Publicité en cours de chargement...

Publicité en cours de chargement...

Publicité en cours de chargement...

Notre confiance dans le « chiffrement » remise en question

30 jan. 2018 - 10:34,
Tribune - Charles Blanc-Rolin
La sécurité, dans le secteur du numérique, ou plutôt, le sentiment de sécurité que nous pouvons ressentir, repose avant tout sur la confiance que nous accordons aux différentes technologies que nous utilisons. Le matériel, tout d’abord, et les récentes vulnérabilités Meltdown et Spectre(1), nous prouvent encore une fois, qu’il s’agit d’un paramètre non négligeable, puis les systèmes d’exploitation, fonctionnant en mode « boîte noir », pour une majorité des serveurs, terminaux et autres dispositifs médicaux équipant nos établissements de santé, pour finir avec les applicatifs, qui là encore, ne présentent que rarement le code « qu’ils ont dans le ventre ».

Le chiffrement, ce rempart aux atteintes à la confidentialité de nos « vies numérisées », même s’il reste réglementé (2), s’est aujourd’hui totalement démocratisé, grâce, notamment, aux nécessités de protection apparues avec l’arrivée du commerce en ligne il y a une vingtaine d’années. Jusqu’alors, des solutions de chiffrement telles que PGP(3) par exemple, étaient interdites en France. Alors, même si, sous prétexte que le chiffrement permettrait à des terroristes et autres criminels de préserver leur anonymat dans certaines circonstances, il parait aujourd’hui inconcevable de faire machine arrière.

Dans ce domaine également, nous n’avons pas d’autre choix que de faire confiance à des algorithmes, et à leurs créateurs.
AES(4), est aujourd’hui un standard du chiffrement symétrique, sur lequel de nombreuses solutions s’appuient, et que nous utilisons tous quotidiennement, sans, souvent, même le savoir.
Mais, gardons à l’esprit que cet algorithme, certifié par le NIST(5), nous est « plus ou moins imposé » par l’Oncle Sam.

Et si « quelqu’un », une « entité » ou un « état » avait déjà la clé de cette « boite de Pandore » ?
C’est en tout cas, une probabilité qu’a laissé « sous entendre » une nouvelle fois, l’un des meilleurs experts Français dans le domaine, Monsieur Eric Filiol(6), lors de la présentation de ses travaux(7) début décembre à Londres, à l’occasion du dernier « Black Hat Europe ».

Eric Filiol et Arnaud Bannier ont créé l’algorithme de chiffrement symétrique par blocs BEA-1, « similaire » à AES, respectant les standards du NIST et donc susceptible d’obtenir les mêmes certifications que ce dernier. Ils ont, à l’intérieur de cet algorithme, laissé volontairement une « backdoor »(8), extrêmement difficile à détecter pour qui n’en serait pas l’auteur.
Comme le précise l’article de 01Net(9), ils ont démontré que, grâce à certaines propriétés mathématiques de cet algorithme, il serait possible, à l’aide d’un ordinateur du commerce, équipé d’un processeur Core i7 de casser la clé de chiffrement en 10 secondes, avec un taux de succès de 95 % !

Qui nous dit que la NSA n’est pas déjà en capacité d’en faire autant sur AES ?
L’avenir et peut-être Wikileaks, nous le dirons...

Comme l’a également rappelé Eric Filiol lors de sa présentation, la Russie par exemple, a définie son propre standard avec GOST et interdit l’utilisation d’AES.
Alors, pour quand un standard Européen ?


(1) /article/2788/meltdown-spectre-l-armageddon-numerique.html

(2) https://www.ssi.gouv.fr/administration/reglementation/controle-reglementaire-sur-la-cryptographie/

(3) https://fr.wikipedia.org/wiki/Pretty_Good_Privacy

(4) https://fr.wikipedia.org/wiki/Advanced_Encryption_Standard

(5) https://fr.wikipedia.org/wiki/National_Institute_of_Standards_and_Technology

(6) Une pointure qu’on ne présente plus, mais si son nom ne vous dit rien, allez vite faire un tour ici 

(7) https://www.blackhat.com/docs/eu-17/materials/eu-17-Filiol-By-Design-Backdooring-Of-Encryption-System-Can-We-Trust-Foreign-Encryption-Algorithms.pdf

(8) https://fr.wikipedia.org/wiki/Porte_dérobée 

(9) http://www.01net.com/actualites/et-si-l-algorithme-de-chiffrement-le-plus-utilise-au-monde-avait-une-backdoor-1330455.html

Avez-vous apprécié ce contenu ?

A lire également.

Illustration Ce que nous enseigne la mégapanne électrique dans la péninsule ibérique

Ce que nous enseigne la mégapanne électrique dans la péninsule ibérique

05 mai 2025 - 23:11,

Tribune

-
Cédric Cartau

Impossible de l’avoir ratée, la mégapanne électrique chez nos amis espagnols et portugais. Cet incident est riche d’enseignements, et force est de constater qu’il n’y a pas que des mauvaises nouvelles. D’abord, selon nos informations à ce jour, il n’y a eu aucune victime : c’est une bonne nouvelle.

Illustration Un hôpital, sous-traitant, sanctionné pour ne pas avoir déclaré les sous-traitants ultérieurs

Un hôpital, sous-traitant, sanctionné pour ne pas avoir déclaré les sous-traitants ultérieurs

02 mai 2025 - 16:13,

Tribune

- Alexandre Fievee, Gaétan Dufoulon et Alice Robert de Derriennic Associés

Par décision du 10 avril 2025 [1], l’autorité de contrôle espagnole a infligé une amende de 500.000 euros à un hôpital qui avait recruté des sous-traitants ultérieurs sans en informer préalablement le responsable du traitement.

Illustration Éthicovigilance numérique : premiers signaux d’alerte dans la santé connectée

Éthicovigilance numérique : premiers signaux d’alerte dans la santé connectée

24 avril 2025 - 15:14,

Actualité

- DSIH

La Délégation au numérique en santé (DNS) publie le premier rapport d’activité de la Plateforme d’éthicovigilance du numérique en santé, un dispositif inédit lancé fin 2023 pour recueillir les signalements d’usagers et de professionnels confrontés à des enjeux éthiques liés aux technologies de santé...

Illustration Contourner les règles, faille cyber éternelle et consubstantielle à l’espèce humaine

Contourner les règles, faille cyber éternelle et consubstantielle à l’espèce humaine

21 avril 2025 - 19:07,

Tribune

-
Cédric Cartau

Récemment, un post sur LinkedIn racontait l’histoire suivante : un enseignant soucieux de repérer les élèves qui faisaient rédiger leur copie par ChatGPT transmettait ses consignes sous forme de fichiers PDF dans lesquels il incluait des morceaux de texte en caractères blancs, donc invisibles pour l...

Lettre d'information.

Ne manquez rien de la e-santé et des systèmes d’informations hospitaliers !

Inscrivez-vous à notre lettre d’information hebdomadaire.