Corée du Sud : une petite histoire de chiffrement

Aujourd’hui, je vous propose de sortir du cadre ennuyeux de la politique purement franco-française pour vous parler de Corée du Sud, et de l’intéressante et ô combien éclairante histoire de SEED.

Mon histoire – qui m’a été signalée par un lecteur que je remercie au passage – commence il y a 17 ans, en 1999, lorsque le gouvernement sud-coréen constate avec inquiétude la croissance du commerce en ligne et, parallèlement, la faiblesse des moyens de protection du consommateur de l’époque et plus particulièrement du côté du chiffrement des échanges informatiques entre vendeur et acheteur, basés sur des clés de chiffrement à 40 bits.

example of government helpingAutrement dit, les dirigeants du pays sont partis du principe que le marché, seul, n’arriverait pas à surmonter un problème essentiel de sécurité des échanges dans leur pays. Et qui d’autre, mieux qu’un gouvernement, peut aider une population et un marché déclaré déficient à surmonter ses problèmes ? Vite, grâce à un ensemble de lois et de contraintes finement étudiées, résolvons le problème et mettons en place une architecture apte à apporter un peu plus de bonheur (et ici, de sécurité) dans ce monde décidément trop rocailleux !

Aussitôt dit, aussitôt fait : l’Agence de Sécurité Informatique sud-coréenne développe un standard solidement burné, avec un algorithme ad hoc (SEED) et une jolie clé de 128 bits. Cet algorithme spécifique n’était bien sûr pas disponible dans les implémentations de Secure Socket Layer (SSL), l’ensemble de logiciels utilisés alors dans les navigateurs internet de l’époque se contentant de respecter les standards mondiaux. En Corée du Sud, l’obligation d’utiliser SEED conduisit rapidement les différents acteurs du marché local à développer un ensemble d’ActiveX (petits greffons logiciels spécifiques à Internet Explorer) destinés à leur fournir ce chiffrement spécial.

Oui, vous avez bien lu : ActiveX.

Patatras.

Même si, par la suite (et jusqu’à la version 27), Firefox finira par implanter SEED dans les algorithmes disponibles pour le chiffrement des transactions en ligne, cette décision assez unique de la Corée du Sud aura durablement obligé tout le pays à conserver un attachement quasi-fétichiste avec Internet Explorer et les ActiveX, à peu près seuls capables de fournir SEED.

Or, comme chacun le sait maintenant assez bien, Internet Explorer n’est pas spécialement réputé ni pour sa robustesse, ni pour son excellent respect des standards du Web. Petit-à-petit, chaque année passant, la décision du gouvernement sud-coréen est de plus en plus apparue pour ce qu’elle était dès le départ : une erreur typique d’interventionnisme basée sur la définition bancale d’un problème mal identifié et l’apport d’une solution tordue implémentée n’importe comment.

En définitive, le remède fut rapidement plus handicapant que le mal, très putatif, qu’il était censé corriger : selon différentes études et plusieurs estimations crédibles, les restrictions sud-coréennes imposant l’usage de SEED (et, par voie de conséquence, les ActiveX le supportant) ont entraîné des pertes de conversion de 20% dans le commerce en ligne ; pour rappel, une conversion est le passage d’un acte de visite d’un client et d’une sélection d’articles sur un site web marchand à une vraie vente avec paiement à la fin. En somme, 20% de visiteurs de sites web coréens ne finalisaient pas leurs achats à cause d’une technologie dépassée ou inadaptée.

Entre temps en effet, les standards web se sont considérablement renforcés. Et alors que les autres navigateurs supportent de mieux en mieux HTML5, au point de pouvoir se passer depuis des années d’ActiveX et autres bricolages du même acabit, et des standards de chiffrement bien plus solides et en tout cas bien mieux reconnus que SEED, la Corée du Sud s’est retrouvée à devoir, piteusement, revenir en arrière : au mois d’avril 2015, le ministère des technologies de l’information sud-coréen a officiellement renoncé à supporter SEED plus longtemps, et encourage maintenant l’industrie à développer ses propres standards ou utiliser ceux qu’elle jugera aptes à répondre aux contraintes modernes.

Une erreur d’un gouvernement ne serait pas vraiment une erreur gouvernementale si, par dessus, des paquets d’argent public n’étaient pas soigneusement cramés en pure perte. Cette histoire n’échappe pas à la règle puisque pour aider les acteurs du marché à se débarrasser de la technologie vieillissante, le gouvernement a entrepris d’aider financièrement les sites en ligne qui acceptent de se mettre à jour et de laisser tomber les ActiveX, à hauteur de 100 millions de won (90.000 dollars environ).

Cette histoire est riche d’enseignements.

Bien sûr, elle montre encore une fois, s’il était nécessaire, que les meilleures intentions du monde ne sont pas suffisantes pour éviter une catastrophe. Elle montre aussi que les décisions gouvernementales restent des décisions prises par des hommes, tout à fait faillibles, et ne sont donc pas exemptes d’erreurs ; cependant, là où les décisions d’une entreprise privée affectent directement (positivement ou négativement) ses performances et sa rentabilité, et qu’elles peuvent éventuellement aboutir à sa faillite, les décisions d’un gouvernement ne sont jamais versées à son débit lorsqu’il s’est trompé, même lourdement.

Government Demotivator

D’autre part, cette aventure sud-coréenne montre que même dans des pays technologiquement à la page et conscient des enjeux de la mondialisation, on trouve des politiciens suffisamment peu à jour pour déployer des trésors d’incompétence en imposant des technologies qui seront rapidement obsolètes ou s’avèreront encombrantes, se transformant rapidement en boulets pour toute une industrie. Introduire SEED aura, comme effet de bord direct, tué la concurrence des navigateurs internet, avec comme autre effet indirect, celui de figer les possibilités des commerçants sud-coréens, et, comme on l’a vu, de perdre environ 20% de ventes potentielles.

CorporatismeEnfin, cette histoire illustre l’importance du capitalisme de connivence puisqu’encore une fois, si la technologie mise en place aux forceps par le gouvernement sud-coréen est restée si longtemps en place (on parle de 17 ans tout de même, ce qui, en termes informatiques, représente une éternité), c’est grâce à l’appui et au blocage méthodique (voire systématique) d’une partie de l’industrie en faveur de SEED : quelques banques majeures et les principales sociétés de cartes de crédit, ayant payé fort cher le déploiement de SEED (et des ActiveX développés pour l’occasion), ont utilisé toutes les ficelles habituelles du lobbying pour conserver leur douillette position, d’autant qu’ainsi, elles empêchaient durablement de nouveaux acteurs d’émerger ou de leur prendre des parts de marché. On pourra citer, par exemple, le cas d’Aladin (le 4ème plus gros vendeur de livres en Corée) qui, en 2012, a tenté d’installer un système équivalent à Paypal, et aura reçu une bordée de refus de la part des compagnies locales de gestion de cartes de crédit, qui arguèrent de l’insécurité des protocoles de chiffrement mis en place par Aladin…

À la lumière de cet exemple édifiant, on ne pourra donc que conserver un minimum de distance, voire de scepticisme le plus froid à l’égard des propositions technologiques de plus en plus intrusives des états européens et français en particulier. Dans le meilleur des mondes, les erreurs des uns pourraient servir de point de repère pour les autres, leur évitant le même cheminement et les mêmes gamelles.

Je crois malheureusement à l’aveuglement et à la surdité de nos élites en la matière…

Commentaires76

  1. Le Gnôme

    Finalement, quelque soit le gouvernement, il fait des bourdes gigantesque au lieu de laisser les choses se réguler toutes seules. C’est vraiment une constante, réguler pour donner aux gens l’impression de les zélites veulent leur bien.

    1. Pat

      Une norme qu’on aurait trés bien pu subir autrefois : 30 % d’amiante minimum dans les plaques de fibro-ciment.

      1. gameover

        Le problème de l’amiante était connu depuis Pline l’Ancien qui avait remarqué que les esclaves qui tissaient des tissus d’amiante mouraient prématurément de problèmes respiratoires… c’était il y a plus de 2000 ans…
        Dans les années 60-70 il avait été fait grand bruit sur des pyjamas d’enfants composés d’amiante et importés de Chine… et pourtant il a fallu attendre 30 ans pour qu’il n’y ait plus d’amiante dans les nouvelles constructions, les plaquettes de frein etc….
        Le dossier de l’amiante c’est bien la faillite de l’état, il s’en fout ce n’est pas lui qui paie…

        1. Pat

          Je ne sais pas si c’est encore le cas, mais il y a quelques années on pouvait visiter des mines d’amiante encore en activité au Canada. Le guide émiettait de l’amiante devant les visiteurs, avec un commentaire du genre : « voyez, c’est sans danger. »

          1. Mathiez

            Idem au Swaziland, il y a quelques années, j’ai vu une gigantesque mine d’amiante à ciel ouvert. Des bennes suspendues à des cables traversent la vallée, au dessus de la route. Tout le paysage était blanc, à perte de vue…

  2. Calvin

    Ma mère a toujours refusé que j’utilise les Active X.
    « Pas de ton âge » qu’elle disait.
    Je comprends aujourd’hui pourquoi.

    1. Nomi

      En même temps, y’a des étudiants qui font  » X « . Tu pourras user de cet argument avec ta mère la prochaine fois, petit coquin.

  3. Nomi

    Bon, je croyais qu’au pays du matin calme, ça n’allait pas le rester longtemps. Finalement, si l’ânerie étatique n’est pas une spécificité française, l’acharnement dans l’erreur le reste bien, et le gouvernement coréen a jeté l’éponge. Mes soeurs qui n’en ont rien à foutre de leur pays d’origine peuvent continuer de l’ignorer.

    Pas de quoi fouetter un chaton. Pour pimenter cette matinée trop calme, je vais détailler et faire sauter à la poêle ledit chaton. Arrosé d’un bon rouge, ça va réveiller tout ça.

    1. Bonsaï

      En dépit de ces petites fantaisies, la Corée du Sud n’en reste pas moins un dragon économique à faire pâlir d’envie pas mal de pays qui stagnent sans attendre de rebond immédiat.
      Elle occupe le 11ème rang de l’économie mondiale et se spécialise notamment dans l’électronique, l’automobile, la construction navale, l’industrie pharma, etc..
      Elle a ravi à la France le titre de 5ème exportateur mondial, que cette dernière occupait depuis les années 2000.
      La roue tourne et Hollande a de tout petits bras, qui lui servent plus à ses parties d’échec privées qu’à jouer les capitaines d’industrie…

      1. Jiff

        « qui lui servent plus à ses parties d’échec privées »

        Toutoumou 1er ne joue pas aux échecs, il joue aux dames…

  4. Pere Collateur

    Tiens, je ne connaissais pas cette histoire de graine sud coréenne.

    Ça a tout de même été loin dans le foutage de gueule, parce que vouloir des transactions sécurisées et reposer sur des ActiveX et du tout Microsoft… Y en a qui ont le goût de la poésie oxymore au pays du matin calme.

    Tout de même étonnant que ça se passe dans ce pays, pourtant très très pointu dans les nouvelles technos.

    Le politocard qui a imposé ce truc a du se faire pas mal d’ennemis dans les milieux high tech je suppose. Un peu comme nos connards locaux qui ont poussé hadopi et autres merdes du même genre ces dernières années.

    Pittoresque, limite gerbant. Si à chaque fois qu’un de ces peigne cul ouvre sa mouille, on lui mettait une grosse tarte dans la tronche, je suis sur qu’il y aurait moins de candidats à ce genre de sport.

    1. Nomi

      Hadopi, c’est comme le CNC, le CNL, tout ces conseils du truc et du machin, des genres de « syndicats d’initiatives » d’état, qui ne servent à rien, sinon à collecter des taxes et filer des places aux copains. Un peu comme le système associatif.

      1. Waren

        Dans le cas d’Ah ! Dos Pie, cela va quand même plus loin: derrière il y a tous les potes de chez Vivendi, Fnac & co. Bizarre quand même que cela existe toujours au vue de l’échec monumental du binz: 7 procès je crois, et une migration massive vers le direct-download et le streaming, légal ou pas.

    2. Pat

      A propos de tartes dans la tronche, il me semble que BHL a pris un gros retard. Il a même osé dire que la situation en Lybie était un processus d’évolution normal, en comparant à la révolution française et ses massacres.

      1. Nomi

        Va falloir lui faire une cht’ite piqûre de rappel. Avec beaucoup de crème. Et beaucoup de vigueur et de précision dans l’application du remède dans sa face.

  5. Curieux

    Mais sait-on si notre législateur coréen n’a pas reçu une montagne de $$$ de Microsoft pour maintenir une base solide à un système branlant ?

  6. Higgins

    Bon, j’ai compris. Suite à cette expérience malheureuse, les coréens du sud lorgnent avec envie vers Pyongyang et son paradis.
    Bon, je plaisante. Je partage le triste constat de notre hôte sur la méconnaissance qu’ont nozélites des problèmes générés (la phrase d’Ernest Benn citée est superbe de justesse et d’intelligence et puis j’adore Groucho Marx), ou non, par Internet et l’informatique. C’en est pathétique. Hier soir, nous discutions en famille (eh oui, le major a des enfants) de l’échec complet de l’EN en la matière avec des réactions professorales qui font froid dans le dos, réactions qui en disent long sur le degré d’ouverture intellectuelle de leurs auteurs. La liberté d’esprit devient une donnée rare. Comme l’a dit Coluche en son temps:  » Ils ont des idées sur tout. Ils ont surtout des idées ! « . Commence juste à exister une nouvelle génération d’enseignant qui n’a pas peur du net. Pour autant, je crois que les méthodes qui ont fait leur preuve n’ont pas à disparaître mais si elles ne sont pas adaptées (et ça, c’est le rôle des enseignants), elles disparaîtront à coup sûr.

    1. Theo31

      Il y a trente ans j ai eu droit aux angoisses des profs devant l’outil informatique pendant qu un autre (prof de latin) se lançait tête la première dans l aventure pour en faire un business.

  7. Aristarkke

    Rhôô, Patron que dure est votre dent dans votre plume.
    Ouvrir l’ article en nous faisant la promesse d’oublier pour une fois la Grance et ses problèmes pour mieux décocher une flèche missile du Parthe sur le lamentable gouvernement grançais dans la dernière tirade avant la conclusion… ^-^

  8. petit-chat

    H16 vendu (volé ?) au capitalisme apatride de connivence propre aux socialismes, sniff :
    …nos élites en la matière,
    au lieu de crasses dirigeantes !

      1. Pat

        De plus en plus. Et quand nos zélites zélées prennent leur envol, j’aimerais sortir mon fusil de chasse.

  9. Val

    Je trouve cet article profondément réjouissant sur le thème « quand on se regarde on se désole quand on se compare on se console » .
    Maintenant , une fois dit ça , on ne peut s’empêcher de se morfondre globalement sur la co**erie humaine , gros soupir, et ça fait un moment que ça dure (cf ancien testament pour ceux que ça amuserait/désolerait ) …

    1. Pat

      L’ancien testament, c’est super : des villes étaient rasées et tous leurs habitants massacrés, mais Dieu l’avait ordonné, et pis c’étaient des impies.
      Un peu comme maintenant, d’ailleurs…

  10. Aristarkke

    Demi HS: le site Clubic a fait paraître un article sur la faillite du cloud à la Grançaise… 75 M€ de perdus…

  11. rené-pierre samary

    « Dans le meilleur des mondes, les erreurs des uns pourraient servir de point de repère pour les autres, leur évitant le même cheminement et les mêmes gamelles. »
    Gamelles me fait penser à Gamelin. Les erreurs de 14 sont venues de ne pas avoir appris les leçons de 70, les erreurs de 39 de l’absence de n’avoir pas pris en compte les leçons de 14. La cécité, parfois volontaire, le métro de retard,sont des spécialités hexagonales.
    Les Ardennes ? C’est impossible, proclamait-il.

      1. Calvin

        Ben maintenant, on a deux guerres de retard.
        C’est pour ça qu’Hollande déclenche des guerres partout.

        1. lafayette

          C’est le problème quand on ne prend que les meilleurs pour diriger, il n’y a aucune remise en question.
          Prendre les plus nuls donne une chance inouïe de faire que mieux.

  12. Moggio

    Sur un sujet assez connexe et sachant qu’il convient en effet de « conserver un minimum de distance, voire de scepticisme le plus froid à l’égard des propositions technologiques de plus en plus intrusives des » États, je signale ce bon article tout récent sur le sujet « Apple/FIB » (que Contrepoints pourrait traduire d’ailleurs) : http://fee.org/articles/apple-courageously-resists-the-fbi-s-demand-for-slave-labor/ 

    1. petit-chat

      D’un autre côté, vouloir nous faire gober que le FBI est infoutu de pirater n’importe quel portable, est trop gros : des moyens illimités (et inconnus jusqu’à ce que Snowden l’ouvre) face à une boite qui, en d’autres temps, a largement collaboré avec l’occupant gouvernemental, c’est du très bon marketting où excelle Apple (et ou Crosoft s’est ramassé d’ailleurs, sur ce coup).

        1. pierre t

          Sans allez jusqu’a cracker le cryptage RSA en trouvant un algorithme a complexitée linéaire, certaines études récentes ont démontré qu’on pouvait récupérer la clef d’identification matérielle grâce à l’étude des ondes émises par le smartphone.
          Mais bon c’est toujours une bonne excuse pour lancer un débat sur le chiffrement, il y a encore certains truc qu’il ne peuvent pas décrypter. En plus si cryptage interdit … goodbye Bitcoin, 1 pierre 2 coups.

          1. « grâce à l’étude des ondes émises par le smartphone »
            (tempest)
            C’est valable seulement lors de l’utilisation. Pour un gsm pris à son propriétaire (ou qui se sait écouté), c’est peine perdue.

  13. Jiff

    La Corée du Sud, ça ne serait pas l’autre p’tit nom de l’Espagne?
    (bon d’accord, je =>[])

  14. Bonsaï

    Pourtant le titre de ce billet commence comme un polar… je l’ai relu à quelques heures d’intervalle, il y a du suspense, des surprises et des rebondissements.
    Mais à 20 heures, il n’y a que 37 commentaires. Etrange…
    Enfin, espérons que les touristes ont bien profité du premier dimanche de printemps, car on nous annonce de la pluie pour Pâques.

    1. petit-chat

      Aujourd’hui, c’est Les Rameaux. J’ignore ce que c’est exactement, hormis que ça consiste surtout en une messe, généralement suivie par ceux qui n’y comprennent rien par une miurge carabinée au bistrot mitoyen de l’église.
      Après, pour taper sur un smartphone ou une tablette, bonjour la performance, surtout quand on voit double ou triple !

      1. Aristarkke

        Une fête catholique qui commémore le début de la semaine pascale en rappelant que Jésus-Christ est entré dans Jérusalem sous les acclamations et les vivats de la foule qui agitait des rameaux à cette occasion, selon une tradition antique.

        1. petit-chat

          Merci Harry d’avoir su percevoir ma grande détresse kulturelle.
          J’apprends plus sur ce site qu’en échangeant (pas volontiers) avec les espèces de trous de gruyère (emmental, pour les puristes) qui, hélas, forment mon hebdomadaire, ne pouvant en faire un annuel.

          1. lafayette

            même les chrétins du premier siècle sont excusables. Ils ne savaient pas se qu’ils faisaient… et ça n’ a pas beaucoup évolué…

        2. Jiff

          C’est surtout l’une des très rares fêtes chrétiennes qui ne recouvre pas une antique fête payenne 😉

          1. Pheldge

            vu la quantité de fêtes pas hyènes, on peut en dire autant de toutes les fêtes religieuses actuelles, pour les trois religions monothéistes ! mais bon, c’est tellement facile de se foutre de la gueule des chrétiens et encore plus des cathos, depuis que Jésus a dit de « tendre l’autre joue » , ceux-ci constituent une proie de choix !

            1. lafayette

              J’ai essayer de tendre ma joue mais ca fait trop mal, je sais pas quel idiot à dit cela une joue tendu c’est pour faire de la musique ou quoi ?

              J-C un tendre rêveur, un vrai Jean Cool, a moins que ce soit avec un u.

    2. Calvin

      C’est parce que les lecteurs français pensent que ce genre de bourde sud – coréenne ne peut absolument pas se passer ici.
      Ça se saurait.
      Non, en France, le génie étatique a innové avec Bull, le minitel, et le pays n’étant pas capitaliste il ne peut l’être non plus de connivence.

      1. Bonsaï

        Bravo, Calvin, vous avez le courage et l’intégrité intellectuelle de l’historien !
        J’avais aussi pensé au Minitel mais franchement, j’hésitais à me mettre tous les habitués à dos pour un bon mot…

          1. Aristarkke

            Il n’était pourtant pas si mauvais que cela mais comme la France n’avait réussi qu’à le vendre à des pays d’Afrique et à l’URSS, il n’y avait aucun danger pour qu’il devienne un standard mondial comme le PAL…

              1. Jiff

                Pas la domination allemande, les flashes violets qu’on ramassaient à coup sûr si on avait le malheur de faire tomber le point d’insertion sur une trame impaire…

                1. lafayette

                  @Jiff que désires-tu partager ? que je sache telefunken/AEG est allemand et est à l’origine du PAL. Le reste n’est que garniture….

                  1. Jiff

                    « Le reste n’est que garniture »

                    Pas vraiment dans le cas des standards vidéos; ce qui a descendu en flamme le SECAM (marrant, en substituant ça donne sacem:), c’est le surcoût matériel par rapport au PAL, mais aussi et surtout ce problème de flash (à cette époque, on montait en analogique et seules les machines de studio étaient à même de couper correctement, pas le U-Matic qui était utilisé pour tous les journaux.)

            1. petit-chat

              – Le SECAM, c’était la HD avant l’heure (819 lignes) contre les misérables 625 lignes des flibustiers étrangers !
              – Le V2000, une seule tête, très bonne qualité, contre VHS, quatre têtes, et minable.
              Pour être un standard, il ne faut pas être le meilleur, il faut être le plus répandu et ouvert (exo : les PC avec le 8088, pourtant une merde qui avait 10 ans de retard sur l’époque (Motorola 68000))
              N’évoquons pas le Concorde, c’est les Rameaux…

              1. lafayette

                d’ailleurs le concorde a été conçu pour piquer du nez, c’était prémonitoire.

                pour le reste je suis assez d’accord que les normes diffusées à grandes échelles sont bien mieux respectée que celles payantes…. Iso lé mais pas trop.

              2. gameover

                Pendant mes études j’ai étudié ces standards couleurs dont les surnoms étaient :

                NTSC : Never The Same Color
                PAL : Pay for Added Luxury
                SECAM : System Essentially Contrary to American Method

    3. Pheldge

      @ Bonzaille 20 h 12 : mécréante ! le « premier dimanche de printemps » … c’est le dimanche des Rameaux ! et Pâques, c’est pas que la fête des œufs et du chocolat !

      1. Bonsaï

        En relisant calmement, sans t’énerver comme d’hab, tu verras que je n’ai parlé que de premier dimanche de printemps (hier) et de Pâques, annoncé comme pluvieux (le week-end prochain). Et c’est Petit-Chat qui a souligné que c’était hier le dimanche des Rameaux…
        Mais est-ce vraiment important devant le somptueux billet qui nous attend ?

  15. MadeInCH

    Je n’ai pas lu tout les posts. Maisn éanmoins:
    « le ministère des technologies de l’information sud-coréen a officiellement renoncé à supporter SEED plus longtemps, et encourage maintenant l’industrie à développer ses propres standards ou utiliser ceux qu’elle jugera aptes à répondre aux contraintes modernes. »
    Vous voyez ça en France?
    Vous imaginer le gouvernement français ou une de ses agence annoncer un rétropédalage et annoncer qu’il vaut mieux laisser le marché décider et s’adapter par lui-même?
    JAMAIS!
    Donc, oui, le gouvernement de Corée du Sud s’est gouré. Mais au moins, il est capable de revenir en arrière et de libéraliser.
    Et pour ça, BRAVO!

Les commentaires sont fermés.