(Fr) Pentesting Windows domain : techniques and field feedback

The slides of the talk we gave with Alain Schneider at the JSSI 2013 conference are available, in French, here - copy here.

The talk covers the techniques used to obtain quickly domain admin rights in the case of an internal pentest, field feedback and some pitfalls to avoid ^^

How to reset a GPG Smartcard

If you locked your card (tested on a GPF Cryptostick 1.2) :

SRC : http://marc.info/?l=gnupg-users&m=125387560011940


De: "Werner Koch" <wk@gnupg.org>
À: "tux tsndcb" <tux.tsndcb@free.fr>
Cc: gnupg-users@gnupg.org
Envoyé: Vendredi 25 Septembre 2009 11h48:36 GMT +01:00 Amsterdam / Berlin / Berne / \
                Rome / Stockholm / Vienne
Objet: Re: How to reset a smartcard ?

On Fri, 25 Sep 2009 10:33, tux.tsndcb@free.fr said:

> No body has an idea to "reset" a smartcard as factory settings ? I think it is \
> possible, but I don't know how to do that.

If you have a version 2 card, this is possible.

WARNING: Don't run the commands given below on version 1 cards - you
will brick the card.

1. First you have to lock the PIN by decremeting the retry counters.  I
   do it this way:

  $ gpg-connect-agent --hex
  > scd apdu 00 20 00 81 08 40 40 40 40 40 40 40 40
  D[0000]  69 82                                              i.            
  OK
  > scd apdu 00 20 00 81 08 40 40 40 40 40 40 40 40
  D[0000]  69 82                                              i.            
  OK
  > scd apdu 00 20 00 81 08 40 40 40 40 40 40 40 40
  D[0000]  69 82                                              i.            
  OK
  > scd apdu 00 20 00 81 08 40 40 40 40 40 40 40 40
  D[0000]  69 83                                              i.
  > scd apdu 00 20 00 83 08 40 40 40 40 40 40 40 40
  D[0000]  69 82                                              i.            
  OK
  > scd apdu 00 20 00 83 08 40 40 40 40 40 40 40 40
  D[0000]  69 82                                              i.            
  OK
  > scd apdu 00 20 00 83 08 40 40 40 40 40 40 40 40
  D[0000]  69 83                                              i.


The status code 6983 says that the PIN is locked.  I use a PIN of
"@@@@@@@@" which is very likey invalid.

2. You terminate the card and activate it again:

  >  scd apdu 00 e6 00 00
  D[0000]  90 00                                              ..            
  OK
  >  scd apdu 00 44 00 00
  D[0000]  90 00                                              ..            
  OK
  > bye
  OK closing connection
  >

Remove the card and insert it again.  That's all.  gpg --card-status
shows a fresh card.

To make things easier you may send the lines below as input to
gpg-connect-agent (store them in a file and run "gpg-connect-agent < FILE").

======
/hex
scd serialno
scd apdu 00 20 00 81 08 40 40 40 40 40 40 40 40
scd apdu 00 20 00 81 08 40 40 40 40 40 40 40 40
scd apdu 00 20 00 81 08 40 40 40 40 40 40 40 40
scd apdu 00 20 00 81 08 40 40 40 40 40 40 40 40
scd apdu 00 20 00 83 08 40 40 40 40 40 40 40 40
scd apdu 00 20 00 83 08 40 40 40 40 40 40 40 40
scd apdu 00 20 00 83 08 40 40 40 40 40 40 40 40
scd apdu 00 20 00 83 08 40 40 40 40 40 40 40 40
scd apdu 00 e6 00 00
scd apdu 00 44 00 00
/echo card has been reset to factory defaults
=====

gpg-connect-agent has a complete scripting language, you may use it to
write a more robust script with error checking etc.


Salam-Shalom,

   Werner


--
Die Gedanken sind frei.  Auschnahme regelt ein Bundeschgesetz.

(fr) Des risques posés par les imprimantes multifonctions

Les slides présentées à l'OSSIR le 12 juin dernier sont en ligne sur le site :
http://www.ossir.org/paris/supports/2012/2012-06-12/Ossir_Printer_Sec_AKO_12.06.2012_1.1.pdf

Cette présentation traite des risques liés aux imprimantes multifonctions à travers un retour sur expérience terrain issu d'audits et de pentests.

Quelques extraits des slides :

Debian and Ubuntu Hardening Guide - Securing

The Debian and Ubuntu Server Hardening guide that I wrote a few years ago link on Secure Network website seems to be broken (http://www.securenetwork.it/ricerca/whitepaper/download/Debian-Ubuntu_hardening_guide.pdf)

Here is a copy of the document :
https://docs.google.com/open?id=0B-U_7aPIGgPdM1VxLXlmV1N2Vmc

I was asked by several persons if I made a new version of the Debian & Ubuntu Hardening Guide. Unfortunately I don't have enough time to update it, but I think that most of the points in the guide can be used with newer version of the distribution.

If I had to update it, I would add some chapters :

- A chapter on limiting bouncing through the infrastructure, confining and post reacting to an attack (one day or the other the system will be pwnd, so it is better to be prepared by taking in consideration this as a paradigm)
For example : do not reuse the same admin passwords, do not leave SSH keys which may allow an attacker to bounce on other servers, be carefull when centralized auth systems are activated not to have an omnipotent account valid on every server).
Prepare emergency procedure, forensics procedure, work on counterintelligence and threat mitigation (at the information level rather than on the infrastructure level).

  - Maybe something on centralizing and logging admin access (like Wallix admin bastion ; even if it may be a SPOF).

- a chapter on hardening iLO/DRAC /Intel AMT/etc.
This is not linked directly to the operating system, but still a very powerfull entry point.

- a special attention on strong auth (if possible)

- a chapter on forensics analysis of a compromise system and intrusion
detection/response (generate a maximum of logs, log correlation,
monitoring)

- adapt DISA Red Hat Checklist http://iase.disa.mil/stigs/os/unix/red_hat.html

- globally for the security approach I'd go more on a security by isolation than configuration/correctness (a bit like Joanna's Qubes) and a lot of logging.
At least from what I see in audits/pentests, configuration correctness is very difficult to maintain trough time (especially with non always qualified staff or legacy applications) and isolation is easier to maintain (network +VM).

- for big installation it is important to know that it is very difficult to maintain a high level of security on all the infrastructure. It is better to classify assets and really harden the most critical ones.

- and of course integrate all new security features that came out during those 2.5 years ^^

Errata :
P29
"password required pam_passwdqc.so min=disabled,12,8,6,5 max=40" is not correct and should be "password required pam_passwdqc.so min=disabled,24,14,12,12 max=40" at least to avoid weak password (as the keyspace generated by the two last parameters of min is too small)

Encrypted USB Sticks and crypto backdoors ; thoughts about Lok-it FIPS

Recently I was asked an advice about Lok-it encrypted USB keys which presented 4 interesting points :

- hardware AES256-CBC encryption

- FIPS 140-2 level 3 certification

- trusted path for pin entry (physical pin pad)

- fully hardware system, no need to execute untrusted code or require admin privileges

The two questions were : is it a secure product ? and Is it backdoored ?

Before focusing on this particular product, let's have a look on security issues related to encrypted USB sticks.

Secure Sticks

Numerous USB encrypted devices had some security issues (yes, even with 256 bit AES encryption and FIPS 140-2-L2 certification), and as a blackbox system it is difficult to assess the quality of the implementation.

It is very important to remember that the quality of the implementation and the operational conditions of use are as important as the quality of the algorithm of the key length ; and that a FIPS certification does not make a product secure.

But unfortunately marketing always focuses on algorithm, length and certification.

Example of broken secure Sticks

Here are some example of broken or flawed “secure devices” :

Some excellent analysis of encrypted devices can be found on SpritesMods site.

SySS made also a very good analysis of different products.

A very good example is the QNAP crypto backdoor (based on LUKS, when the users creates a key, a second one is automatically generated and hidden in the flash memory ; but easily retrievable)

Crypto-backdoors

The previous examples were “implementation errors” or “basic” crypto backdoors, but much more subtle ones can be designed, see :

Cryptovirology

Chapter 10: An Elliptic Curve Asymmetric Backdoor in OpenSSL RSA Key Generation

BuildingRobust Backdoors in Secret Symmetric Ciphers , Adam L. Young MITRE Corporation joint work with Moti Yung Columbia Univ./RSA Labs BlackHat 2005

Back to Lock-it

I did not make a security evaluation of this product, but as it is derived from a ClevX technology, which is FIPS certified, we can have a look at the FIPS security policy. Some parts seems interesting :

“LOK-IT® is pre-programmed with a unique set of encryption keys created during the manufacturing process. A list of 6 AES keys is supplied by a random number generator (RNG) executing on the manufacturer's computer. The RNG complies with ANSI X9.31 Appendix 2.4 specification for the generation of random numbers.” (p7)

If you were wondering were a potential crypto backdoor could be placed ... I'm not actually saying that the product is backdoored or not, but that if I had to backdoor the product, this would be a nice place among others.
Especially if the manufacturer uses a good RNG and keeps a copy of the keys : he can access the data but he is the only one (we do not consider here other persons who may access the key escrow system ; or legal compelling), and the device is secure for your own use.

Note : having keys which do not only depend on the PIN code is a good thing as the entropy of a 7 number PIN code is terribly low)

“Each LOK-IT® module is manufactured with 6 AES encryption keys. Only 1 of these keys is used to encrypt / decrypt data. The remaining 5 keys have no relationship to stored data. When zeroization occurs, the AES encryption key at the top of the list is erased; the next key becomes the key used to encrypt the private partition. Given enough zeroizations, all keys will be consumed and the drive becomes inoperable. ”

This is rather a good thing (not as good as an embedded smart card, but for the price it is a good deal), as keying material is zeroized after a set of wrong attempts, rather than a simple time delay.

The trusted path is also a very good thing, avoiding keyloggers related issues (both OS and hardware).

Some other information from the sec pol :

Physical security

“• Production grade components

• Hard, opaque epoxy covering the cryptographic boundary

• EEPROM memory protect fuse is set in the security controller ”

“The module is a multi-chip standalone cryptographic module, as defined by FIPS 140-2 and consists of an Initio 1861 USB controller, NAND Flash memory and a Microchip PIC16F688 security controller. All components are encased in hard, opaque, production grade integrated circuit packaging. The cryptographic boundary is defined as the boundary of the module's PCB and hard epoxy coating. ”

By the way ClevX pro technology is used in Corsair Padlock 2 (same as the non FIPS Lok-it) and the Datalock Personal is used in SDG Secret Diary

Conclusion

Is it backdoored ?

Without a proper security analysis we can not say if there is or not a backdoor, but as the crypto system is hardware implemented and as we don't have the hand on the key generation process we can not assume that the device implementation is secure.

Also I don't like the idea on relying on manufacturer generated keys (I do not only wonder about the quality of the (P)RNG, but also about the risk of a keys copy being kept).

Even if we could load our own keys, a backdoor can still allow an attacker to retrieve the key : for example by sending specific commands to the microchip which will directly surrender the key, or specific commands which will just bypass the PIN verification process, etc.

In a few words : or you can trust the system, by having access to the full implementation (software and hardware) and checking it or have it validated by a trusted organization which will perform a full analysis (FIPS, EAL, etc is not sufficient by itself).

Remember also that numerous manufacturers tend to add backdoors, for “recovery” purposes or at law enforcement agencies request.
I'm not saying that Lok-it or ClevX backdoored the product. I am only saying just that this kind of “enhancement” is a tradition in the crypto industry (see Général Jean-Louis Desvignes lesson at INSA Lyon, in French).

So is it a good product ?

Well as always, it depends on the use and the security target.

High security use

Especially if you need assurance of the correct implementation of the crypto system (in France we are a bit “sensitive” on crypto sovereignty, especially when we have to rely on US/UK blackbox crypto systems – even when US products are often much better and/or cheaper than their French equivalents), I would advice to stick to open source, evaluated and well engineered software such as truecrypt, LUKS or GPG but you have to keep in mind all the issues linked to software encryption ; and if possible use it with a smartcard.

Of course, if you are working for a company which is allowed to buy government accredited encryption products, there is no such question.

Other cases

When the information is sensitive but not confidential, Lok-it FIPS seems to be a very good product : very competitive price, trusted path for PIN entry, intuitive use, OS independent and FIPS 140-2 L3 (which is not a full guarantee of security, but at least validates some points, especially as cryptographic operations and PIN entry only take place on the key)

In a lot of cases it is preferable to have an untrusted encryption system always used rather than a high level encryption system scarcely used because it is too complicated to use in operational conditions.

We often encounter this issue during audits, when we have to retrieve data from a server where we are not allowed to install a software, or if we have to share the data with non IT persons which may have some difficulties to use crypto software.

At least with this kind of USB key, it is impossible not to encrypt the data, and the PIN is not entered on and untrusted system ; even if the user is not security aware, very tired or under heavy stress.

The OS independence is also very interesting when you have to deal with different populations (ex : design team using MAC, sysadmins using Un*x).

So I would recommend to use by default hardware encrypted USB keys, and for sensitive information use a truecrypt/dmcrypt-LUKS partition on top of it.

But always consider the device as “password protected” rather than “securely encrypted” ; and of course to securely backup the data.

Note : A nice combination would be to install a bootable linux on the stick : this will make it much more difficult for an attacker to tamper the kernel (I would still recommend to encrypt the root with dmcrypt-LUKS)


Note 2 : the GPF Crypto Stick v2 seems very promising (encypted storage + a GPG card)

===============

Case examples :

SanDisk Cruzer Enterprise - FIPS Edition

http://www.syss.de/fileadmin/ressources/040_veroeffentlichungen/dokumente/SySS_Cracks_SanDisk_USB_Flash_Drive.pdf (the paper also refers to flawed MXI Security FIPS 140-2-L2 keys).

Here are the main parts :

“• FIPS 140-2 level 2 certified

• Hardware based 256-bit AES encryption

• Mandatory access control for all files (100% private partition)

• Strong password enforcement

• “Lockdown” mode when a set number of incorrect password attempts is made ”

“The reason for this is the way how user-supplied passwords are verified. The first security problem here is that the actual password verification is not done in hardware – i.e. on the USB mass storage device itself – but in software on the PC of the user. This fact makes it possible to analyze the password-based authentication process in detail with the help of a software debugger like OllyDbg2 , for instance. The second and bigger problem is, however, that secure cryptographic algorithms, like AES in this case, are used in an insecure way. ”

“The research of the SySS GmbH showed that the password verification works in the following way:

1. The user-supplied password is converted from ASCII to WideChar

2. A MD5 hash of the WideChar password is calculated

3. A ASCII-HEX representation of the MD5 hash is generated and also converted to

WideChar; the first half of the result serves as key in the next step

4. With the generated key, 32 bytes of data, which have been read from the USB flash

drive before, are decrypted via AES-256-ECB

5. If the result of the decryption corresponds with a specific value, the password is correct and the protected data storage of the USB flash drive can be accessed

In the course of the security analysis it was found out that the result of the decryption in step 5 was always the same when supplying the correct password. This did not even change when a new password was set or when the USB flash drive was formatted.

The reason for this is that when setting a new password, always the same 32 bytes are encrypted via AES-256-ECB and therefore must consequently be the result of the decryption during the password verification process. ”

“In order to gain access to the protected mass storage of the USB flash drive, one just has to make sure that the password verification always results in these 32 bytes. In the further login process those 32 bytes are used for unlocking the protected partition of the USB flash drive.” and “makes it possible to gain access to all stored data by just a few mouse clicks fairly easily ”

ThumbDrive CRYPTO

This one also is very interesting :

“ThumbDrive R CRYPTO ensures that 100% of the storage area is encrypted.

With this 256-bit hardware AES engine, the ThumbDrive R CRYPTO offers

one of the most advanced security solutions available today ”

Here are the main parts :

“A further analysis showed that the device configuration including the administrative password is stored in a special memory of the USB flash drive. When the program SecureLogin.exe is started, the device configuration is read from this memory using a controller-specific command. In each reading operation one 8K data block (8192 bytes) is copied from the USB flash drive to the host PC. ”

“The administrative password is stored in an encrypted manner (marked red) along with

the used encryption key (marked green). To be precise, only the first eight characters

of the password are encrypted (byte sequence 7FAB977474776DA6), the remaining six

characters are stored in plaintext (byte sequence 627230783432, which is the ASCII

string “br0x42”).

As figure 4 illustrates, the used encryption algorithm is very simple and completely

reversible in contrast to cryptographically secure one-way hash algorithms. The first 8

characters are encrypted by adding the value of the one byte long encryption key (26h)

followed by a bitwise not-operation. ”

“In the course of the security analysis, the SySS GmbH developed a proof-of-concept software tool for demonstration purposes. This software tool named ThumbDrive CRYPTO Unlocker extracts the correct administrative password and automatically unlocks the protected mass storage device of a TREK ThumbDrive CRYPTO USB flash drive with a single mouse click. Figure 10 shows this proof-of-concept software tool in action.”

Source : http://www.syss.de/fileadmin/ressources/040_veroeffentlichungen/dokumente/SySS_Cracks_Yet_Another_USB_Flash_Drive.pdf

QNAP crypto Backdoor

Even when products rely on well engineered software like LUKS, it can be poorly implemented or intentionally backdoored. For instance in this case, when the user creates a new key, a second one is generated, obfuscated and then stored in the flash memory. Accessing the data can be easily done by reading the “backup” key, and de-obfuscating it (and everything is documented here http://www.baseline-security.de/downloads/BSC-Qnap_Crypto_Backdoor-CVE-2009-3200.txt).

“When a user selects in the web GUI to encrypt a hard drive, he has to supply a passphrase of 8-16 length. The Qnap solution is to use the underlying Linux standard mechanisms of LUKS to create the encrypted partition. The user supplied passphrase is crypt(3)'ed with the MD5 salt of $1$YCCaQNAP$ and used as the initial key to access the LUKS master key for the drive.

Additionally, the system creates a second key, which is 32 characters long and contains all low case characters and the numbers 0-9, and adds it to the LUKS keyring: /sbin/cryptsetup luksAddKey /dev/md0 /tmp/temp.wLbZNp --key-file=/tmp/temp.rUBxFo”

Source : http://www.securityfocus.com/archive/1/506607

(2010)

"Kingston Technology has asked customers to return certain models of its DataTraveler secure flash drives for an update, following the discovery of a flaw in the memory sticks.

The affected models include the DataTraveler BlackBox; DataTraveler Secure — Privacy Edition; and DataTraveler Elite — Privacy Edition."

Source: http://www.zdnet.co.uk/news/security-threats/2010/01/04/kingston-flash-drives-suffer-password-flaw-39963327/

Validated FIPS 140-1 and FIPS 140-2 Cryptographic Modules

List here :
http://csrc.nist.gov/groups/STM/cmvp/documents/140-1/140val-all.htm

(Fr) Intervention du Général Jean-Louis Desvigne à l'INSA Lyon : extraits

Quelques passages d'une intervention du Général Jean-Louis Desvigne à l'INSA Lyon (2010), un vrai trésor de petites anecdotes et une vision très intéressante d'un acteur de premier ordre dans le domaine.


Une grosse partie concernant la "crypto war" en France dans les années 90 est reproduite ci-dessous (beaucoup de détails sur le côté US sont disponibles, mais rarement du côté français, surtout d'une telle qualité).

"Avec son télégraphe optique à bras articulés, Chappe introduit également un système
de codage sophistiqué et tenu secret interdisant les interceptions puisque la plus grande
partie des opérateurs ignore la signification des signaux qu’ils reproduisent.
Pourtant, ce système donnera lieu au premier acte de piraterie que l’on connaisse en
matière de système d’information. En effet deux banquiers ayant pour complices deux
opérateurs vont pendant des années utiliser le télégraphe à leur profit en se faisant
transmettre durant la séquence des messages de service (répétition des messages erro-
nés), des informations sur le cours des vins et autres denrées entre Tours et Bordeaux.
Soit au minimum avec 24 heures d’avance sur les autres boursicoteurs servis par la
presse. Pris de remords sur son lit de mort, l’un des compères crachera le morceau et
son complice sera poursuivi sans pouvoir être condamné, ce type de délit n’étant pas

encore codifié. "

"Mais la fin du siècle voit un nouvel essor de la cryptographie, sans doute imputable à la

défaite de 1870. Bazaine ne disposait que d’un chiffre dérisoire et ses dépêches étaient

facilement décryptables.

D’une part on redécouvre les vertus de procédés anciens, d’autre part on s’attache à

définir les critères permettant de sélectionner les systèmes de chiffrement pour que

ceux-ci soient réellement opérationnels.

En effet, le besoin de chiffrement apparaît de plus en plus incontournable avec l’utilisation

d’une part des télécommunications électriques (télégraphe terrestre puis câbles sous-

marins qui deviennent malgré les conventions internationales les premières cibles en cas

de conflit) d’autre part de la TSF dont on se rend assez vite compte que ses ondes, ne

s’arrêtent pas aux frontières."

"Le Chiffre durant le premier conflit mondial

La Première Guerre Mondiale va encore voir s’affronter les cryptologues sur des pro-

cédés essentiellement manuels. Avec elle coïncide en effet la fin de l’âge artisanal et le

début de l’âge industriel de la cryptologie.

C’est sur une imprudence fatale que débute le conflit sur le front de l’Est. En effet suite

à des problèmes logistiques, les nouveaux codes russes n’ont pu être approvisionnés et

l’État-major se trouve obligé de communiquer en clair ses ordres par radio. Il s’en suit

la cuisante défaite de Tannenberg et ses conséquences. Les généraux allemands ne se

vanteront jamais de l’avantage dont ils ont bénéficié. Les Russes avaient pourtant bonne

réputation à la fois en cryptologie et dans l’art de récupérer les codes par des moyens

« classiques ». Le Cdt Olivari, brillant cryptologue français envoyé à Moscou pour as-

surer la coopération franco-russe en cryptologie put en témoigner. Il se trouva en effet

très dépité quand au bout d’une année d’efforts il présenta le résultat de son travail au

général dont il relevait : la reconstitution d’un des principaux codes allemands. Celui-ci au

lieu de s’extasier lui dit : « Il ne fallait pas vous donner tout ce mal, le voici, nous l’avons

acheté ! »."

"Quoi qu’il en soit, si l’intérêt de la cryptologie a pu apparaître déterminant, les services

qu’elle avait rendus, sous prétexte d’en assurer le secret, furent vite oubliés. Même si

les Américains firent appel à Painvin pour former l’American Black Chamber, l’embryon

de la future NSA aux ordres du LCL Yardley, ce n’est pas pour autant qu’en France on

capitalisa sur ces enseignements. Et de ce fait, la France allait aborder la seconde guerre

mondiale dans un état de faiblesse doublé d’une mésentente entre services qui ne fut

certainement pas étrangère au désastre de 1940."

"La deuxième moitié du XXe siècle débuta avec l’électronisation des machines.

L’OTAN, cette organisation née après la guerre, lança en effet une compétition pour do-

ter l’alliance d’une nouvelle machine à chiffrer les messages télégraphiques. Cette compé-

tition coïncida avec la volonté de la France de renouveler son parc cryptologique. C’est la

machine Myosotis premier équipement entièrement transistorisé qui porta les couleurs

de la France. Celle-ci fut évaluée et jugée apte mais c’est une machine américaine la KW7

qui remporta le marché.

Bien vite la numérisation permit d’envisager d’une part de chiffrer simplement toutes

les formes d’information : la voix, les images fixes puis animées et toutes les sortes de

données, d’autre part de chiffrer globalement toute une artère véhiculant plusieurs com-

munications simultanément. Tel fut le cas du système RITA de la société Thomson que

nous réussirons à vendre à M. Reagan..."

"La véritable révolution viendra avec l’arrivée tardive des clefs publiques dans les armées

et les fameuses infrastructures de gestion de clefs (IGC ou PKI)."

"Mais revenons quelques instants aux innovations technologiques qui permirent à la cryp-

tologie de changer d’âge.

L’électrification allait avoir une conséquence inattendue et terrifiante. Les parasites géné-

rés par les variations brusques de courant dans les téléimprimeurs notamment allaient

dans certaines circonstances ruiner tous les efforts déployés pour rendre hermétique

les messages. Ces parasites pouvaient en effet être corrélés aux caractères transmis ou

frappés simplement sur un clavier. Un appareil de réception permettait alors de recons-

tituer à distance le texte pendant qu’on était en train de le chiffrer. C’est le phénomène

qui dans le jargon de l’OTAN va être qualifié de menace TEMPEST et qui s’applique à

tous les équipements fonctionnant à l’électricité. Notons que la compromission peut se

propager à très longue distance si par malheur le signal parasite émis vient à se coupler

fortuitement à un conducteur ou plus grave à un moyen de communication."

En parlant d'émanations électromagnétiques, citons la (présumée) opération STOCKADE

http://de.wikipedia.org/wiki/Operation_STOCKADE

De cryptome "Canadian Communications Security Board policy paper expands COMSEC mission to include TEMPEST; British intelligence conducts HIJACK attack on conducted signals generated by French diplomatic cipher machine(London) in Operation Stockade, showing importance of red/black separation; FBI conducts operation similar to Stockade against French embassy in Washington."

"Par conséquent, comme je l’ai déjà dit, la cryptologie ne peut apporter à elle seule la

sécurité.

Il est indispensable de disposer de plate-forme de confiance dûment évaluée et certifiée."

"Le contrôle de la cryptographie par les États

[...]

Une fois le diable sorti de sa boîte difficile de l’y faire rentrer. Les « services » n’avaient

plus que leurs yeux pour pleurer. Pendant quelques années ils ont essayé de freiner la

diffusion du DES mais c’était peine perdue.

[...]

Les services, plus entraînés à recueillir les signaux électromagnétiques que les octets

sur Internet, y perdirent leur latin. Zimmermann fut poursuivi par l’administration et se

défendit en prétendant être au service de tous les dissidents opprimés de la Planète

notamment chinois. Une certaine suspicion entoura les versions suivantes de ce logiciel

lorsque Zimmerman récupéra son passeport mais PGP reste un système très utilisé.

La période 1990-2000 est en effet celle de la montée d’Internet et du besoin bien vite

ressenti d’assurer la protection des messages qui transitent sur ce réseau structurelle-

ment insécurisé. Mais c’est aussi celle qui voit les questions de sécurité intérieure prendre

le pas sur les questions de sécurité extérieure après la chute du mur."

"Or il se trouve que la France très tôt avait pris la mesure de cette menace croissante.

Rappelons que nous fûmes frappés par les attentats de 1986. C’est pourquoi la régle-

mentation sur la cryptologie qui prend en compte la possibilité pour les criminels et ter-

roristes de tous genres d’utiliser la crypto pour dissimuler leurs crimes ou la préparation

de ceux-ci, va apparaître comme l’une des plus restrictives au moment où tout le monde

ne parle que d’ouverture et de liberté et où la vague de l’Internet va faire naître des

espoirs complètement fous faisant perdre le sens commun à beaucoup.

Pour la communauté qui s’intéresse à l’intelligence économique, l’épopée de la libéra-

lisation de la réglementation cryptologique ne manque pas d’intérêt. Car presque tous

les acteurs vont être amenés à prendre parti parfois contre leurs intérêts pour aboutir

à une situation aujourd’hui bien pire que celle qui était dénoncée à l’époque en matière

de liberté individuelle.

En effet au début de la bulle Internet, les tenants de la sécurité (la police et la DGSE pour

simplifier) vont tout faire pour bloquer le développement de la cryptologie comme au

début des années cinquante, n’acceptant que contraints et forcés quelques assouplisse-

ments. La police plus que la DGSE d’ailleurs car elles ne partent pas à égalité : casser du

40 bits en 1995 est hors de portée de la première. Or celle-ci refuse soudain de s’en

remettre à ses collègues de la Défense en cas de besoin, commence à exiger ses propres

moyens d’attaque et se met à refuser toutes les demandes d’autorisation qui lui sont

soumises y compris, c’est un gag, celles d’organismes travaillant pour la Défense.

C’est dans ces conditions que, venant d’être nommé à la tête du SCSSI, je suis amené à

proposer un assouplissement de l’application de la réglementation existante suivi d’une

inflexion de celle-ci vers une libéralisation raisonnable poursuivant la voie déjà engagée

précédemment :

- En 1986 des dérogations avaient été accordées au régime strict pour les applications

commerciales par exemple pour les cartes à puce dont notre pays était en train de

devenir le champion.

En 1990, à la loi de réglementation des télécommunications avait été accroché un

wagon sur la cryptologie instituant plusieurs régimes, dont un purement déclaratif

pour les équipements n’assurant que des fonctions de signature et ne risquant pas

de mettre en danger la Défense nationale.

Je proposai d’aller plus loin en introduisant un régime de liberté et en instituant surtout

le régime des fameux « tiers de confiance ». Cette loi pouvait se résumer ainsi :

L’utilisateur pouvait recourir :

- à des moyens cryptologiques de force modérée décryptables par force brute (par

essais systématiques) par les services de l’État

- à des moyens cryptologiques forts à condition que ses clefs soient gérées par un

organisme agréé qui pouvait dans un cadre strictement défini remettre les clefs ou

procéder aux opérations de déchiffrement à la demande d’un juge.

Cette solution, à l’étude au niveau européen, semblait le mieux à même d’assurer le plus

juste équilibre entre les aspirations légitimes des citoyens à bénéficier de garanties pour

la protection de leur vie privée ou des entreprises à se protéger et le besoin non moins

légitime de conserver à la Justice et à son bras armé, la Police, les capacités d’investigation

nécessaires au maintien de l’ordre public et de la sécurité du pays.

Les ministères sécuritaires renâclèrent mais l’enthousiasme de ceux chargés de l’Indus-

trie, des PTT et de la Recherche fut tel que Matignon décida de passer directement à

cette solution en profitant de la révision de la loi de réglementation des télécom. Ce fut

chose faite au printemps 1996. Mais comme toujours, ce furent les décrets d’application

qui furent longs à accoucher. Les sécuritaires s’acharnèrent en effet à charger la barque

des tiers de confiance qui introduisaient un guichet auquel il fallait montrer patte blanche

pour procéder à des interceptions dont on sait bien qu’elles peuvent être pratiquées

sans de telles formalités.

Or malgré les charges qui avaient été imposées à cette profession, une vingtaine de can-

didats étaient déjà sur les rangs.

Si l’annonce de cette libéralisation avait permis de faire baisser la pression, (F. Fillon avait

annoncé : « à la fin de l’année 1997 il y aura déjà deux tiers agréés ») le retard pris dans

la publication des décrets qui devaient, de surcroît, être soumis à Bruxelles, relança la

polémique et les lobbies, hostiles à toute réglementation autre que celle, incontournable,

de l’administration américaine, redoublèrent leurs actions :

« LIBÉREZ la Crypto ! » proclamait en une le Monde Informatique. « La France crée le

cyber goulag du XXIe siècle » s’indignait un avocat du Barreau de Paris défenseur des

intérêts de Microsoft dans le Wallstreet Journal.

Pourtant, du côté de l’étranger, tout le monde était attentif à ce que nous étions en train

de mettre en place. La plupart des pays percevaient le danger d’une cryptologie débri-

dée et nous enviaient d’avoir un texte de loi traitant ce sujet.

Russes, Japonais, Coréens, Singapouriens étaient venus nous voir. Notre législation avait

été à maintes reprises exposée dans les forums de l’OCDE ou du G8. Sans parler des

pays majeurs en cryptologie dont les agences se réunissaient périodiquement.

Même les États-Unis qui s’étaient vus refuser le système de Key escrow connu sous le

nom du composant miracle CLIPPER CHIP qui devait résoudre le problème sous l’admi-

nistration Clinton commençaient à s’intéresser à notre solution. De grandes firmes nous

dépêchaient leur armada d’avocats pour examiner les conditions d’une « compliance »

de leur solution avec la loi française...

Barbara Mac Namara, le N° 2 de la NSA pouvait alors me présenter à son nouveau

boss en disant : « vous savez, le SCSSI est un petit service, mais il est terriblement actif ! »

Hélas les décrets tardaient et les lobbyistes passèrent à la vitesse supérieure d’autant

qu’intervint un événement politique qui allait tout bouleverser : une dissolution « hasar-

deuse »...

Pour la première fois en France la cryptologie s’invita dans le débat politique. Cela avait

été le cas précédemment dans la campagne présidentielle aux États unis. Alors qu’une

conseillère de l’Élysée, côté Chirac, avait renoncé à faire aborder ce sujet, l’équipe Jospin

s’en occupa. Cela n‘eut aucune conséquence sur le résultat. Cependant durant l’été qui

suivit la victoire de la Gauche, le journal « Les Échos » publia un feuilleton entièrement

axé sur ce sujet : un conseiller de Jospin au terme d’un scénario crédible persuadait celui-

ci de libéraliser la crypto jusqu‘à 56 bits. Mon autorité de tutelle de l’époque m’avoua

qu’il n’avait pas songé à faire enquêter sur les origines de ce qui m’apparaissait comme

un élément d’une opération d’intelligence économique entamée depuis plusieurs mois.

Effectivement au cours de sa conférence à Hourtin, Lionel Jospin annonça son intention

en tout point conforme au scénario du feuilleton !

Le gouvernement nomma un expert pour évaluer les conséquences de cette évolution.

Celui-ci allait rendre un rapport très documenté chiffrant le coût de cette libéralisation

en terme d’investissements pour le service chargé de retrouver malgré tout le clair des

messages interceptés. Selon la rapidité visée, l’investissement variait déjà de quelques

dizaines de millions à un milliard de francs. Il faut dire qu’une chose est de casser une

clef de 56 bits à l’occasion d’un challenge pour lequel on pouvait réunir via l’Internet

quelques milliers d’ordinateurs à travers le monde, une autre est de décrypter de ma-

nière opérationnelle plusieurs dizaines ou centaines de messages quotidiennement avec

un enjeu de vie ou de mort par exemple si l’on pressent la commission imminente d’un

attentat.

Mais à l’époque une clef de 56 bits pouvait toutefois apparaître comme le seuil raison-

nable pour une protection d’intérêts non stratégiques. La loi, du reste, avait prévu un

mécanisme de révision de ce seuil en fonction de l’évolution des technologies. L’expert

gouvernemental rendit son rapport en recommandant cette nouvelle limite. Du reste

c’est ce que réclamaient les firmes américaines pour se simplifier la tâche puisque c’était

ce qu’elles étaient autorisées à exporter.

Quelques mois passèrent sans que le sujet soit remis à l’ordre du jour. Cependant fin

1998 un accord international devait être renégocié celui de l’arrangement de Wassenar.

La délégation française continua sur les errements en vigueur et défendit sa position très

stricte habituelle.

Or en janvier un comité interministériel allait prendre une position à 180° de celle-ci à la

surprise générale. L’équipe Jospin annonça en effet (avec l’accord de l’Élysée) la libéralisa-

tion du 128 bits ! Cette annonce fut généralement saluée à travers le monde comme une

décision courageuse et qui allait dans le sens de la liberté de communiquer et surtout de

faire des affaires avec le commerce électronique.

Pourquoi être allé au-delà de ce qui était réclamé ? D’abord parce que bien que le pro-

fesseur ait expliqué de manière imagée la différence colossale pouvant exister entre des

« 2 » affecté d’exposant différents, il n’est pas certain que tous les responsables impli-

qués aient compris ce que cela signifiait :

- Casser 40 bits disait le bon professeur, c’est vider le lavabo avec un dé à coudre,

- Casser 56 bits, c’est la baignoire toujours avec le même dé à coudre,

- Casser 128 bits, c’est l’Océan

Pourtant le ministre des finances, grand partisan de la libéralisation, confia au Point :

« s’agissant des services de sécurité, je leur donnerai les moyens de casser ce qu’on aura

libéré ». Et montrant qu’il confondait allègrement les systèmes symétriques qui utilisent

des clefs courtes avec les systèmes asymétriques qui utilisent des clefs longues, il ajoutait :

« Il y a des truands qui utilisent des clefs de plus de 1 000 bits alors que nous n’autorisons

que des clefs de 40 bits ! »

Un polytechnicien facétieux calcula que les moyens informatiques de l’époque néces-

saires pour casser du 1 000 bits feraient monter la température de la planète de 3 °C...

L’argument qui l’avait emporté était stupéfiant de naïveté : l’industrie française de la cryp-

tologie allait booster ses ventes grâce à cette manœuvre hardie. Le résultat dépassa mes

prévisions les plus pessimistes. L’industrie américaine en profita pour déverser toute sa

production de solutions soit disant ultra-sécurisées en fait aussi efficaces qu’un placebo

vis-à-vis de ceux qui continuaient à en superviser la conception et la commercialisation.

L’industrie française de son côté, éberluée par ce changement de politique totalement

inattendu, ne se précipita pas et laissa la place aux grands éditeurs habituels. Il fallut at-

tendre des années pour que certains se refassent une petite niche.

Malgré les mises en garde, les conseillers avaient oublié une chose : en cryptologie, la lon-

gueur des clefs n’est qu’un des éléments donnant une indication sur la force du procédé.

Bien plus importante est la manière dont un procédé mathématiquement hermétique

est implanté et utilisé dans un système. De multiples failles peuvent en effet ruiner la belle

théorie. Parfois celles-ci sont accidentelles, d’autres sont mises en place volontairement

à la demande des « services » pour leur permettre de contourner le recours aux essais

systématiques aujourd’hui impraticables. Un document recueilli suite à une erreur mo-

numentale de transmission d’une célèbre firme montre à quel point nous pouvons faire

confiance à cette production venue d’outre Atlantique.

De fait, peu après cette libéralisation lors d’une réunion des SR à Washington, le patron

de la NSA en entamant la réunion s’exclama : « Et maintenant que la France a renoncé

que faisons-nous ? » Un grand silence s’en suivit. Je tins tout de même à répondre que

je les avais tous prévenus et que si les autres pays ne s’étaient pas contentés d’attendre

pour voir mais qu’ils avaient soutenu notre initiative, nous n’en serions pas là !

Quant à ce qu’il fallait faire, c’était simple : il suffisait de remettre au goût du jour les

vieilles coutumes de connivence avec les industriels de l’informatique et les grands édi-

teurs de logiciels pour conserver cette fameuse maîtrise de l’information sans plus se

soucier de légalité comme avaient tenté de le faire les initiatives Clinton et la nôtre.

À la différence près qu’une politique fondée sur le droit et la transparence mettait à éga-

lité tous les pays tandis qu’une solution basée sur les relations occultes avec les industriels

ne favorisait que les pays sur le sol desquels se trouvaient ces industriels.

À ce petit jeu facile à comprendre mais que n’avaient pas voulu voire nos politiques ou

au contraire qu’avaient parfaitement saisi certains politiques, la Justice française n’était pas

gagnante. Même la Ligue des droits de l’homme s’en était émue, qui avait demandé dans

un tract que le SCSSI soit chargé de labelliser les produits de sécurité qui inondaient le

marché sans aucune garantie de qualité..."

"Et survint le 11 septembre...

[...]

Après l’euphorie de la fin des années quatre-vingt-dix qui avaient vu l’explosion du

Net et l’annonce de son cortège de bienfaits, le 11 septembre puis l’éclatement de la

fameuse bulle gonflée à l’argent virtuel, firent regarder d’un autre œil le réseau des ré-

seaux. Celui-ci commença à soulever toutes les inquiétudes que l’on avait volontairement

occultées : l’Internet, comme toute nouvelle technologie, pouvait (comme c’est étrange !)

être détourné à des fins délictueuses et criminelles... Il n’était plus politiquement incor-

rect de le dire. Les enfants étaient en danger, nos comptes en banque étaient menacés,

la désinformation régnait, Al-Quaïda pouvait refrapper, bref, il fallait nous protéger. Là on

ne lésina plus sur les moyens.

De l’autre côté de l’Atlantique les mouvements traditionnellement réputés pour dé-

fendre les libertés se crurent obligées de se résoudre au silence, tout le monde vota le

Patriot act.

Les firmes ressortirent avec délectation leurs concepts anti piratage permettant de

contrôler de fait tous les ordinateurs avec par exemple les fameuses puces dites Fritz du

nom du sénateur qui en fit la promotion.

En France ce fut la loi pour la sécurité quotidienne suivie d’une kyrielle d’autres disposi-

tions toutes plus liberticides les unes que les autres, jusqu’aux deux dernières HADOPI

et LOPPSI. Cette dernière autorisant les services spécialisés à utiliser des spywares, ces

logiciels espions qui permettent de prendre la main sur votre ordinateur et récupérer

vos données.

Rétrospectivement les quelques journalistes braillards qui s’étaient opposés jadis aux

tiers de confiance doivent se dire que finalement, c’était le bon temps !

Mais d’un point de vue sécuritaire où en sommes nous ? L’utilisation de la cryptologie

est affichée comme étant libre mais les moyens cryptologiques sont désormais des stan-

dards parfaitement connus et nous avons vu que leur efficacité n’est réelle que dans un

environnement de confiance difficile à trouver aujourd’hui. Même les services gouverne-

mentaux sont vulnérables.

Les substituts à la politique des tiers de confiance sont peu crédibles et dangereux.

D’abord dans la nouvelle loi (LCEN 2004) on demande au suspect de fournir le clair ou

les clefs de ce que l’on a saisi sur son ordinateur ou des communications interceptées

sous peine d’aggravation de la sanction. Or :

1 la jurisprudence de la cour européenne des droits de l’homme fait qu’on ne peut

obliger un prévenu à fournir la corde qui doit le pendre.

2 Je me souviens d’une certaine affaire qui a défrayé la chronique dans laquelle une

fameuse cassette a été vainement recherchée chez un protagoniste d’une haute

pointure. « Une cassette ? Quelle cassette ? ».

3 Il est la plupart du temps impossible techniquement au particulier de fournir ces

éléments.

Ensuite il est précisé que le juge peut faire appel à des moyens de l’État couverts par

le secret de Défense pour retrouver le clair d’un cryptogramme. Ainsi serait-il possible,

dans un contexte où la démocratie aurait quelque peu reculé, que l’on puisse fabriquer

de fausses pièces à conviction comme dans le cas de l’affaire Dreyfus, sans avoir à faire la

preuve de la relation biunivoque entre le clair et le cryptogramme.

Il est donc difficile de mon point de vue de voir dans cette évolution de la réglementation

sur la cryptologie un progrès de la démocratie."