La suite ...
"Le seul code "inviolable" met en œuvre une clé aussi longue que le texte à cacher"
Téléphones portables, cartes de crédit, internet... Les codes secrets font complètement partie de notre quotidien. Nos informations
personnelles sont-elles protégées, qui crée et casse les codes ?
questions.
Les codes que nous utilisons sont censés protéger nos informations : sont-ils sûrs ?
La sécurité de nos informations est comme une chaîne : c'est le maillon le plus faible qui cède en premier. Ce n'est sûrement pas les
codes que nous utilisons mais, plus simplement, le système d'exploitation de l'ordinateur avec lequel nous travaillons ou... les erreurs de
l'utilisateur qui posent le plus de problèmes.
Est-ce que les codes utilisent nos informations personnelles ?
Les codes ne font que protéger nos informations personnelles : ils sont en général mis en œuvre avec ce qu'on appelle des clés
secrètes, suites de chiffres, de lettres ou de mots. L'accès à ces clés peut être conditionné par un mot de passe ou un PIN code et
alors, il vaut mieux ne pas mélanger les choses. Choisir sa date de naissance ou son prénom comme mot de passe est à proscrire.
Comment définiriez-vous un bon code ?
Un bon code... est un code que je ne sais pas casser. Plus sérieusement, un "code" se compose d'un mécanisme ou algorithme de
chiffrement qui transforme un texte clair en un texte incompréhensible et un algorithme de déchiffrement qui fait l'opération inverse. Ce
qu'on demande c'est que -sans les clés secrètes qui mettent en œuvre le code et qui sont partagées par les utilisateurs légitimes- aucune information sur le texte clair ne soit accessible à un intrus.
Y a-t-il des codes inviolables ?
Le seul code "inviolable" est celui qui met en œuvre une clé aussi longue que le texte à cacher. C'est peu pratique... Mais c'est ce qui était
utilisé entre Washington et Moscou pour le célèbre "téléphone rouge". Les codes utilisés en pratique ne sont pas inviolables mais les
casser demande une puissance de calcul tellement grande qu'elle est inaccessible.
Quel est l'algorithme de cryptage le plus puissant au monde à ce jour ? Est-ce que la NSA ou autre organisation militaire a les moyens
de casser un tel code. Si oui, en combien de temps ?
Actuellement, on recommande des algorithmes de chiffrement à l'AES (Advanced Encryptions Standard) pour le chiffrement disons d'un
fichier. Les clés ont suivant le cas 128, 192 ou 256 bits, 256 bits c'est-à-dire 256 zéros ou un, cela fait un nombre de combinaisons
gigantesque. La NSA ne me dit pas ce qu'elle sait faire mais je serais surpris qu'elle puisse venir à bout d'un tel code.
Quelle est l'espérance de vie d'un algorithme avant que celui-ci ne soit cassé (par des chercheurs ou des criminels) ?
Cela dépend de la qualité de l'algorithme : cela peut aller de quelques heures à des années. A cet égard, il faut plutôt faire confiance à
des algorithmes qui sont publiés, puisqu'on a au moins l'assurance que quelqu'un peut les "tester".
Les meilleurs créateurs de système de cryptographie sont aussi les meilleurs "crackeurs" ?
La crypto c'est effectivement la défense et l'attaque. Suivant les goûts les spécialistes font l'un, l'autre ou les deux. Disons que si on ne sait
pas voir les faiblesses des codes des autres, c'est sans doute difficile de voir les siennes.
Quelles techniques d'attaques crypto analytiques existe-t-il ?
Pendant longtemps, aucune technique n'était connue... ou du moins publiée. Aujourd'hui, on dispose de méthodes assez générales, qui
font l'objet de travaux scientifiques : cryptanalyse dite linéaire ou différentielle. Ceci vaut pour le chiffrement de fichiers ou de
communications. Pour la signature électronique et la mise en place d'un canal sécurisé, on utilise la crypto "à clé publique" pour laquelle
les méthodes sont différentes.
Que pensez-vous des paiements en ligne, sont-ils moins sécurisés ?
Là aussi les choses évoluent : la méthode actuelle pour la sécurisation des paiements en ligne repose sur l'établissement d'un canal
sécurisé suivant le protocole SSL. Ce type de méthode donne une bonne sécurité. Encore meilleure si le client dispose d'un mot de passe
pour s'identifier et encore mieux s'il a un "certificat", ce qui est encore rare.
Qui a inventé le système de codes de paiement sur l'internet ?
Il n'y a pas d'inventeur du système de paiement mais plusieurs inventeurs qui ont mis au point une norme internet qui est SSL (Secure
socket layer) aussi appelé TLS. Sur ce protocole on sécurise le trafic WEB. Cela se voit avec le s (sécurisé) de https et le cadenas qui
s'affiche sur l'écran.
Est-ce que même déconnectés d'Internet, on peut encore se faire pirater notre code, notamment le numéro de compte ?
SSL s'il est mis en place correctement protège la communication. Donc ni en ligne ni ensuite hors ligne on ne peut se faire pirater...
A moins que : l'établissement de SSL n'ait pas été correct, par exemple, on "parle" à un site qui n'est pas le bon. On a sur sa machine
des programmes espions installés par intrusion.
Que pensez des signatures sur Internet ? Ce sont bien des codes, non ?
Une signature électronique est en fait ce qu'on appelle un algorithme à clé publique. Ce sont bien des codes : le signataire à un secret
(qu'on appelle clé privée) et la vérification de la signature repose sur une clé publique correspondante incluse dans un certificat. C'est la
seule méthode fiable qui reproduit la fonction des signatures manuscrites sur Internet.
Pensez vous que la restriction de la clef de cryptage en France est un bon élément ou cela nuit au bon cryptage des données ?
La réglementation sur les clés a évolué et - s'il reste des obligations pour les fournisseurs de produits - il n'y a essentiellement plus de
limite pour l'utilisateur sur les tailles des clés, ce qui est une bonne nouvelle.
Qu'est-ce qu'un code à clé publique ? À clé privée ?
Dans la cryptologie conventionnelle, chiffrement et déchiffrement reposent sur une même clé partagée par deux personnes (ou
machines) qui communiquent. Dans la crypto à clé publique, celui qui chiffre dispose d'une clé publique de son correspondant (qui peut
la mettre sur une page WEB) et celui qui déchiffre d'une clé privée. Pour signer, c'est l'inverse, celui qui signe a une clé privée et celui qui
vérifie récupère (par ex sur une page WEB) la clé publique correspondante du signataire.
Pourquoi on nous demande les 3 derniers chiffres derrière la carte bancaire ? Est-ce une sûreté de plus ?
C'est une sûreté de plus : si un numéro de carte est récupéré par un fraudeur, alors s'il n'a pas la carte, il n'a pas en général ces 3 chiffres.
Le maillon le plus faible n'est-il pas le réseau sur lequel transitent les codes (Wifi par exemple) ?
Le maillon le plus faible c'est ... l'internaute qui reçoit un spam lui disant de se connecter sur le site de sa banque, qui clique, et qui se
retrouve sur un site pirate... Le Wifi a pas mal progressé en termes de sécurité.
Le cryptage par empreinte digitale, c'est le codage absolu ?
Non, l'empreinte digitale est un mécanisme d'authentification (comme le PIN code) qui peut ensuite débloquer l'accès à une clé (par
exemple sur une clé USB). C'est donc simplement un mécanisme commode (on a en général son doigt avec soi) et une sécurité
supplémentaire.
Y a t-il quelqu'un qui connait les tenants et aboutissants des codes et cartes ?
Sûrement, je crois même que beaucoup de choses sont parfaitement publiques sur ces questions. Si vous attendez "le secret des
cartes" vous allez être déçu.
A quand la fin des codes secrets et l'arrivée de "l'ambient intelligence" ?
Je pense que plus on va faire des choses compliquées, des voitures qui se pilotent seules et de l'ambient intelligence, plus on aura
besoin de sécurité et donc de codes secrets. Désolé, la fin des codes n'est pas pour demain.
Qu'en est-il de la cryptographie quantique ? Est-ce une avancée si révolutionnaire que cela ?
La cryptographie quantique est une voie de recherche très intéressante qui crée des codes inviolables reposant sur les lois de la
physique. Cela dit, elle nécessite des équipements qui ont un coût élevé si on les compare à des algorithmes qui utilisent le temps de
calcul de machines qui souvent ne font pas grand chose de leur puissance de calcul.
Le meilleur des cryptages n'est il pas plutôt la façon de faire circuler l'information plutôt que d'essayer de la cacher ?
Oui... Si vous n'avez rien à cacher. Maintenant, je pense qu'avec tous les "crawlers" qui peuvent récupérer de l'information sur le Net, il
est préférable de ne pas faire circuler ses numéros de cartes de crédit, son numéro de sécu ni ses données médicales ou
professionnelles.
Pourriez-vous me dire s'il existe des programmes espions qui sont efficaces malgré les spyware ?
Les outils de protection anti-virus anti spyware etc. fonctionnent en repérant les logiciels malveillants et les éliminant. Le danger est
donc de ne pas être à jour des dernières attaques.
L'informatique a-t-il eu un lourd impact sur les codes ?
Considérable : ce sont entre autres les besoins de cryptanalyse des codes qui ont suscité la création de machines et donc la mise
au point d'ordinateurs.
Depuis quand date l'utilisation des chiffres pour en faire des codes secrets ?
Les chiffres sont présents depuis toujours. D'ailleurs chiffres et codes sont synonymes. Si maintenant il s'agit de l'utilisation de grands
nombres entiers dans la crypto à clé publique actuelle, cela remonte aux années 1976-78 qui ont vu l'invention de la clé publique et de
ce qu'on appelle le système RSA.
Des cryptologues fameux se sont illustrés par le passé : Leonard de Vinci, Alan Turing pendant la 2ème Guerre Mondiale... Qui sont
les cryptologues modernes ? Pour qui ou quelle institution travaillent-ils ? Sont-ils "nobélisables" ?
Il n'y a pas de Nobel pour les mathématiciens ni pour les informaticiens. Je pense que les cryptologues vivants les plus connus
sont Whit Diffie et Martin Hellman, inventeurs de la clé publique et Ron Rivest, Adi Shamir et Len Adleman inventeurs de RSA (leurs
initiales). Ce sont des universitaires.
Quels conseils pouvez-vous donner en termes de création de mot de passe (comptes bancaires en ligne par exemple) ?
Un bon mot de passe :
- est assez long
- ne figure pas dans un dictionnaire
- comporte une certaine variété : minuscules, majuscules, signes de ponctuation, chiffres...
Tout cela complique la tâche de l'adversaire.
Comment devient-on crypto analyste ?
La cryptographie -et la cryptanalyse- nécessitent un mélange de compétences en informatique, mathématiques et ingénierie. Il faut
donc les acquérir.
Qui utilise le plus les codes ?
Tout le monde : aujourd'hui il y a des codes :
- dans nos cartes de crédit
- dans nos téléphones portables
- sur l'Internet (paiements sécurisés achats en ligne)
Chacun de nous porte sur lui deux processeurs crypto en permanence (téléphone portable et CB) : il y a une véritable ubiquité de la
cryptologie.
Merci pour toutes ces questions qui montrent un véritable intérêt pour la crypto.
A suivre ...