PGP et les rumeurs
 
 

Depuis son apparition en 1992, PGP a toujours fait l'objet de rumeurs mettant en cause sa robustesse cryptographique. Ainsi, en 1994, quand est sortie la version 2.5 incompatible avec les versions antérieures pour des questions de licence, ou en 1997 lors de la sortie de la version 5.0 pour Windows et Mac qui proposait une interface graphique et un nouveau type de clefs. Plus récemment, en 1999, une énième vague de rumeurs est apparue en France, à la faveur de la libéralisation de la cryptologie. A chaque fois, le même propos revient : « PGP peut être cassé », mais aucune démonstration n'est fournie. Pourtant, la cryptographie relève de la science, non de la magie, et elle s'appuie sur des critères objectifs.

A noter qu'en mai 2000 une faille de sécurité grave a été découverte dans la version Unix/Linux de PGP 5.0 et PGP 5.0i (voir notre brève du 31 mai 2000). Mais rien ne prouve que cette faille ait été insérée de manière intentionnelle par les programmeurs de PGP (sur cette faille, voir l'analyse du cryptographe Peter Gutmann).
 

Ces rumeurs se fondent, au choix, sur :
- un cas d'attaque réussie contre un utilisateur négligent de PGP;
- une bouffée irrationnelle de paranoïa;
- un dénigrement conscient aux fins de décrédibiliser PGP.

En anglais on appelle cela du "FUD" (Fear, Uncertainty and Doubt) : peur, incertitude, doute.

On a vu récemment en France deux grandes sources de rumeurs sur PGP : dans la presse et dans les groupes de discussion.

Ces rumeurs sont en général :
« PGP contient une "backdoor" » 
« Les gouvernements peuvent casser PGP » 
« Le code-source de PGP n'a jamais été vraiment scruté » 
« GnuPG est plus sûr que PGP ».
 
 

Quelques sources de rumeurs en France
 

La presse
 

- Le bulletin "Sécurité Informatique" n° 24 du CNRS consacré à la cryptologie (avril 1999)
La rédaction de ce numéro spécial a été confiée de manière surprenante, non pas à des universitaires du CNRS, mais à des spécialistes du SCSSI gouvernemental. Pourtant, jusqu'aux décrets du 17 mars 1999, ce dernier organisme était implicitement chargé de s'assurer que le chiffrement disponible en France contenait une porte d'accès pour le gouvernement, et son directeur Jean-Louis Desvignes avait exprimé publiquement son hostilité à la libre diffusion de PGP.

Dans ce bulletin "Sécurité Informatique" n° 24 "De l'usage de la cryptologie", le chef de la Division Chiffre du SCSSI cite trois "cas typiques" de programmes "ne méritant pas forcément la confiance que semble créer leur notoriété". Il s'agit de Lotus Notes (backdoor avérée), SSH (faille de sécurité trouvée dans le code-source) et... PGP. Associer sans preuve PGP à Lotus Notes et au cas particulier de SSH est pour le moins discutable.
Parlant de PGP, l'auteur met indirectement en cause les versions internationales "i" de Stale Schumacher disponibles sur www.pgpi.org  (pourtant les plus sûres), considère que l'examen poussé du code est peut-être impossible (il s'agit pourtant d'un code cryptographique classique écrit en langage C), émet sur les "web of trust" un jugement de valeur ignorant précisément la raison d'être de celui-ci (le refus d'une certification centralisée et la préférence pour des liens de confiance graduels et plus complexes qu'il n'y parait), et insiste exagérément sur le virus anti-PGP "Caligula" qui ne s'est jamais répandu et n'était qu'un banal Cheval de Troie. 
Voilà de quoi alimenter les rumeurs en se servant de la caution scientifique du CNRS.

Extraits:
"Etre connu et reconnu ne suffit pas. Dans les produits que l'on peut facilement trouver sur le marché, bon nombre ne méritent pas forcément la confiance que semble créer leur notoriété. Voyons quelques cas typiques :
Lotus Notes.
(...)
SSH.
(...)
PGP.
Ce produit a longtemps été un symbole de la cryptologie libre incassable même par les grandes puissances. Toutefois la multiplication des versions, dont certaines sont dites internationales, et la complexité du code rendent difficile, si ce nest impossible, un examen systématique et poussé. La plupart des personnes qui font confiance à PGP nont jamais revu le code source et encore moins recompilé lexécutable. De plus, quelle que soit la qualité de limplémentation, la certification des clés en anneau est modérément sûre. Enfin certains virus spécialisés semblent être capables de faire fuir sur Internet la clé privée dun utilisateur de PGP."
 

- Les numéros 4 et 5 de la revue Pirates Mag' (1999)
Sous formes de conseils avisés, sont relayées des "rumeurs", présentées comme telles tout en semblant y prêter foi. Aucune preuve n'est apportée.

Extraits:

Pirates Mag' n° 4, p. 17, "Les Indiens ont peur des cowboys" :
"Par exemple, utilisez GPG au lieu de PGP : le premier est un logiciel libre, alors que je ne parierais pas ma chemise sur la sécurité du second, qui a été autorisé à l'exportation par le gouvernement américain, ce qui en dit long..."

Pirates Mag' n° 5, p. 9,  "Pas clair" :
"Au mois de juin, .Net offrait sur son CD-Rom mensuel une version 5.5 de PGP
(...)
Mais le plus gênant dans cette affaire, et nous en faisions déjà état dans Pirates Mag' 4, est que certaines versions compilées de PGP 5.5 souffriraient (rumeur) d'un trou de sécurité à la demande des services américains".
 
 

Les groupes de discussion
 

- Dans fr.misc.cryptologie (et parfois jusque dans fr.comp.securite), des messages affirment régulièrement des choses comme : "je sais que certains services d'Etat cassent PGP, mais je ne peux rien dire de plus" ou "une certaine version de PGP a une backdoor", etc. Les auteurs de ces "révélations" sont divers : de l'apprenti pirate informatique au consultant s'autoproclamant spécialiste en cryptographie. Interrogés par les intervenants habituels du forum, jamais les auteurs de ces messages sensationnels n'ont pu apporter de preuves sur la supposée "porte arrière" de PGP.
 

Exemples:
 

Newsgroups: fr.misc.cryptologie
Subject: Re: crypto : utilisez des logiciels libres pour eviter les failles de securite volontaires ! (et non a la censure !)
From: Brain Override <brain.override@free.fr>
Date: Tue, 01 Jun 1999

(...)
 Bon là aussi il est temps de mettre les choses au clair ! Cette rumeur n'est pas fausse.. En tout cas sur une partie des versions commercialisés de PGP... Et si Olivier à les "même sources que moi et même des preuves", il ne pourra pas te les divuguées (moi non plus d'ailleurs). Cependant je peux juste vous dire qu'il y a un service en france capable de lire en clair un message crypter sur certaines versions assez récentes de PGP... 

( source )


Newsgroups: fr.misc.cryptologie
Subject: Re: Quel but cherche Mr. Aichelbaum ?
From: "Christophe Casalegno" <christophe.casalegno@digital-network.org>
Date: Fri, 26 Nov 1999 22:03:22 GMT

> citons : Australie, Inde, France, etc. (si vous lisiez vraiment
> nos magazines, vous le sauriez, nous avons meme indique les sources).
> ex. pour la France, il s'agit du bulletin 24 du CNRS avec des articles
> ecrits par des membres du SCSSI (sujet deja aborde dans ce newsgroup).
>
> ces pays ont donc deconseille les produits de securite d'origine
> americaine de facon officielle, en nommant parfois PGP, pour
> cause de failles potentielles (il y a eu des precedents*...).

Bonjour, je suis le responsable d'une société de sécurité informatique, et
je tiens à préciser que nous déconseillons également l'utilisation de PGP.
Certaines versions récentes (je ne dis pas toutes), sont en effet équipés de
portes par derrière. Je crois par contre que cela ne concerne que les
version supérieures à la version 2."

( Fil de discussion complet )


Newsgroups: fr.misc.cryptologie
Subject: BACKDOOR DANS PGP : DEMONSTRATION
From: Anonymous <nobody@squat.net>
Date: Wed, 2 Feb 2000 03:04:02 +0100

Pas de blabla, une demo que vous faites vous-meme.

Ne fonctionne a ma connaissance qu'avec 651 

1- Cryptez un fichier avec les cles de votre choix (RSA seulement)

2- Double cliquez pour decrypter

3- Saisissez le texte suivant:

VCx8z8/7oxbeJwV3KT94UhX3C2sGdudCg/SOSGR6a1LpFIZqdvuv01WtlU3KR4l2nWjr42DUY+6
gwzWVgHFdZ1US1nfuBNBU+ZozYhwIL0Y3BVKgRyEFEx/A/xI8TH8UzLlWTKISEWJzVzHphdyTDh
jKUjSQdWgtiIKdoLoiajuZxx/rmTaCiVfOKi6paB0IpOegjP9Bqkg5ZjLmYZ72/qja0Epel19cj
5n+HAVGFtivUgx9I2ph65xu/3702bq3

4- Ca genere une erreur de cle, tapez alors le texte suivant :

xeK9heU5WKbFRtULwfijyHhEjRBkrdiyWhzc5l1BPTkiAusxwmyEnbSNoohf3sGl
DqVxnzaFxfxTg0K57Hm+uWDvZbFHhjSVTyyo2D/0Uvo5ABOFB5AzPdFsEqQQyUGC
ozNe71VHAKFhZUsQq7R8isNYHNER6cJ3jB/hMsI7qUAHfvPP6mVEcMktBCDWU8tS
01VSbOg/IZ7nUMDx151wAR2cZsCG7cHDTgP1PXlBB6/FTxAP/06svr1GUTyAOp6U
JfMQMueMWlyxP/iPI8Xd133eiRix6+jCPx9LVAPLjB4uFO4x0rXU9AMZzec1mxvw

ET LE FICHIER  SE DECRYPTE !

No comment !


Et la preuve de la mystification ci-dessus :

Newsgroups: fr.misc.cryptologie
Subject: Re: BACKDOOR DANS PGP : DEMONSTRATION
From: fapp2@cam.ac.uk
Date: Wed, 02 Feb 2000 11:25:14 GMT

Vous avez beaucoup d'imagination mais vous n'avez visiblement jamais
utilisé PGP 6.x ou vous êtes incapable de décrire correctement la
procédure à suivre. Dans les deux cas cela en dit long sur le reste de
votre message.

> 1- Cryptez un fichier avec les cles de votre
> choix (RSA seulement)

Donc avec une clé publique dont on n'a pas clé privée par exemple.

> 2- Double cliquez pour decrypter
> 3- Saisissez le texte suivant:
> Cx8z8/7oxbeJwV3KT94UhX3C2sGdudCg/SOSGR6a1LpFIZqdvuv01
> WtlU3KR4l2nWjr42DUY+

Où voulez vous saisir ce texte ? Car à ce moment, PGP indique un message
avertissant que vous ne possédez pas la clé privée correspondant à la
clé publique utilisée pour le chiffrement et la seule solution et
d'annuler l'opération.

 Revoyez votre copie, merci.

Fabien.



 

« PGP contient une "backdoor" »

C'est faux.
PGP ne contient pas de "backdoor" (porte arrière, ou porte dérobée) qui serait connue des programmeurs et placée intentionnellement par eux. Nous parlons ici des versions PGP américaines, internationales "i", ou freeware "fr", signées par PGP Inc., Network Associates Inc., le MIT, Stale Schumacher, ou Fabien Petitcolas. 
En revanche, ce n'est pas parce que quelqu'un va prendre un programme X ou Y et l'appeler "PGP", ou bien va compiler le code-source "i" et diffuser sa version personnalisée de PGP, qu'il faudra lui faire confiance ! c'est là le b.a.-ba de toute sécurité informatique.

Les versions commerciales US sont signées par la clef "NAI PGP software release key" détenue par Will Price, responsable du développement de PGP chez NAI. Will Price est le créateur de CryptDisk pour Mac, en 1995, c'est un promoteur de longue date de la cryptographie libre et également un ami de Philip Zimmermann avec qui il travaillait chez PGP Inc. avant de le suivre chez NAI. C'est lui qui contrôle en dernier ressort les binaires. Dire que les versions commerciales US de PGP sont piégées, c'est mettre en cause Will Price alors que rien ne justifie un tel soupçon.

Les versions freeware US sont signées par la même clef.

Les versions freeware "internationales" ou "fr" sont fournies avec leur code-source, que tout le monde peut examiner et compiler pour obtenir son propre binaire. Elles sont signées par Stale Schumacher ou Fabien Petitcolas, qui sont des programmeurs connus de longue date et estimés pour leur combat en faveur de la cryptographie libre.

A noter que Philip Zimmermann et NAI ont déclaré qu'ils considéraient les versions "int" de PGP (compilées par le CN Lab suisse pour le compte de Network Associates International) comme aussi sûres que les versions US. Cependant, il semble que Philip Zimmermann n'a pas de contrôle physique sur la compilation de ces versions.

PGP doit toujours être fourni avec une signature digitale de : PGP Inc., Network Associates Inc., le MIT, Stale Schumacher, ou Fabien Petitcolas. Il est évident que toute autre version de PGP ne doit jamais être utilisée, ne serait-ce que par crainte des virus informatiques.
 
 

« Les gouvernements peuvent casser PGP »

C'est faux. 
Techniquement, casser un message PGP est en l'état actuel des connaissances et des possibilités de la physique impossible si PGP a été utilisé convenablement. Les spéculations sur l'existence d'un "ordinateur quantique" top-secret sont aussi crédibles que celles sur un complot extra-terrestre. Comme dit Philip Zimmermann : il y a « des personnes qui croient que la série "X-Files" est un documentaire »...
 
 

« Le code-source de PGP n'a jamais été vraiment scruté »

C'est vrai. 
Le code-source de PGP n'a jamais été scruté de manière complète. Aucune certification officielle n'a été accordée à PGP. Aucune étude cryptographique complète n'a été publiée (à notre connaissance). Aucun suivi permanent du code-source n'est effectué par des cryptographes indépendants. Mais il en est de même pour tous les autres logiciels de cryptographie grand public (à l'exception des logiciels GNU comme par exemple la version Linux de GnuPG).

Cependant, s'agissant de PGP 2.x, des cryptographes comme Bruce Schneier ont eu l'occasion de juger le logiciel "bien conçu" (dans son ouvrage "Cryptographie Appliquée"), ce qui sous-entend qu'ils n'ont pas découvert de faille évidente dans le code. Concernant PGP 5.x / 6.x pour Windows, personne n'a encore rendu public un examen précis du code-source. La seule garantie tient à ce que de nombreux cryptographes ont par curiosité jeté un coup d'oeil au code, et de nombreux consultants en sécurité l'ont examiné et/ou copié. Aucun d'entre eux n'a jamais pu se vanter d'avoir trouvé une faille.
 
 

« GnuPG est plus sûr que PGP »

Version Windows : non. 
Actuellement (août 2000), GnuPG pour Windows (GnuPG MingW32) n'existe en version stable que depuis peu et cette version est moins suivie par les développeurs de GnuPG que la version Unix. En outre, GnuPG Win32 n'a pas encore d'interface graphique et est en lignes de commande. Sous Windows, GnuPG 1.x n'est pas encore à l'heure actuelle une alternative réelle à PGP 6.x.

Version Linux : oui.
Le code-source de la version Linux de GnuPG fait l'objet d'une attention plus soutenue en raison de son développement sur le schéma "logiciels libres" GNU. Beaucoup d'utilisateurs Unix ont d'ailleurs migré de PGP vers GnuPG, gratuit et plus stable. En outre, une faille de sécurité grave a été découverte en mai 2000 dans PGP 5.0/5.0i pour Linux/Unix (voir en haut de cette page).

Il n'existe pas de version MacOS de GnuPG.
 
 

Liens :

GnuPG
Version internationale de PGP
PGP Security Inc. (NAI)
CN Lab
Déclaration de Ph. Zimmermann sur les rumeurs (traduction française)
 
 


Mise à jour : août 2000
© 1997, 1998, 1999, 2000, pplf 14A0 4A67 0431 2402 684D 6EBA 537F 664D 3F80 0D58
pgpenfrancais@bigfoot.com


accueil  |  présentation  |  sommaire  |  histoire  |  manuels français  |  mode  d'emploi  |  news  |  autre crypto