Chez Exabeam, nous ne sommes pas seulement intéressés par le développement de la cybersécurité la plus récente, nous sommes également fascinés par ce que nous pouvons apprendre des technologies de sécurité plus anciennes. C’est pourquoi nous avons récemment créé un calendrier Histoire de la cybersécurité 2019. Chaque mois présente des dates clés de l’histoire de la cybersécurité, ainsi qu’une question-questionnaire connexe et d’autres sujets d’intérêt survenus au cours de ce mois au cours des années passées.
Il s’agit du quatrième d’une série d’articles présentant le Calendrier de la cybersécurité où nous examinons la montée et la chute de la puce Clipper. Nous publierons plus d’historique sur les dates de cybersécurité que nous avons recherchées tout au long de l’année. Si vous pensez que nous avons raté une date importante (ou que quelque chose ne va pas), veuillez nous en informer. Vous pouvez également partager vos commentaires avec nous sur Twitter.
La vie privée comptait aussi à l’époque de vos parents
Que ressentiriez-vous si vous découvriez que votre téléphone contenait une puce spécialement conçue pour transmettre vos communications privées au gouvernement? Vous seriez probablement choqué et exigeriez des réponses du fabricant, au minimum. Aujourd’hui, les gens sont pénalisés par des écoutes relativement mineures, telles que les spécialistes du marketing qui utilisent l’historique de navigation de leur ordinateur ou le GPS de leur téléphone portable pour leur fournir de la publicité ciblée. Imaginez maintenant ce que les gens ressentaient dans les années 1990 lorsque le gouvernement américain a développé et promu un chipset conçu avec une porte dérobée intégrée.
Le 16 avril 1993, la Maison Blanche a annoncé la soi-disant « puce Clipper ». »Officiellement connu sous le nom de MYK-78, il était destiné à être utilisé dans des appareils de communication sécurisés tels que les téléphones cryptographiques, qui protègent les appels contre l’interception en utilisant des algorithmes et des clés cryptographiques pour chiffrer et déchiffrer les signaux. L’algorithme cryptographique de la puce, connu sous le nom de Skipjack, a été développé par la National Security Agency (NSA), l’agence de renseignement militaire profondément secrète chargée d’intercepter les communications du gouvernement étranger et de briser les codes qui protègent ces transmissions.
Une clé d’unité secrète y était programmée lors de la fabrication de chaque puce Clipper. Étant donné que chaque puce avait son propre numéro de série et son unité de clé, chaque dispositif de communication sécurisé utilisant la technologie serait unique.
Mais dans le cas de la puce Clipper, la partie « sécurisée » ne s’appliquait pas vraiment au gouvernement. Dans un système de communication sécurisé comme un téléphone crypté, disposer des bonnes clés cryptographiques permet à un téléphone de déchiffrer les signaux vocaux afin que la partie réceptrice puisse entendre l’appel. Avec la puce Clipper, les fabricants d’appareils devaient remettre les clés cryptographiques au gouvernement. De toute évidence, l’intention était de permettre aux services de renseignement et d’application de la loi tels que la CIA et le FBI de décrypter les appels vocaux à des fins de surveillance.
Alors qu’aujourd’hui, il ne semble pas que l’on annonce publiquement quelque chose, le concept a au moins tenté de donner un léger clin d’œil aux droits des gens à la vie privée. Pour assurer une certaine protection contre l’utilisation abusive par les organismes d’application de la loi, les développeurs ont convenu que la clé cryptographique de chaque puce Clipper serait détenue conjointement par deux agences fédérales. Essentiellement, ils divisaient la clé d’unité en deux parties, et chaque moitié serait donnée à l’une des agences. La reconstruction de la clé d’unité réelle nécessitait d’accéder à la base de données des deux agences, puis de reconstituer les moitiés à l’aide d’un logiciel spécial.
Les défenseurs de la vie privée et les cryptographes ont rapidement décidé de couper les ailes de la puce
Sans surprise, un contrecoup a rapidement suivi l’annonce de la puce Clipper. Des organisations de défense des droits à la vie privée telles que l’Electronic Frontier Foundation et l’Electronic Privacy Information Center ont rechigné à la proposition de puce Clipper. Ces opposants et d’autres ont affirmé que cela soumettrait les citoyens ordinaires à une surveillance illégale du gouvernement.
Dans un article de 1994, le New York Times est allé jusqu’à décrire le contrecoup parmi les technologues de la Silicon Valley comme la première guerre sainte de l’autoroute de l’information.
» Les Cypherpunks considèrent la tondeuse comme le levier que Big Brother utilise pour faire levier dans les conversations, les messages et les transactions de l’ère informatique. Ces vénérés de Paul de haute technologie tentent de mobiliser l’Amérique contre le mauvais présage d’un « État policier du cyberespace », comme l’a dit l’un de leurs jérémiades Internet. Se joindre à eux dans la bataille est une force formidable, y compris la quasi-totalité des industries de la communication et de l’informatique, de nombreux membres du Congrès et des chroniqueurs politiques de tous bords. »
D’autre part, la Maison Blanche de Clinton a fait valoir que la puce Clipper était un outil essentiel pour l’application de la loi. Lorsque d’autres ont suggéré qu’il pourrait être un outil pour les terroristes, l’administration a déclaré qu’il augmenterait en fait la sécurité nationale parce que le gouvernement pourrait écouter leurs appels.
La communauté cryptographique s’est également plainte que le cryptage de la puce Clipper ne pouvait pas être correctement évalué par le public car l’algorithme de Listao était classé secret. Cela pourrait rendre les appareils d’équipement de communication sécurisés moins sûrs que ceux annoncés, ce qui aurait un impact sur les entreprises et les particuliers qui en feraient confiance.
En 1993, À & T, Bell a produit le premier et le seul appareil téléphonique basé sur la puce Clipper. Un an plus tard, Matt Blaze, chercheur chez AT & T, a publié une faille de conception majeure qui pourrait permettre à une partie malveillante de falsifier le logiciel. Cette faille semblait avoir été le dernier clou dans le cercueil de la technologie. Le dispositif AT & T était la première et la seule technologie de communication sécurisée à utiliser la puce Clipper; en 1996, la puce n’était plus.
En regardant la réponse forte à la puce Clipper et sa disparition rapide, nous pouvons apprendre un peu de l’histoire sur la cybersécurité aujourd’hui. Les technologies de cybersécurité doivent exister dans un monde pour de vraies personnes, et les gens d’aujourd’hui se soucient beaucoup de la vie privée. Que les innovations proviennent du gouvernement ou de l’industrie, elles doivent trouver un équilibre entre la sécurité et les préoccupations liées à l’utilisation abusive de la technologie. Après tout, la plupart des gens ne sont pas des criminels ou des terroristes. L’intégration de technologies de sécurité défectueuses dans des systèmes considérés comme » sécurisés » peut également rendre vulnérables les individus et les entreprises qui font confiance à ces outils.