Corée du Sud : une petite histoire de chiffrement

Mon histoire – qui m’a été signalée par un lecteur que je remercie au passage – commence il y a 17 ans, en 1999, lorsque le gouvernement sud-coréen constate avec inquiétude la croissance du commerce en ligne et, parallèlement, la faiblesse des moyens de protection du consommateur de l’époque et plus particulièrement du côté du chiffrement des échanges informatiques entre vendeur et acheteur, basés sur des clés de chiffrement à 40 bits.

Autrement dit, les dirigeants du pays sont partis du principe que le marché, seul, n’arriverait pas à surmonter un problème essentiel de sécurité des échanges dans leur pays. Et qui d’autre, mieux qu’un gouvernement, peut aider une population et un marché déclaré déficient à surmonter ses problèmes ? Vite, grâce à un ensemble de lois et de contraintes finement étudiées, résolvons le problème et mettons en place une architecture apte à apporter un peu plus de bonheur (et ici, de sécurité) dans ce monde décidément trop rocailleux !

Aussitôt dit, aussitôt fait : l’Agence de Sécurité Informatique sud-coréenne développe un standard solidement burné, avec un algorithme ad hoc (SEED) et une jolie clé de 128 bits. Cet algorithme spécifique n’était bien sûr pas disponible dans les implémentations de Secure Socket Layer (SSL), l’ensemble de logiciels utilisés alors dans les navigateurs internet de l’époque se contentant de respecter les standards mondiaux. En Corée du Sud, l’obligation d’utiliser SEED conduisit rapidement les différents acteurs du marché local à développer un ensemble d’ActiveX (petits greffons logiciels spécifiques à Internet Explorer) destinés à leur fournir ce chiffrement spécial.

Oui, vous avez bien lu : ActiveX.

Patatras.

Même si, par la suite (et jusqu’à la version 27), Firefox finira par implanter SEED dans les algorithmes disponibles pour le chiffrement des transactions en ligne, cette décision assez unique de la Corée du Sud aura durablement obligé tout le pays à conserver un attachement quasi-fétichiste avec Internet Explorer et les ActiveX, à peu près seuls capables de fournir SEED.

Or, comme chacun le sait maintenant assez bien, Internet Explorer n’est pas spécialement réputé ni pour sa robustesse, ni pour son excellent respect des standards du Web. Petit-à-petit, chaque année passant, la décision du gouvernement sud-coréen est de plus en plus apparue pour ce qu’elle était dès le départ : une erreur typique d’interventionnisme basée sur la définition bancale d’un problème mal identifié et l’apport d’une solution tordue implémentée n’importe comment.

En définitive, le remède fut rapidement plus handicapant que le mal, très putatif, qu’il était censé corriger : selon différentes études et plusieurs estimations crédibles, les restrictions sud-coréennes imposant l’usage de SEED (et, par voie de conséquence, les ActiveX le supportant) ont entraîné des pertes de conversion de 20% dans le commerce en ligne ; pour rappel, une conversion est le passage d’un acte de visite d’un client et d’une sélection d’articles sur un site web marchand à une vraie vente avec paiement à la fin. En somme, 20% de visiteurs de sites web coréens ne finalisaient pas leurs achats à cause d’une technologie dépassée ou inadaptée.

Entre temps en effet, les standards web se sont considérablement renforcés. Et alors que les autres navigateurs supportent de mieux en mieux HTML5, au point de pouvoir se passer depuis des années d’ActiveX et autres bricolages du même acabit, et des standards de chiffrement bien plus solides et en tout cas bien mieux reconnus que SEED, la Corée du Sud s’est retrouvée à devoir, piteusement, revenir en arrière : au mois d’avril 2015, le ministère des technologies de l’information sud-coréen a officiellement renoncé à supporter SEED plus longtemps, et encourage maintenant l’industrie à développer ses propres standards ou utiliser ceux qu’elle jugera aptes à répondre aux contraintes modernes.

Une erreur d’un gouvernement ne serait pas vraiment une erreur gouvernementale si, par dessus, des paquets d’argent public n’étaient pas soigneusement cramés en pure perte. Cette histoire n’échappe pas à la règle puisque pour aider les acteurs du marché à se débarrasser de la technologie vieillissante, le gouvernement a entrepris d’aider financièrement les sites en ligne qui acceptent de se mettre à jour et de laisser tomber les ActiveX, à hauteur de 100 millions de won (90.000 dollars environ).

Cette histoire est riche d’enseignements.

Bien sûr, elle montre encore une fois, s’il était nécessaire, que les meilleures intentions du monde ne sont pas suffisantes pour éviter une catastrophe. Elle montre aussi que les décisions gouvernementales restent des décisions prises par des hommes, tout à fait faillibles, et ne sont donc pas exemptes d’erreurs ; cependant, là où les décisions d’une entreprise privée affectent directement (positivement ou négativement) ses performances et sa rentabilité, et qu’elles peuvent éventuellement aboutir à sa faillite, les décisions d’un gouvernement ne sont jamais versées à son débit lorsqu’il s’est trompé, même lourdement.

D’autre part, cette aventure sud-coréenne montre que même dans des pays technologiquement à la page et conscient des enjeux de la mondialisation, on trouve des politiciens suffisamment peu à jour pour déployer des trésors d’incompétence en imposant des technologies qui seront rapidement obsolètes ou s’avèreront encombrantes, se transformant rapidement en boulets pour toute une industrie. Introduire SEED aura, comme effet de bord direct, tué la concurrence des navigateurs internet, avec comme autre effet indirect, celui de figer les possibilités des commerçants sud-coréens, et, comme on l’a vu, de perdre environ 20% de ventes potentielles.

Enfin, cette histoire illustre l’importance du capitalisme de connivence puisqu’encore une fois, si la technologie mise en place aux forceps par le gouvernement sud-coréen est restée si longtemps en place (on parle de 17 ans tout de même, ce qui, en termes informatiques, représente une éternité), c’est grâce à l’appui et au blocage méthodique (voire systématique) d’une partie de l’industrie en faveur de SEED : quelques banques majeures et les principales sociétés de cartes de crédit, ayant payé fort cher le déploiement de SEED (et des ActiveX développés pour l’occasion), ont utilisé toutes les ficelles habituelles du lobbying pour conserver leur douillette position, d’autant qu’ainsi, elles empêchaient durablement de nouveaux acteurs d’émerger ou de leur prendre des parts de marché. On pourra citer, par exemple, le cas d’Aladin (le 4ème plus gros vendeur de livres en Corée) qui, en 2012, a tenté d’installer un système équivalent à Paypal, et aura reçu une bordée de refus de la part des compagnies locales de gestion de cartes de crédit, qui arguèrent de l’insécurité des protocoles de chiffrement mis en place par Aladin…

À la lumière de cet exemple édifiant, on ne pourra donc que conserver un minimum de distance, voire de scepticisme le plus froid à l’égard des propositions technologiques de plus en plus intrusives des états européens et français en particulier. Dans le meilleur des mondes, les erreurs des uns pourraient servir de point de repère pour les autres, leur évitant le même cheminement et les mêmes gamelles.

Je crois malheureusement à l’aveuglement et à la surdité de nos élites en la matière…