Interview / Septembre 1999.

PHIL ZIMMERMANN, consultant associé chez Network Associates
Network Associates : Activité : éditeur. - CA 1998 : 990 millions de dollars, 945 millions d'euros. - Effectif : 2700 personnes

L'essor du cryptage est un fait économique inéluctable

Le cryptage n'est plus sujet tabou. Selon Phil Zimmermann, père du logiciel PGP ardent défenseur de la confidentialité des communications privées, les États-Unis accepteront bientôt la libéralisation du chiffrement.

 
Vous avez beaucoup milité pour la libéralisation du chiffrement. Quel est votre rôle depuis le rachat de votre société PGP Inc. par Network Associates?

Zimmermann : Je fais essentielement de la veille technologique. J'assiste aux conférences consacrées au cryptage et à la sécurité en général, quelles aient un caractère technique ou politique. Je suis, par conséquent, beaucoup moins impliqué dans le développement des logiciels de cryptage ou de réseau privé virtuel. Ainsi, je n'ai pas de projet à gérer, mais je garde un oeil sur l'aspect fonctionnel des outils et sur les synergies il peut y avoir avec les autres gammes de produits de Network sociates, comme les coupe-feu ou outils de détection d'intrusion.

Les lois sur le cryptage sont assouplies en Europe. Qu'en pensez-vous?

La France et le Royaume-Uni étaient les deux derniers pays en Europe à avoir des lois contraignantes sur l'utilisation des outils de cryptage, avec notamment l'obligation de déclarer l'utilisation de tels outils et de fournir les clés de chiffrement. La France fut la première à assouplir le système, laissant le Royaume-Uni imposer seul le dépôt des clés. Cependant, le sytème se ne pouvait pas fonctionner. Avec Pretty Good Privacy (PGP), les utilisateurs pour le cryptage. Quand l'utilisateur est authentifié, grâce à sa signature, la clé qui sert à crypter cette signature change. Cela crée un trou de sécurité dans le système anglais, car la clé qui est fournie aux autorités est toujours obsolète. J'ai inventé ce mécanisme en anticipant d'éventuelles lois qui imposeraient justement la remise des clés. Aujourd'hui, les États-Unis continuent de l'imposer. Mais les politiques devront bientôt reculer face aux acteurs économiques du marché, qui demandent une libéralisation totale du cryptage, et aux associations de lutte pour les libertés individuelles.

Dans ces conditions, comment arrivez-vous à contourner la loi américaine sur l'exportation des solutions de cryptage?

Tout simplement en publiant le code source de la solution dans un livre dont la dernière édition fait plus de 70000 pages! En effet, les lois américaines sur l'interdiction d'exportation ne s'imposent pas aux livres. Ainsi, à chaque mise à jour du logiciel, une filiale en Suisse se charge de commander le livre en question et effectue une reconnaissance de caractères (OCR). Le code source, identique à celui du logiciel, est ensuite compilé et distribué dans nos filiales européennes. Le défi a été de créer des outils d'OCR et de contrôle d'erreur suffisamment précis pour éviter que cela ne prenne trop de temps à récupérer. Nous avons même dû tenir compte de l'encre et de la police de caractères utilisés pour imprimer le livre. Une autre manière de contourner la loi est de profiter des filiales d'entreprises américaines implantées à l'étranger, qui peuvent acquérir plus facilement les produits.

Cet été, des universitaires israéliens ont déclaré avoir mis au point un système permettant de déchiffrer des messages cryptés avec le mécanisme de clé publique-clé privée. Qu'en est-il vraiment?

J'ai effectivement vu une démonstration de leur système, qui est particulièrement ingénieux. Les outils de cryptage basés sur le mécanisme de clé publique font appel notamment à la factorisation des nombres premiers. Il est ainsi extrêmement difficile d'inverser ce calcul afin de retrouver la clé originale. Cependant, leur système fonctionne uniquement pour des clés de petites tailles. Or, il faut savoir qu'une clé de 512 bits était déjà vulnérable. Dans PGP, nous utilisons des clés de 1024 ou 2048 bits, que nous étendrons prochainement à 4096 bits.

Avez-vous prévu de commercialiser un produit de gestion de clés?

PGP utilise déjà une architecture PKI [Public Key Infrastructure, Ndlr]. Dans notre modèle, il existe un serveur de clé PGP qui équivaut au serveur de certificats Mais PGP n'est pas conforme à la norme X.509 [qui définit la gestion des certificats d'authentification, Ndlr]. Il est possible d'importer dans l'application des certificats X.509 afin de les utiliser dans notre architecture. Le problème, c'est que le modèle X.509 suppose une infrastructure descendante. Tandis que nous avons choisi le contraire. Cela nous permet d'ajouter de la redondance et de contourner les lois sur la remise des clés.

Propos recueillis par JEAN-BAPTISTE SU

ANALYSE : Pretty Good Privacy (PGP) est le logiciel de cryptage exploitant la technique clé publique-clé privée le plus utilisé sur Internet. Le fait qu'il soit distribué gratuitement y est sans doute pour beaucoup. Mais Network Associates se voit concurrencé par l'inventeur de la technologie RSA, Data Security, désormais filiale de Security Dynamics. En refusant d'adopter nativement le standard X.509 dans ses solutions, Network Associates risque de passer à côté du marché naissant des PKI (Public Key Infrastructure). Car les entreprises cherchent avant tout des solutions standards et interopérables, fonctionnant avec des serveurs de certificats ou des générateurs de clés élaborés par différents éditeurs.

  • Informatique libre et recherche
  • Page d'information sur le projet GNU / Linux et les logiciels libres (liens et ressources)