Vous êtes dans : Accueil > Tribunes libres >

Notre confiance dans le « chiffrement » remise en question

Charles Blanc-Rolin, MARDI 30 JANVIER 2018 Soyez le premier à réagirSoyez le premier à réagir

La sécurité, dans le secteur du numérique, ou plutôt, le sentiment de sécurité que nous pouvons ressentir, repose avant tout sur la confiance que nous accordons aux différentes technologies que nous utilisons. Le matériel, tout d’abord, et les récentes vulnérabilités Meltdown et Spectre(1), nous prouvent encore une fois, qu’il s’agit d’un paramètre non négligeable, puis les systèmes d’exploitation, fonctionnant en mode « boîte noir », pour une majorité des serveurs, terminaux et autres dispositifs médicaux équipant nos établissements de santé, pour finir avec les applicatifs, qui là encore, ne présentent que rarement le code « qu’ils ont dans le ventre ».

Le chiffrement, ce rempart aux atteintes à la confidentialité de nos « vies numérisées », même s’il reste réglementé (2), s’est aujourd’hui totalement démocratisé, grâce, notamment, aux nécessités de protection apparues avec l’arrivée du commerce en ligne il y a une vingtaine d’années. Jusqu’alors, des solutions de chiffrement telles que PGP(3) par exemple, étaient interdites en France. Alors, même si, sous prétexte que le chiffrement permettrait à des terroristes et autres criminels de préserver leur anonymat dans certaines circonstances, il parait aujourd’hui inconcevable de faire machine arrière.

Dans ce domaine également, nous n’avons pas d’autre choix que de faire confiance à des algorithmes, et à leurs créateurs.
AES(4), est aujourd’hui un standard du chiffrement symétrique, sur lequel de nombreuses solutions s’appuient, et que nous utilisons tous quotidiennement, sans, souvent, même le savoir.
Mais, gardons à l’esprit que cet algorithme, certifié par le NIST(5), nous est « plus ou moins imposé » par l’Oncle Sam.

Et si « quelqu’un », une « entité » ou un « état » avait déjà la clé de cette « boite de Pandore » ?
C’est en tout cas, une probabilité qu’a laissé « sous entendre » une nouvelle fois, l’un des meilleurs experts Français dans le domaine, Monsieur Eric Filiol(6), lors de la présentation de ses travaux(7) début décembre à Londres, à l’occasion du dernier « Black Hat Europe ».

Eric Filiol et Arnaud Bannier ont créé l’algorithme de chiffrement symétrique par blocs BEA-1, « similaire » à AES, respectant les standards du NIST et donc susceptible d’obtenir les mêmes certifications que ce dernier. Ils ont, à l’intérieur de cet algorithme, laissé volontairement une « backdoor »(8), extrêmement difficile à détecter pour qui n’en serait pas l’auteur.
Comme le précise l’article de 01Net(9), ils ont démontré que, grâce à certaines propriétés mathématiques de cet algorithme, il serait possible, à l’aide d’un ordinateur du commerce, équipé d’un processeur Core i7 de casser la clé de chiffrement en 10 secondes, avec un taux de succès de 95 % !

Qui nous dit que la NSA n’est pas déjà en capacité d’en faire autant sur AES ?
L’avenir et peut-être Wikileaks, nous le dirons...

Comme l’a également rappelé Eric Filiol lors de sa présentation, la Russie par exemple, a définie son propre standard avec GOST et interdit l’utilisation d’AES.
Alors, pour quand un standard Européen ?


(1) http://www.dsih.fr/article/2788/meltdown-spectre-l-armageddon-numerique.html

(2) https://www.ssi.gouv.fr/administration/reglementation/controle-reglementaire-sur-la-cryptographie/

(3) https://fr.wikipedia.org/wiki/Pretty_Good_Privacy

(4) https://fr.wikipedia.org/wiki/Advanced_Encryption_Standard

(5) https://fr.wikipedia.org/wiki/National_Institute_of_Standards_and_Technology

(6) Une pointure qu’on ne présente plus, mais si son nom ne vous dit rien, allez vite faire un tour ici 

(7) https://www.blackhat.com/docs/eu-17/materials/eu-17-Filiol-By-Design-Backdooring-Of-Encryption-System-Can-We-Trust-Foreign-Encryption-Algorithms.pdf

(8) https://fr.wikipedia.org/wiki/Porte_dérobée 

(9) http://www.01net.com/actualites/et-si-l-algorithme-de-chiffrement-le-plus-utilise-au-monde-avait-une-backdoor-1330455.html

sécurité, numérique, code, établissements de santé, dispositifs médicaux, ssi