Publicité en cours de chargement...
Notre confiance dans le « chiffrement » remise en question
Le chiffrement, ce rempart aux atteintes à la confidentialité de nos « vies numérisées », même s’il reste réglementé (2), s’est aujourd’hui totalement démocratisé, grâce, notamment, aux nécessités de protection apparues avec l’arrivée du commerce en ligne il y a une vingtaine d’années. Jusqu’alors, des solutions de chiffrement telles que PGP(3) par exemple, étaient interdites en France. Alors, même si, sous prétexte que le chiffrement permettrait à des terroristes et autres criminels de préserver leur anonymat dans certaines circonstances, il parait aujourd’hui inconcevable de faire machine arrière.
Dans ce domaine également, nous n’avons pas d’autre choix que de faire confiance à des algorithmes, et à leurs créateurs.
AES(4), est aujourd’hui un standard du chiffrement symétrique, sur lequel de nombreuses solutions s’appuient, et que nous utilisons tous quotidiennement, sans, souvent, même le savoir.
Mais, gardons à l’esprit que cet algorithme, certifié par le NIST(5), nous est « plus ou moins imposé » par l’Oncle Sam.
Et si « quelqu’un », une « entité » ou un « état » avait déjà la clé de cette « boite de Pandore » ?
C’est en tout cas, une probabilité qu’a laissé « sous entendre » une nouvelle fois, l’un des meilleurs experts Français dans le domaine, Monsieur Eric Filiol(6), lors de la présentation de ses travaux(7) début décembre à Londres, à l’occasion du dernier « Black Hat Europe ».
Eric Filiol et Arnaud Bannier ont créé l’algorithme de chiffrement symétrique par blocs BEA-1, « similaire » à AES, respectant les standards du NIST et donc susceptible d’obtenir les mêmes certifications que ce dernier. Ils ont, à l’intérieur de cet algorithme, laissé volontairement une « backdoor »(8), extrêmement difficile à détecter pour qui n’en serait pas l’auteur.
Comme le précise l’article de 01Net(9), ils ont démontré que, grâce à certaines propriétés mathématiques de cet algorithme, il serait possible, à l’aide d’un ordinateur du commerce, équipé d’un processeur Core i7 de casser la clé de chiffrement en 10 secondes, avec un taux de succès de 95 % !
Qui nous dit que la NSA n’est pas déjà en capacité d’en faire autant sur AES ?
L’avenir et peut-être Wikileaks, nous le dirons...
Comme l’a également rappelé Eric Filiol lors de sa présentation, la Russie par exemple, a définie son propre standard avec GOST et interdit l’utilisation d’AES.
Alors, pour quand un standard Européen ?
(1) /article/2788/meltdown-spectre-l-armageddon-numerique.html
(2) https://www.ssi.gouv.fr/administration/reglementation/controle-reglementaire-sur-la-cryptographie/
(3) https://fr.wikipedia.org/wiki/Pretty_Good_Privacy
(4) https://fr.wikipedia.org/wiki/Advanced_Encryption_Standard
(5) https://fr.wikipedia.org/wiki/National_Institute_of_Standards_and_Technology
(6) Une pointure qu’on ne présente plus, mais si son nom ne vous dit rien, allez vite faire un tour ici
Avez-vous apprécié ce contenu ?
A lire également.

Approche hétérodoxe du concept de risque résiduel
02 juin 2025 - 22:42,
Tribune
-Vous voulez être le bon élève de l’auditeur 27001 qui vient constater, de visu, comment vous mettez en œuvre un SMSI. Le bon élève, avec les félicitations, le bisou sur le front et le petit papier qui va bien.

La cyber, les rillettes et les puces en 5 minutes
19 mai 2025 - 23:24,
Tribune
-C’est ce que je trouve bien dans la cyber : la discipline est au carrefour des possibles, et il ne faut pas bien longtemps pour tordre une nouvelle ou un article glanés çà ou là avant de les cyber-retourner, souvent avec la mauvaise foi qui me caractérise, j’en conviens. Exercice en live.

Contourner les règles, faille cyber éternelle et consubstantielle à l’espèce humaine
21 avril 2025 - 19:07,
Tribune
-Récemment, un post sur LinkedIn racontait l’histoire suivante : un enseignant soucieux de repérer les élèves qui faisaient rédiger leur copie par ChatGPT transmettait ses consignes sous forme de fichiers PDF dans lesquels il incluait des morceaux de texte en caractères blancs, donc invisibles pour l...

Panorama forcément non exhaustif du fléau des arnaques en ligne en ce début 2025
08 avril 2025 - 07:19,
Tribune
-Le temps des mails provenant d’un prince nigérian qui requiert votre aide pour toucher un héritage, ou de la petite Marie qui attend désespérément une greffe, est révolu : les techniques ont évolué, les outils aussi, les réseaux se sont structurés et professionnalisés. Petit panorama, forcément inco...