will Price est le créateur de CryptDisk pour Mac,
en 1995, c'est un promoteur de longue date de la cryptographie libre et
également un ami de Philip Zimmermann avec qui il travaillait chez
PGP Inc. avant de le suivre chez NAI. C'est lui qui contrôle en dernier
ressort les binaires. Dire que les versions commerciales US de PGP sont
piégées, c'est mettre en cause Will Price alors que rien
ne justifie un tel soupçon.
Les versions freeware US sont signées par la même clef.
Les versions freeware "internationales" ou "fr" sont fournies avec leur
code-source, que tout le monde peut examiner et
compiler
pour obtenir son propre binaire. Elles sont signées par Stale Schumacher
ou Fabien Petitcolas, qui sont des programmeurs connus de longue date et
estimés pour leur combat en faveur de la cryptographie libre.
A noter que Philip Zimmermann et NAI ont déclaré qu'ils
considéraient les versions "int" de PGP (compilées par le
CN Lab suisse pour le compte de Network Associates International) comme
aussi sûres que les versions US. Cependant, il semble que Philip
Zimmermann n'a pas de contrôle physique sur la compilation de ces
versions.
PGP doit toujours être fourni avec une signature digitale de :
PGP Inc., Network Associates Inc., le MIT, Stale Schumacher, ou Fabien
Petitcolas. Il est évident que toute autre version de PGP ne doit
jamais être utilisée, ne serait-ce que par crainte des virus
informatiques.
«
Les gouvernements peuvent casser PGP »
C'est faux.
Techniquement, casser un message PGP est en l'état actuel des
connaissances et des possibilités de la physique impossible
si PGP a été utilisé convenablement. Les
spéculations
sur l'existence d'un "ordinateur quantique" top-secret sont aussi
crédibles
que celles sur un complot extra-terrestre. Comme dit Philip Zimmermann
: il y a « des personnes qui croient que la série "X-Files"
est un documentaire »...
«
Le code-source de PGP n'a jamais été vraiment scruté
»
C'est vrai.
Le code-source de PGP n'a jamais été scruté de
manière complète. Aucune certification officielle n'a
été accordée à PGP. Aucune étude
cryptographique
complète n'a été publiée (à notre
connaissance).
Aucun suivi permanent du code-source n'est effectué par des
cryptographes
indépendants. Mais il en est de même pour tous les autres
logiciels de cryptographie grand public (à l'exception des logiciels
GNU comme par exemple la version Linux de GnuPG).
Cependant, s'agissant de PGP 2.x, des cryptographes comme Bruce Schneier
ont eu l'occasion de juger le logiciel "bien conçu" (dans son ouvrage
"Cryptographie Appliquée"), ce qui sous-entend qu'ils n'ont pas
découvert de faille évidente dans le code. Concernant PGP
5.x / 6.x pour Windows, personne n'a encore rendu public un examen
précis
du code-source. La seule garantie tient à ce que de nombreux
cryptographes
ont par curiosité jeté un coup d'oeil au code, et de nombreux
consultants en sécurité l'ont examiné et/ou copié.
Aucun d'entre eux n'a jamais pu se vanter d'avoir trouvé une faille.
«
GnuPG est plus sûr que PGP »
Version Windows : non.
Actuellement (août 2000), GnuPG pour Windows (GnuPG
MingW32) n'existe en version stable que depuis peu et cette version
est moins suivie par les développeurs de GnuPG que la version Unix.
En outre, GnuPG Win32 n'a pas encore d'interface graphique et est en lignes
de commande. Sous Windows, GnuPG 1.x n'est pas encore à l'heure
actuelle une alternative réelle à PGP 6.x.
Version Linux : oui.
Le code-source de la version Linux de GnuPG
fait l'objet d'une attention plus soutenue en raison de son
développement
sur le schéma "logiciels libres" GNU.
Beaucoup d'utilisateurs Unix ont d'ailleurs migré de PGP vers GnuPG,
gratuit et plus stable. En outre, une faille de sécurité
grave a été découverte en mai 2000 dans PGP 5.0/5.0i
pour Linux/Unix (voir en haut de cette page).
Il n'existe pas de version MacOS de GnuPG.
Liens :
GnuPG
Version internationale de PGP
PGP Security Inc. (NAI)
CN Lab
Déclaration
de Ph. Zimmermann sur les rumeurs (traduction française)
Mise à jour : août 2000
© 1997, 1998, 1999, 2000, pplf 14A0 4A67 0431 2402
684D 6EBA 537F 664D 3F80 0D58
pgpenfrancais@bigfoot.com |