La puce neuromorphique TrueNorth d'IBM, qui affiche des capacités d'apprentissage deep-learning, est plus rapide et plus économe en énergie que les GPU et CPU actuelles.

L'Image du jour

La puce neuromorphique TrueNorth d'IBM, qui affiche des capacités d'apprentissage deep-learning, est plus rapide et plus économe en énergie que les GP...

Les Fintech bousculent la finance

Dernier Dossier

Les Fintech bousculent la finance

Quelque 4 000 Fintechs existeraient dans le monde, sûrement une faible minorité d'entre elles subsistera dans les trois ans. Une chose est sûre, depui...

Restez proche de l'actualité IT

NEWSLETTERS THEMATIQUES

Découvrez nos différentes newsletters adaptées à vos besoins d'actualités IT Pro : Mobilité, Réseaux, Stockages, ...

Abonnez-vous 
FERMER

LMI MARKET

Votre comparateur de prestataires IT : Comparez les devis, Evaluez les prestataires, Trouvez le juste prix!...

Accéder à ce service 

BLOG

Découvrez les contenus exclusifs publiés par les lecteurs du Monde Informatique avec la plateforme LMI Blog...

Accéder à ce service 

COMPARATEUR DE SALAIRE

Partagez votre situation salariale anonymement, consultez les statistiques depuis 2009 et faites vos propres analyses...

Accéder à ce service 

IT TOUR

LMI vous invite à sa Matinée-Débats dans votre région.
Inscrivez-vous

Accéder au site 
FERMER
2
Réagissez Imprimer Envoyer

Malgré les efforts de la NSA, le chiffrement reste sûr pour protéger les données

Crédit Photo: D.R

Crédit Photo: D.R

Si la NSA dépense des milliards de dollars pour casser les technologies de cryptage, des experts en sécurité estiment que, correctement mis en oeuvre, le chiffrement est encore le meilleur moyen pour garantir la confidentialité sur le web.

Le journal The Guardian et d'autres médias ont publié la semaine dernière des documents issus de l'informateur Edward Snowden montrant que la NSA travaille à casser les technologies de chiffrement par différents moyens : backdoor, attaques par force brute, interceptions légales et partenariats avec des acteurs IT. A la lecture de ces documents, il semble que l'agence de renseignement et son homologue britannique GHCQ soit capable de venir à bout de nombreux algorithmes de chiffrement utilisés pour sécuriser les communications en ligne, les services bancaires et les secrets industriels.

Steve Weis, directeur technique chez PrivateCore et titulaire d'un doctorat en cryptographie du MIT a expliqué que malgré les activités de la NSA, les mathématiques utilisées pour le chiffrement sont très difficiles à casser. Il suggère que l'agence a réussi à briser des technologies dépassées ou peu fiables. Ainsi, dans les documents publiés, il y en a un qui suggère que la NSA aurait implanté un backdoor dans une norme de chiffrement approuvée par le NIST et nommée Dual EC DRBG. Cette dernière a pour vocation de générer des nombres aléatoires. « Elle date de 6 ans et a rarement été utilisée depuis que deux ingénieurs de Microsoft ont découvert le backdoor de la NSA », explique Steve Weis. Il s'interroge sur le fait que les experts de la NSA disposent de la capacité de fracturer des technologies de cryptage plus robustes. « Jusqu'à présent, je n'ai pas constaté que l'algorithme AES (Advanced Encryption Standard) a été cassé », confie le spécialiste.

Une mise en oeuvre correcte et une saine gestion des clés


De son côté Dave Anderson, directeur de Voltage Security, société spécialisée dans le chiffrement, indique « s'il est appliqué correctement, le cryptage assure une sécurité inviolable » et d'ajouter qu'« il s'agit normalement d'une sécurité qui prendrait des millions d'années à des supercalculateurs à casser ». Il émet cependant des limites, « si la mise en oeuvre a été négligée et que le processus de gestion des clés n'est pas bon, alors le niveau de sécurité peut être mis en défaut en quelques heures par un pirate avec un PC moyen de gamme ». Le dirigeant a souligné que la NSA a pu être en mesure de profiter de failles dans le processus de gestion des clés sur lesquels s'appuie le chiffrement, plutôt que de casser la technologie de cryptographie elle-même. Il est possible que l'agence américaine ait déchiffré des comptes commerciaux et financiers, mais seulement si la cryptographie a été mal mise en oeuvre via un processus de gestion de clef défaillant, incomplet ou invalide.

Dave Jevans, fondateur et directeur technique de Marble Security (spécialiste de la sécurité mobile) constate que certaines préoccupations soulevées par les documents de la NSA reposent sur une mauvaise compréhension des faits. Il déclare que « la plupart des emails, des recherches sur le web, les chats sur Internet et les appels téléphoniques ne sont pas automatiquement chiffrés, donc la NSA ou quelqu'un d'autre peut simplement analyser le trafic online pour y accéder ». Il constate comme ses confrères que « la principale vulnérabilité d'un trafic crypté est la gestion des clés ». Il ajoute « voler une clef, c'est comme voler un mot de passe ». La NSA dispose d'énormes ressources financières et humaines pour se focaliser sur les clés et les systèmes de gestion de ces clés, plutôt que des casser les mathématiques derrière les techniques de chiffrement. « C'est un milliard de fois plus efficace », concède Dave Jevans.

Au final, Steve Weis soutient que malgré les révélations, le chiffrement reste la meilleure façon de protéger les données en ligne. Il donne aussi des conseils aux entreprises touchées comme d'envisager des technologies Open Source comme Open SSL, dont le code est toujours visible par les développeurs, plutôt que des logiciels commerciaux plus vulnérables au backdoor de la NSA.

COMMENTAIRES de l'ARTICLE2

le 12/09/2013 à 13h47 par Cyrano (Membre) :

Pour ma part, je m'interroge.

Ça sent surtout la guerre psychologique. Que la NSA dispose de moyens conséquents, je suis bien disposé à l'admettre. Qu'elle passe du temps sur du développement pour casser des codes, soit. Mais de là à obtenir un résultat systématiquement, il y a un pas que je me garderai bien de franchir.
Il convient peut-être de s'interroger en premier lieu sur le point faible de ce que je pourrais nommer la « chaine de protection » : cette chaîne cassera là où se trouve son maillon le plus faible. Je doute fort que ce soit au niveau des algorithmes de chiffrement que leur travail sera le plus rentable. Donc il faut se tourner vers une autre direction : la qualité des mots de passes utilisés par les gens qui ont la main sur les mécanismes de chiffrement, et de ce fait les protègent.
Or ces dernières années, on a vu des grosses entreprises se faire pirater des données en grand nombre : il serait intéressant de savoir quel élément a le plus souvent permis aux pirates de réaliser leurs exploits. Combien de DSI ont des systèmes protégés avec des mots de passe qui sont tout simplement le prénom de leur femmes/maris, le nom de leur chien ou autre nom commun disponible dans n'importe quel dictionnaire ?

Enfin bon, je dis ça hein... ?

My 2¢

Signaler un abus

le 09/09/2013 à 16h37 par Visiteur2773 :

Cet article résonne comme un démenti aux précédents articles alarmistes de votre rédaction.
On se demande parfois quel est le niveau de formation en informatique des journalistes (ignorance de PGP/GPG) et s'il ont conscience qu'un espionnage efficace consiste d'abord à exploiter les bonnes vieilles méthodes de corruption/pression à l'encontre d'informaticiens en poste au sein de l'entreprise ciblée.

Signaler un abus

Commenter cet article

commenter cet article en tant que membre LMI

CONNEXION

Commenter cet article en tant que visiteur






* Les liens HTML sont interdits dans les commentaires

Publicité
35 ans
06 Juillet 1992 n°508
Publicité
Publicité