Crypto AG : comment monter un business avec du chiffrement troué

Crypto AG : comment monter un business avec du chiffrement troué

On peut envoyer ses agents modifier discrètement les produits de cryptographie pour y déployer une porte dérobée. Mais c’est compliqué et on risque souvent de se faire pincer. Avec Crypto AG, les services de renseignement américain et allemand sont néanmoins allés un cran plus loin : en rachetant purement et simplement le fournisseur de solutions cryptographiques, pour s’assurer que les portes dérobées étaient mises en place dès la conception.

C’est l’histoire racontée cette semaine dans un article du Washington Post, qui revient en détail sur le destin peu commun de cette société suisse qui commercialisait des dispositifs de chiffrement jusqu’en 2018. Parmi ses clients, on retrouve plus de 120 gouvernements ayant utilisé ses dispositifs pour chiffrer les communications entre les années 50 et les années 2000. Certains pays européens (Portugal, Italie, Grèce, Hongrie, Tchécoslovaquie et d’autres) sont ainsi cités dans les documents consultés par les journalistes du Washington Post, mais les outils de Crypto AG étaient principalement utilisés par des gouvernements d’Amérique du Sud et d’Afrique ou du Moyen-Orient.

publicité

Double bénéfice

Pour le renseignement américain, c’est une véritable aubaine : dans les années 80, les documents chiffrés via les outils de Crypto AG représentaient 40 % du total des documents décryptés par le renseignement américain.

Crypto AG a été fondée en suisse par Boris Hagelin, un émigré russe ayant fui aux Etats unis pendant la Seconde Guerre mondiale. Le premier succès de l’entreprise était un dispositif de chiffrement mécanique transportable, qui a permis à la toute jeune société de se faire connaître auprès de ses clients, principalement le gouvernement américain.

Les générations suivantes de machines perfectionnent ces outils de chiffrement, mais les Etats unis s’inquiètent de la popularisation d’outils trop perfectionnés chez leurs opposants : ils passent en secret un premier accord avec Hagelin dans les années 50, qui accepte de restreindre les ventes de ses outils de chiffrements à des pays alliés et de proposer uniquement des versions moins perfectionnées aux pays ennemis des Etats unis. Le renseignement américain accepte en contrepartie de financer l’entreprise.

Une petite entreprise qui ne connaît pas la crise

C’est le début d’un engrenage qui verra petit à petit les services de renseignement américain prendre de plus en plus de contrôle sur la société de Hagelin. Dans les années 60, le développement des circuits électroniques pousse un peu plus l’entreprise dans les bras du renseignement américain : les ingénieurs de la NSA eux-mêmes conçoivent alors les plans des nouvelles machines proposées par Crypto AG.

A la fin des années 60, le fondateur est vieillissant et cherche une porte de sortie pour lui et son entreprise. On apprend d’ailleurs dans l’article du Washington Post que les services secrets français, visiblement au courant des arrangements de Hagelin avec la NSA, ont été les premiers à lui proposer le rachat de cette société, mais ce sera finalement la NSA et les services de renseignement allemand qui reprendront en secret le contrôle de l’entreprise, via un montage opaque de société orchestré par un bureau de juristes basés au Liechtenstein.

Pendant les années suivantes, le renseignement allemand et la NSA se sont donc partagés à la fois les dividendes issus de la vente des dispositifs de Crypto AG et les informations sur les techniques de chiffrement utilisées par les clients de la société. Si l’article ne mentionne pas explicitement des portes dérobées dans les dispositifs vendus par Crypto AG, il indique que les modifications apportées par les services secrets aux algorithmes permettaient de simplifier considérablement le décryptage des communications interceptées.

C’est notamment grâce à cela que les Etats unis ont été en mesure de surveiller les réactions de l’Iran lors de la crise des otages de l’ambassade américaine en 79. L’utilisation des machines Crypto AG par le gouvernement argentin a également permis aux Etats unis de renseigner précisément son allié britannique pendant la guerre des Malouines en 82.

Toutes les bonnes choses ont une fin

Il faudra attendre les années 90 pour que la confiance à l’égard de la société suisse commence à s’amenuiser. Plusieurs pays, dont l’Iran, soupçonnent l’implication du renseignement américain au sein de Crypto AG et des employés de la société, qui n’étaient pas au courant du réel actionnariat de leur entreprise, commencent à émettre des doutes sur la qualité des outils de chiffrement. L’Allemagne, tout juste réunifiée, décide de se retirer complètement du projet en 1993 par crainte d’un scandale.

Dans les années 2000, Crypto AG continue d’opérer, mais n’est plus qu’un acteur mineur du marché : la société survit grâce aux financements des Etats unis, mais les clients ne se pressent plus à sa porte, la faute aux crises de confiance ayant émaillé les années 90. En 2018, la société est vendue à deux entités, CyOne Security AG qui reprend ses actifs basés en Suisse et un entrepreneur suédois. Interrogés par le Washington Post, les repreneurs assurent n’avoir jamais été au courant des liens étroits de Crypto AG avec les services de renseignement américain et allemand.

La Suisse a suspendu la licence d’exportation pour les repreneurs de Crypto AG et a mandaté un juriste pour se pencher sur l’affaire et remettre un rapport en juin. Les différentes agences de renseignement impliquées par l’article du Washington Post n’ont pas souhaité faire de commentaire.

Leave a Reply

Your email address will not be published. Required fields are marked *