Le protocole de chiffrement MIKEY-SAKKE, développé et promu par le GCHQ pour les appels audio et vidéo sensibles, permet de déchiffrer simplement les communications par le gestionnaire du réseau, affirme un chercheur. Selon lui, le but est bien de permettre aux services de renseignement d'écouter les communications.
Que se passe-t-il quand les services de renseignement britanniques, le GCHQ, développent un protocole de chiffrement des appels audio et vidéo ? Selon Steven Murdoch, un chercheur de l'University College London, la réponse n'est pas rassurante. Dans un billet de blog publié mardi, il a décortiqué le protocole MIKEY-SAKKE, conçu par le bras numérique du GCHQ, le CESG. Il y révèle que ce protocole permet l'écoute des communications des réseaux l'exploitant, à l'aide d'une clé unique détenue par le propriétaire du réseau.
Ce système est au centre de Secure Chorus, la solution du GCHQ pour protéger les communications officielles et classifiées. Il doit fournir une protection supplémentaire face au système précédent, qui considérait que le réseau téléphonique classique convenait à tous les niveaux de sécurité. Secure Chorus est promu auprès de l'administration et des entreprises, qui pourraient l'adopter largement avec le développement de la VoLTE (la voix sur IP en 4G). Cela alors que le débat sur le chiffrement bat son plein.
Un protocole obligatoire pour vendre certains produits
Ce protocole a été présenté en 2010 par le CESG à l'IETF pour devenir une norme d'Internet, ce qui n'est toujours pas le cas. Depuis, le débat sur le chiffrement est sorti du domaine des spécialistes et est au centre des tensions entre gouvernements et entreprises du numérique, avant tout sur le terrorisme. Selon les gouvernements, les solutions de chiffrement empêchent la police et les services de renseignement d'accéder à des données utiles pour protéger les citoyens. Face à eux, les sociétés qui promeuvent le chiffrement, dont les géants du Net, estiment qu'il est nécessaire à la vie privée. C'est même devenu un marqueur fort de la politique publique d'Apple.
Une solution proposée par certains gouvernements, et pour l'instant refusée par les fournisseurs de terminaux et de services, est d'intégrer des portes dérobées aux solutions grand public. Selon nombre d'experts, cette solution pose plusieurs problèmes, dont un important : si une porte est créée pour un gouvernement, n'importe qui pourrait la trouver et donc potentiellement l'ouvrir. Une porte dérobée débusquée le mois dernier dans des routeurs Juniper l'illustre très bien. Selon des documents dérobés par Edward Snowden, la NSA connaissait son existence et elle était exploitée par le GCHQ, mais elle n'a été signalée qu'il y a quelques semaines.
Dans le cas de Secure Chorus, la solution doit désormais être intégrée aux produits qui s'adressent aux communications gouvernementales et classifiées. « Résultat, MIKEY-SAKKE a un monopole sur la vaste majorité des communications voix classifiées du gouvernement britannique. Les entreprises qui développent des systèmes de communication sécurisée doivent donc l'implémenter pour accéder à ce marché » affirme Steven Murdoch dans son analyse.
Le protocole ne se limite pourtant pas à cet usage particulier. En novembre, un produit intégrait cette technologie, l'application Cryptify Call pour Android et iOS, approuvée par le CESG. Deux autres produits étaient en cours de validation à cette date.
Un chiffrement maîtrisé par un serveur centralisé
Concrètement, MIKEY-SAKKE propose un chiffrement asymétrique, avec une clé publique et une clé privée pour chaque numéro de téléphone. Ces deux clés sont dérivées de plusieurs paramètres, dont deux clés maître (publique et privée) détenues par le réseau, qui agit comme une autorité de séquestre. Après avoir récupéré les clés auprès du réseau et se les être échangées, les deux appareils peuvent s'accorder sur une clé sur l'échange.
Il s'agit d'un chiffrement basé sur l'identité (IBE), dont la particularité est l'existence de cette clé maître centrale. Selon la documentation du GCHQ, cette solution a un avantage pratique : il suffit de connaître le numéro de téléphone du correspondant pour établir une connexion chiffrée. De quoi éviter des complications pour l'utilisateur.
Le cœur du problème est que les clés de chiffrement sont directement gérées par le réseau, et non les terminaux eux-mêmes. Même si une explication technique existe : « Si la clé maître de l'opérateur de réseau est valide pour une longue période, celles des utilisateurs sont valides seulement un mois. Le réseau doit donc garder la clé maître constamment disponible, pour permettre à de nouveaux utilisateurs de le rejoindre, et pour les utilisateurs existants de télécharger régulièrement la clé privée qui correspond à leur identité » détaille ainsi Steven Murdoch.
Dans cette configuration, l'appareil et l'utilisateur peuvent difficilement savoir s'ils sont écoutés ou enregistrés. « L'existence d'une clé privée maître qui peut déchiffrer tous les appels (passés et présents) sans détection, sur un ordinateur disponible en permanence, crée un énorme risque de sécurité, et une cible irrésistible pour des attaquants » estime le chercheur.
L'identité des interlocuteurs n'est pas protégée
De plus, « les appels qui passent par différents fournisseurs de réseau (différentes entreprises par exemple) seraient déchiffrés par un ordinateur passerelle, créant un nouvel endroit où les communications peuvent être écoutées ». Dans ce cas, les failles découvertes récemment dans des serveurs Juniper montre à quel point il est difficile de savoir si cette possibilité est exploitée ou non, surtout quand des agences de renseignement connaissent la faiblesse en question.
Problème supplémentaire, l'identité des appelants n'est pas cachée, contrairement à des systèmes de communication hors réseau, comme Signal. Ces métadonnées peuvent donc permettre de retrouver un appel, voire un enregistrement, si la discussion a été conservée. Les appels peuvent donc être déchiffrés longtemps après, le serveur disposant d'une clé pérenne.
Reste que c'est le gestionnaire du réseau qui dispose de la clé. Dans le cas des communications du gouvernement, il s'agira très probablement du GCHQ, estime le chercheur. Dans le cas d'une entreprise, il se peut que ce soit elle seule qui fasse office d'autorité centrale. Mais, même dans le cas où le GCHQ ne dispose pas d'une autorisation, sa connaissance du protocole pourrait lui permettre d'obtenir le Graal permettant de tout déchiffrer.
Le GCHQ réfute toute velléité d'espionnage
Pour le chercheur, ce protocole illustre bien la dualité du GCHQ. D'un côté, il doit ainsi empêcher les communications de sortir du périmètre prévu, c'est-à-dire les organisations dont il a la charge, surtout sur les informations classifiées. De l'autre, il doit pouvoir enquêter en cas de fuite de documents « vers des entreprises, la presse ou des agences de renseignement étrangères ». Disposer d'une clé maître dont seule l'agence a la connaissance est donc censé répondre à ces deux objectifs.
Pour l'expert, mieux vaudrait directement intégrer un système d'enregistrement régulé, qui capterait les communications avant le chiffrement, pour éviter de compromettre le chiffrement lui-même « La conception de MIKEY-SAKKE est motivée par le désir de permettre une surveillance de masse indétectable et impossible à auditer, qui peut être requise dans des scénarios exceptionnels comme les services de l'État qui gèrent des documents classifiés », mais pas les communications grand public, estime-t-il.
Ce n'est pas la première fois que les renseignements britanniques envisagent une telle solution. En 1996, le GCHQ avait déjà proposé une solution similaire, avec une autorité centrale qui dispose d'une clé unique pouvant tout déchiffrer. Une idée abandonnée à l'époque, qui revient donc aujourd'hui. Dans ses documents actuels sur MIKEY-SAKKE, le GCHQ préfère cette fois insister sur la protection apportée par son chiffrement que sur cette possibilité.
Contacté par Motherboard, un porte-parole du CESG réfute le fait qu'il s'agirait d'un logiciel développé expressément pour espionner les communications. « Nous ne reconnaissons pas les affirmations faites dans cet article. Le protocole MIKEY-SAKKE permet le développement de produits sûrs, évolutifs, et convenant aux entreprises » répond-il. Sur le fond par contre, le fonctionnement d'une clé maitre permettant de tout déchiffrer ne semble pas remis en cause.
