Philip Zimmermann

Cartoon of Phil from Computer Power User Magazine

Questions Fréquemment Posées

Depuis plusieurs années, je reçois par email ces questions récurrentes de la part d'utilisateurs de PGP, rédigées de façon différentes, jours après jours :

Q: Y a-t-il des portes dérobées dans PGP ? Allez, dites le moi, je ne le dirais à personne.

R: Non. Il n'y en a jamais eu, et il n'y en aura jamais, du moins aussi longtemps que je suis associé au produit. Je n'ai pas traversé tous ces ennuis pour finalement voir mon produit corrompu. En outre, nous publions le code source, donc vous pouvez vérifier par vous même.

Par ailleurs, si vous lisez certains de mes écrits politiques (comme mon Témoignage au Sénat, Pourquoi j'ai écrit PGP, et la préface d'un de mes livres), vous aurez un aperçu de mes valeurs politiques et motivations, pourquoi j'ai développé PGP, et pourquoi je n'autoriserais jamais une porte dérobée dans PGP.

L'équipe de personnes qui contribue à PGP partage les mêmes valeurs. Ils travaillent sur PGP parce qu'ils croient en PGP. Ils ne vont pas mettre de porte dérobée dans PGP. J'ai travaillé des années avec eux, et ils sont aussi engagés que moi.

Q: Je présume que vous avez créé une porte dérobée dans PGP à cause des attaques du 11 Septembre. Est-ce exact?

R: Non, les attaques n'ont pas changé mes convictions à propos de l'intimité et des libertés civiles. Jetez un oeil à ma réponse à un article post-9/11 du Washington Post.

Q: J'ai entendu des rumeurs disant que vous avez conclu un marché avec le gouvernement américain pour installer une porte dérobée afin de ne pas être poursuivi pour avoir publié PGP. Est-ce exact ? Allez, vous pouvez me le dire, je n'en parlerais à personne, promis.

R: Ce que vous avez entendu est faux. Non, je n'ai conclu aucun marché, et ne l'aurais pas fais même si cela avais été ma seule façon de sortir de prison. Mais je n'ai pas eu du tout à négocier avec eux. Après trois ans d'enquête criminelle, ils ne m'ont pas accusé, parce que nous les avons battus.

Le gouvernement aurait eu des temps difficiles pour mener un procès criminel en 1996. Il y avait de sérieux risques avec le Premier Amendement. Ils ont aussi eu des problèmes pour apporter des preuves. Et il y avait un énorme problème politique à poursuivre une affaire de la sorte une année d'élections, étant donné le sentiment quasi unanime dans l'industrie informatique contre des poursuites. Tout n'arrive pas dans le monde comme le résultat d'une sombre conspiration. Parfois on gagne, tout simplement. Et c'était l'une de ces fois.

Parfois les gens me demandent si le gouvernement n'a pas choisi de ne pas me poursuivre parce qu'ils ont trouvé un moyen de cracker PGP, peut-être avec une cryptanalyse fantaisiste, sans que j'aie besoin de créer une porte dérobée. J'en doute fortement, pour de nombreuses raisons. Premièrement, si la NSA avait développé un moyen de casser PGP, ils l'auraient gardé bien caché, et n'en auraient certainement pas informé un procureur fédéral. La NSA ne ferait jamais confiance aux flics pour un secret de cette ampleur. EN outre, la popularité de PGP a été amplifiée par le harcèlement du gouvernement. Si la NSA pouvait le casser, cela aurait eu plus de sens pour eux d'attendre simplement les poursuites, ce qui aurait rendu PGP encore plus populaire, donnant à la NSA encore plus d'opportunités d'exploiter leur possibilité secrète. Donc si l'absence de poursuite est la seule preuve que vous avez de la capacité secrète de la NSA à cracker PGP, je pense que votre dossier s'écroule. La raison pour laquelle ils ne m'ont pas poursuivi, c'est simplement que nous les avons battus.

Q: J'ai entendu dire que seule la vieille version interdite de PGP est digne de confiance, comme la version 2.6.2. Toutes les versions ultérieures ont une porte dérobée, ce pourquoi le gouvernement les a approuvées. Est-ce vrai ? Allez, vous pouvez me le dire.

R: Non, non et non. Le numéro de version n'a rien à voir avec ce qu'il était interdit d'exporter hors des Etats Unis. Notez qu'aucune version de PGP n'a été en réalité "interdite". Il a toujours été légal de l'utiliser aux Etats Unis. Mais dans les années 90, l'exportation de tous les logiciels à cryptage fort était soumise à contrôles, y compris PGP. Si les versions d'aujourd'hui de PGP avaient été disponibles à l'époque, elles auraient été de la même façon soumise aux mêmes contrôles pour l'exportation. En 2000, le gouvernement américain a levé ces contrôles à l'export pour le cryptage fort, ce qui a rendu légal l'export de toutes les versions de PGP, y compris les anciennes, telle que la 2.6.2. C'est la loi qui a changé, pas le logiciel.

La loi a changé parce que l'industrie informatique U.S. (qui est l'industrie la plus importante et la plus puissante des Etats Unis) était soudée en faveur de l'abrogation de ces restrictions à l'export. Argent signifie influence politique. Après des années de lutte contre, le gouvernement a finalement rendu les armes. Si la Maison Blanche n'avait pas levé les contrôles à l'export, le Congrès et le système judiciaire étaient prêts à intervenir pour le faire à sa place.

Q: J'ai entendu dire que la police avait arrêté des criminels qui utilisaient PGP, et le seul moyen avec lequel ils ont pu le faire c'est en craquant PGP, donc il y a nécessairement une porte dérobée. Pouvez-vous le confirmer ? Allez, vous pouvez me le dire, je n'en parlerais à personne.

R: Il y a beaucoup de façons pour la police d'obtenir des indices sans cracker PGP. Parfois ils peuvent recouvrer des données depuis les fichiers en clair effacés. Parfois ils installent un mouchard dans le clavier de l'ordinateur cible pour récupérer les mots de passes tels que tapés. Parfois la cible utilise un mot de passe peu fiable que la police peut trouvé avec une attaque par dictionnaire. Parfois ils installent un micro dans le bureau. Parfois ils utilisent des indics. Et la liste est encore longue. Aucune de ces méthodes ne repose sur une faiblesse cryptographique ou une porte dérobée de PGP.

Q: J'ai entendu dire que le gouvernement américain n'aurait jamais laissé PGP être publié sans y avoir une porte dérobée. Y en a-t-il une ? Allez, dites le moi, je n'en parlerais à personne, promis.

R: Lisez sur mes lèvres : Il n'y a pas de porte dérobée dans PGP. N'avez-vous pas écouté ? En outre, n'avez-vous pas réfléchi à l'absurdité de recevoir une question telle par courrier électronique émanant d'un total inconnu, qui m'assure qu'il ne dévoilera pas mes présumées réponses à scandale ?

Ecoutez, si vous voulez à toute fin croire à la théorie de la conspiration, en voici une bien meilleure : Le gouvernement a commencé en réalité à répandre des méchantes rumeurs d'existence de porte dérobées dans PGP, parce qu'en fait ils ne savent pas comment le cracker. Quoi de mieux que d'effrayer les gens pour qu'ils ne s'en servent pas ? Et vous jouez leur jeu en étant tombé dans le panneau de leurs rumeurs bien orchestrées. Personnellement, je n'adhère pas à cette théorie non plus, parce qu'à la différence de certaines personnes, je ne vois pas de conspiration partout.

Q: Vraiment, je l'ai lu sur un chat, donc ça doit être vrai. Dites moi SVP, y a-t-il une porte dérobée ? Allez, vous pouvez me le dire.

R: Euh, là, il faut que j'y aille....