Publicité en cours de chargement...

Publicité en cours de chargement...

Notre confiance dans le « chiffrement » remise en question

30 jan. 2018 - 10:34,
Tribune - Charles Blanc-Rolin
La sécurité, dans le secteur du numérique, ou plutôt, le sentiment de sécurité que nous pouvons ressentir, repose avant tout sur la confiance que nous accordons aux différentes technologies que nous utilisons. Le matériel, tout d’abord, et les récentes vulnérabilités Meltdown et Spectre(1), nous prouvent encore une fois, qu’il s’agit d’un paramètre non négligeable, puis les systèmes d’exploitation, fonctionnant en mode « boîte noir », pour une majorité des serveurs, terminaux et autres dispositifs médicaux équipant nos établissements de santé, pour finir avec les applicatifs, qui là encore, ne présentent que rarement le code « qu’ils ont dans le ventre ».

Le chiffrement, ce rempart aux atteintes à la confidentialité de nos « vies numérisées », même s’il reste réglementé (2), s’est aujourd’hui totalement démocratisé, grâce, notamment, aux nécessités de protection apparues avec l’arrivée du commerce en ligne il y a une vingtaine d’années. Jusqu’alors, des solutions de chiffrement telles que PGP(3) par exemple, étaient interdites en France. Alors, même si, sous prétexte que le chiffrement permettrait à des terroristes et autres criminels de préserver leur anonymat dans certaines circonstances, il parait aujourd’hui inconcevable de faire machine arrière.

Dans ce domaine également, nous n’avons pas d’autre choix que de faire confiance à des algorithmes, et à leurs créateurs.
AES(4), est aujourd’hui un standard du chiffrement symétrique, sur lequel de nombreuses solutions s’appuient, et que nous utilisons tous quotidiennement, sans, souvent, même le savoir.
Mais, gardons à l’esprit que cet algorithme, certifié par le NIST(5), nous est « plus ou moins imposé » par l’Oncle Sam.

Et si « quelqu’un », une « entité » ou un « état » avait déjà la clé de cette « boite de Pandore » ?
C’est en tout cas, une probabilité qu’a laissé « sous entendre » une nouvelle fois, l’un des meilleurs experts Français dans le domaine, Monsieur Eric Filiol(6), lors de la présentation de ses travaux(7) début décembre à Londres, à l’occasion du dernier « Black Hat Europe ».

Eric Filiol et Arnaud Bannier ont créé l’algorithme de chiffrement symétrique par blocs BEA-1, « similaire » à AES, respectant les standards du NIST et donc susceptible d’obtenir les mêmes certifications que ce dernier. Ils ont, à l’intérieur de cet algorithme, laissé volontairement une « backdoor »(8), extrêmement difficile à détecter pour qui n’en serait pas l’auteur.
Comme le précise l’article de 01Net(9), ils ont démontré que, grâce à certaines propriétés mathématiques de cet algorithme, il serait possible, à l’aide d’un ordinateur du commerce, équipé d’un processeur Core i7 de casser la clé de chiffrement en 10 secondes, avec un taux de succès de 95 % !

Qui nous dit que la NSA n’est pas déjà en capacité d’en faire autant sur AES ?
L’avenir et peut-être Wikileaks, nous le dirons...

Comme l’a également rappelé Eric Filiol lors de sa présentation, la Russie par exemple, a définie son propre standard avec GOST et interdit l’utilisation d’AES.
Alors, pour quand un standard Européen ?


(1) /article/2788/meltdown-spectre-l-armageddon-numerique.html

(2) https://www.ssi.gouv.fr/administration/reglementation/controle-reglementaire-sur-la-cryptographie/

(3) https://fr.wikipedia.org/wiki/Pretty_Good_Privacy

(4) https://fr.wikipedia.org/wiki/Advanced_Encryption_Standard

(5) https://fr.wikipedia.org/wiki/National_Institute_of_Standards_and_Technology

(6) Une pointure qu’on ne présente plus, mais si son nom ne vous dit rien, allez vite faire un tour ici 

(7) https://www.blackhat.com/docs/eu-17/materials/eu-17-Filiol-By-Design-Backdooring-Of-Encryption-System-Can-We-Trust-Foreign-Encryption-Algorithms.pdf

(8) https://fr.wikipedia.org/wiki/Porte_dérobée 

(9) http://www.01net.com/actualites/et-si-l-algorithme-de-chiffrement-le-plus-utilise-au-monde-avait-une-backdoor-1330455.html

Avez-vous apprécié ce contenu ?

A lire également.

Illustration Approche hétérodoxe du concept de risque résiduel

Approche hétérodoxe du concept de risque résiduel

02 juin 2025 - 22:42,

Tribune

-
Cédric Cartau

Vous voulez être le bon élève de l’auditeur 27001 qui vient constater, de visu, comment vous mettez en œuvre un SMSI. Le bon élève, avec les félicitations, le bisou sur le front et le petit papier qui va bien.

Illustration La cyber, les rillettes et les puces en 5 minutes

La cyber, les rillettes et les puces en 5 minutes

19 mai 2025 - 23:24,

Tribune

-
Cédric Cartau

C’est ce que je trouve bien dans la cyber : la discipline est au carrefour des possibles, et il ne faut pas bien longtemps pour tordre une nouvelle ou un article glanés çà ou là avant de les cyber-retourner, souvent avec la mauvaise foi qui me caractérise, j’en conviens. Exercice en live.

Illustration Contourner les règles, faille cyber éternelle et consubstantielle à l’espèce humaine

Contourner les règles, faille cyber éternelle et consubstantielle à l’espèce humaine

21 avril 2025 - 19:07,

Tribune

-
Cédric Cartau

Récemment, un post sur LinkedIn racontait l’histoire suivante : un enseignant soucieux de repérer les élèves qui faisaient rédiger leur copie par ChatGPT transmettait ses consignes sous forme de fichiers PDF dans lesquels il incluait des morceaux de texte en caractères blancs, donc invisibles pour l...

Illustration Panorama forcément non exhaustif du fléau des arnaques en ligne en ce début 2025

Panorama forcément non exhaustif du fléau des arnaques en ligne en ce début 2025

08 avril 2025 - 07:19,

Tribune

-
Cédric Cartau

Le temps des mails provenant d’un prince nigérian qui requiert votre aide pour toucher un héritage, ou de la petite Marie qui attend désespérément une greffe, est révolu : les techniques ont évolué, les outils aussi, les réseaux se sont structurés et professionnalisés. Petit panorama, forcément inco...

Lettre d'information.

Ne manquez rien de la e-santé et des systèmes d’informations hospitaliers !

Inscrivez-vous à notre lettre d’information hebdomadaire.