Corée du Sud : une petite histoire de chiffrement

Publié Par h16, le dans Édito

Aujourd’hui, je vous propose de sortir du cadre ennuyeux de la politique purement franco-française pour vous parler de Corée du Sud, et de l’intéressante et ô combien éclairante histoire de SEED.

Mon histoire – qui m’a été signalée par un lecteur que je remercie au passage – commence il y a 17 ans, en 1999, lorsque le gouvernement sud-coréen constate avec inquiétude la croissance du commerce en ligne et, parallèlement, la faiblesse des moyens de protection du consommateur de l’époque et plus particulièrement du côté du chiffrement des échanges informatiques entre vendeur et acheteur, basés sur des clés de chiffrement à 40 bits.

example of government helpingAutrement dit, les dirigeants du pays sont partis du principe que le marché, seul, n’arriverait pas à surmonter un problème essentiel de sécurité des échanges dans leur pays. Et qui d’autre, mieux qu’un gouvernement, peut aider une population et un marché déclaré déficient à surmonter ses problèmes ? Vite, grâce à un ensemble de lois et de contraintes finement étudiées, résolvons le problème et mettons en place une architecture apte à apporter un peu plus de bonheur (et ici, de sécurité) dans ce monde décidément trop rocailleux !

Aussitôt dit, aussitôt fait : l’Agence de Sécurité Informatique sud-coréenne développe un standard solidement burné, avec un algorithme ad hoc (SEED) et une jolie clé de 128 bits. Cet algorithme spécifique n’était bien sûr pas disponible dans les implémentations de Secure Socket Layer (SSL), l’ensemble de logiciels utilisés alors dans les navigateurs internet de l’époque se contentant de respecter les standards mondiaux. En Corée du Sud, l’obligation d’utiliser SEED conduisit rapidement les différents acteurs du marché local à développer un ensemble d’ActiveX (petits greffons logiciels spécifiques à Internet Explorer) destinés à leur fournir ce chiffrement spécial.

Oui, vous avez bien lu : ActiveX.

Patatras.

Même si, par la suite (et jusqu’à la version 27), Firefox finira par implanter SEED dans les algorithmes disponibles pour le chiffrement des transactions en ligne, cette décision assez unique de la Corée du Sud aura durablement obligé tout le pays à conserver un attachement quasi-fétichiste avec Internet Explorer et les ActiveX, à peu près seuls capables de fournir SEED.

Or, comme chacun le sait maintenant assez bien, Internet Explorer n’est pas spécialement réputé ni pour sa robustesse, ni pour son excellent respect des standards du Web. Petit-à-petit, chaque année passant, la décision du gouvernement sud-coréen est de plus en plus apparue pour ce qu’elle était dès le départ : une erreur typique d’interventionnisme basée sur la définition bancale d’un problème mal identifié et l’apport d’une solution tordue implémentée n’importe comment.

En définitive, le remède fut rapidement plus handicapant que le mal, très putatif, qu’il était censé corriger : selon différentes études et plusieurs estimations crédibles, les restrictions sud-coréennes imposant l’usage de SEED (et, par voie de conséquence, les ActiveX le supportant) ont entraîné des pertes de conversion de 20% dans le commerce en ligne ; pour rappel, une conversion est le passage d’un acte de visite d’un client et d’une sélection d’articles sur un site web marchand à une vraie vente avec paiement à la fin. En somme, 20% de visiteurs de sites web coréens ne finalisaient pas leurs achats à cause d’une technologie dépassée ou inadaptée.

Entretemps en effet, les standards web se sont considérablement renforcés. Et alors que les autres navigateurs supportent de mieux en mieux HTML5, au point de pouvoir se passer depuis des années d’ActiveX et autres bricolages du même acabit, et des standards de chiffrement bien plus solides et en tout cas bien mieux reconnus que SEED, la Corée du Sud s’est retrouvée à devoir, piteusement, revenir en arrière : au mois d’avril 2015, le ministère des technologies de l’information sud-coréen a officiellement renoncé à supporter SEED plus longtemps, et encourage maintenant l’industrie à développer ses propres standards ou utiliser ceux qu’elle jugera aptes à répondre aux contraintes modernes.

Une erreur d’un gouvernement ne serait pas vraiment une erreur gouvernementale si, par dessus, des paquets d’argent public n’étaient pas soigneusement cramés en pure perte. Cette histoire n’échappe pas à la règle puisque pour aider les acteurs du marché à se débarrasser de la technologie vieillissante, le gouvernement a entrepris d’aider financièrement les sites en ligne qui acceptent de se mettre à jour et de laisser tomber les ActiveX, à hauteur de 100 millions de won (90.000 dollars environ).

Cette histoire est riche d’enseignements.

Bien sûr, elle montre encore une fois, s’il était nécessaire, que les meilleures intentions du monde ne sont pas suffisantes pour éviter une catastrophe. Elle montre aussi que les décisions gouvernementales restent des décisions prises par des hommes, tout à fait faillibles, et ne sont donc pas exemptes d’erreurs ; cependant, là où les décisions d’une entreprise privée affectent directement (positivement ou négativement) ses performances et sa rentabilité, et qu’elles peuvent éventuellement aboutir à sa faillite, les décisions d’un gouvernement ne sont jamais versées à son débit lorsqu’il s’est trompé, même lourdement.

Government Demotivator

D’autre part, cette aventure sud-coréenne montre que même dans des pays technologiquement à la page et conscients des enjeux de la mondialisation, on trouve des politiciens suffisamment peu à jour pour déployer des trésors d’incompétence en imposant des technologies qui seront rapidement obsolètes ou s’avéreront encombrantes, se transformant rapidement en boulets pour toute une industrie. Introduire SEED aura, comme effet de bord direct, tué la concurrence des navigateurs internet, avec comme autre effet indirect, celui de figer les possibilités des commerçants sud-coréens, et, comme on l’a vu, de perdre environ 20% de ventes potentielles.

CorporatismeEnfin, cette histoire illustre l’importance du capitalisme de connivence puisqu’encore une fois, si la technologie mise en place aux forceps par le gouvernement sud-coréen est restée si longtemps en place (on parle de 17 ans tout de même, ce qui, en termes informatiques, représente une éternité), c’est grâce à l’appui et au blocage méthodique (voire systématique) d’une partie de l’industrie en faveur de SEED : quelques banques majeures et les principales sociétés de cartes de crédit, ayant payé fort cher le déploiement de SEED (et des ActiveX développés pour l’occasion), ont utilisé toutes les ficelles habituelles du lobbying pour conserver leur douillette position, d’autant qu’ainsi, elles empêchaient durablement de nouveaux acteurs d’émerger ou de leur prendre des parts de marché. On pourra citer, par exemple, le cas d’Aladin (le 4ème plus gros vendeur de livres en Corée) qui, en 2012, a tenté d’installer un système équivalent à Paypal, et aura reçu une bordée de refus de la part des compagnies locales de gestion de cartes de crédit, qui arguèrent de l’insécurité des protocoles de chiffrement mis en place par Aladin…

À la lumière de cet exemple édifiant, on ne pourra donc que conserver un minimum de distance, voire de scepticisme le plus froid à l’égard des propositions technologiques de plus en plus intrusives des États européens et français en particulier. Dans le meilleur des mondes, les erreurs des uns pourraient servir de point de repère pour les autres, leur évitant le même cheminement et les mêmes gamelles.

Je crois malheureusement à l’aveuglement et à la surdité de nos élites en la matière…
—-
Sur le web

  1. L’intervention de l’état dans l’industrie ou la technologie est une bêtise. Mais dans l’informatique c’est un suicide. On ne peut pas dans ce domaine suivre les recommandations d’un génie ou d’experts qualifiés : ils seront toujours moins pertinents et performants que les millions de développeurs qui cherchent et échangent des solutions adaptées au marché et aux besoins de façon libre et pragmatique.

    C’est forcément vrai dans les autres domaines même si c’est moins visible et les sanctions moins immédiates.

    1. Si l’État n’était pas intervenu dans le développement informatique, on aurait pas la joie d’avoir Internet pour lire ce genre de commentaires délicieux comme le vôtre. Le DARPA n’est pas un produit de la Main Invisible que je sache.

      1. Renseignez vous un peu avant d’énoncer des âneries.

        Les réseaux étaient en train d’exploser de toute manière, l’évolution était inévitable dès que des machines numérique ce sont mise à communiquer, avant que le protocole internet ne s’impose en 1990 (30 ans après ARPA) les gens se connectaient déjà à des BBS ou autres.

        ARPA a été une toute petite brique dans la très longue construction du numérique:
        https://fr.wikipedia.org/wiki/R%C3%A9volution_num%C3%A9rique#R.C3.A9volution_industrielle_et_Lumi.C3.A8res_:_capitalisation_du_savoir-faire_technique_et_de_la_connaissance

        1. Votre lien dit « En 1969, grâce à ses recherches, est conçu le projet Arpanet (Advanced Research Projects Agency Network), premier « réseau à transfert de paquets ». La connexion s’établit entre les laboratoires de quatre grandes universités américaines, pour le compte du Département américain de la Défense.  »

          Pour le compte du Departement de la Defense. Entreprise privée donc, n’est ce pas.

          1. Vous pensez qu’un protocole similaire n’aurait pas été trouvé au moment ou les réseaux explosaient.
            Que les gens sans les financement de l’armée seraient devenu subitement idiots et incapable de faire communiquer des réseaux ?

            Vous êtes bête ?

            1. « Quand la réalité ne colle pas à ton dogme, dis toi que dans une monde alternatif hypothétique, c’est le cas. » – proverbe libéral.

              1. Simplet va bientôt nous sortir qu’on n’aurait jamais été dans l’espace sans les nazis 🙂

                Le consortium « D.I.X. » (Digital, Intel, Xerox) qui travaillait sur les protocoles vers 1960 et en particulier Digital et IBM avec leur système DECnet, un ancêtre de nos réseaux actuels serait venu tôt ou tard à l’interconnexion. C’est une évidence.

                Ces gens et leurs idées existaient bien avant le financement par l’armée:

                En 1970, Donald Davies participa à un effort destiné à créer un packet switched network, réseau précurseur des réseaux à commutation de paquets, appelé Mark I et devant servir au NPL en G.-B. Il a été remplacé par Mark II en 1973, lequel resta en opération jusqu’en 1986, influençant d’autres recherches en G.-B. et en Europe. Larry Roberts (en) du Advanced Research Projects Agency aux États-Unis apprit l’existence du concept mis au point par Davies et l’intégra dans ARPANET

                —-

                « Au cœur du problème de connexion inter-réseau résidait la question de connecter plusieurs réseaux physiquement séparés pour ne former qu’un seul réseau logique. Au cours des années 1960, plusieurs groupes ont travaillé sur l’élaboration de l’aiguillage de paquets (packet switching en anglais). Donald Davies (National Physical Laboratory), Paul Baran (Research and Development RAND Corporation) et Leonard Kleinrock (Massachusetts Institute of Technology) se sont vu attribuer l’invention simultanément.

      2. En effet, ce n’est pas la main invisible c’est Al Gore qui a inventé Internet, tout le monde sait ça 😀

        1. Nope, c’est Obama You didn’t build that »

          Sans l’état les gens sont perdus, déboussolé, la création n’existe plus, l’invention non plus et nous ne sommes pas entouré de dizaine de millions d’objets qui prouvent le contraire…

  2. « les meilleures intentions du monde ne sont pas suffisantes pour éviter une catastrophe »

    On peut aller beaucoup plus loin : les meilleures intentions du monde sont absolument nécessaires pour obtenir les pires catastrophes car, engoncés dans les fallacieuses certitudes de « bon droit », de « justice », de « protection, de « défense » » les « autorités » abandonnent toute connections avec la raison et la réalité. C’est ainsi que les pires expédients se trouvent justifiés et que les catastrophes prennent des ampleurs inimaginables.

    1. Exemple : le réchauffement climatique et sa ribambelle de taxes et d’obligations (BTP, automobile, etc ..)

    2. Vous n’imaginez pas le sac de nœuds que sont les nouvelles normes qu’on devra appliquer en matière de chauffage collectif dans les immeubles. Là, le mot « usine à gaz » prend tout son sens.

      1. Pas que dans les immeubles : j’ai demandé il y a 6 mois de me chiffrer la mise en place d’une baie vitrée pour remplacer un gouffre à calories existant. Réponse : ouh la la, c’est compliqué avec la RT2012 ! Et jamais vu de devis.

  3. Ce que je ne comprends pas, c’est pourquoi est-ce que la Main Invisible du gentil marché n’a pas proposé un navigateur Internet qui intègre le protocole SEED, vu qu’il y avait une demande et un besoin?

    1. Elle l’a fait, Firefox 3 supportait SEED, le développement d’internet a été très rapide mais très contrôlé par le gouvernement ce qui fait qu’ils ont un très bon réseau mais aussi des équipement dépassés qui occasionnent pas mal de brèches de sécurité dont ils sont en train de se débarrasser à grand frais.

  4. Malheureusement plus que 20% – les taux de conversion sont 3 a 4 fois plus faible qu’en Europe – cela a fait la richesse de Samsung SDS et LG CNS mais aussi des eretailers comme Lotte, Shinsegae et Hyunday mall … Nous ne voyons malheureusement pas encore d’évolution notoire apres le changement de loi … Il faudra encore quelques années pour enfin sortir la Corée de cet écosystème si particulier.

Les commentaires sont fermés.