Le chiffrement reste bien le meilleur moyen de protéger les données - Actualités CSO Hacking

Le chiffrement reste bien le meilleur moyen de protéger les données

le 11/09/2013, par D.B. avec NetworkWorld, Hacking, 671 mots

Un chiffrement correctement implémenté est difficile à contrer, même par des experts des services secrets américains, disent plusieurs experts en sécurité consultés par NetworkWorld. Bien que la National security agency, NSA, dépense des milliards de dollars pour « craquer » les technologies de chiffrement, les experts en sécurité maintiennent que correctement implémenté, le chiffrement est encore le meilleur moyen pour maintenir une confidentialité en ligne.

Le chiffrement reste bien le meilleur moyen de protéger les données

Le journal The Guardian et d'autres avec lui ont publié la semaine passée une enquête basée sur des documents internes à la NSA expliquant comment l'agence de renseignement contourne les technologies de chiffrement en utilisant des accès dissimulés, en forçant brutalement le passage, ou bien en utilisant des ordonnances judiciaires, et par des accords avec des fournisseurs de technologies.

L'étude est basée sur des documents qui ont fuité vers des journalistes, grâce à un ancien salarié de la NSA, Edward Snowden. Elle suggère que plusieurs algorithmes de chiffrements maintenant largement utilisés pour protéger les communications en ligne, les comptes bancaires, les dossiers médicaux et des secrets commerciaux ont été « craqués » par la NSA et son équivalent en Grande-Bretagne, le GCHQ (Government Communications Headquarters).

Steve Weis, le directeur technique de PrivateCore, titulaire d'un doctorat en cryptologie du MIT, nous indique que malgré les tentatives de la NSA, les mathématiques utilisées en cryptologie restent très difficiles à résoudre. Il suggère qu'il est probable que la NSA a réussi à percer certaines technologies de chiffrement, mais à l'aide de techniques non sécurisées et datées.

Une norme de chiffrement agréé par le NIST

Par exemple, les documents expliquent que la NSA a bâti un backdoor (accès dissimulé) dans une norme de chiffrement agréé par le NIST (National institute of standards and technology)    nommé Dual EC DRBG, qui est utilisé pour générer des  nombres aléatoires. Steve Weis a souligné que cette norme Dual EC DRBG a été approuvée pour six ans et a été rarement utilisée depuis que deux ingénieurs de Microsoft ont découvert le backdoor (accès dissimulé) de la NSA.

En fait, il reste difficile de savoir si les experts de la NSA ont la capacité de « craquer » les plus robustes technologies de chiffrement. « Jusqu'ici, explique Steve Weis je n'ai rien vu qui suggère qu'un algorithme comme AES (Advanced encryption standard) a été rompu ».

«S'il est correctement implanté, ce chiffrement apporte une sécurité incassable », explique Dave Anderson, un directeur senior de Voltage Security, fournisseur de technologies de chiffrement.

Un hacker avec un PC de milieu de gamme

«C'est le type même de sécurité qui demanderait des millions d'années à craquer pour un supercalculateur. Mais si elle est négligemment implémentée, si les processus de gestion de la sécurité ne sont pas sains, alors, cette sécurité peut être réduite à un niveau où un hacker avec un PC de milieu de gamme peut la craquer en quelques heures, tout au plus. »

Anderson explique que la NSA n'est peut être pas capable de profiter des failles dans le chiffrement, elle a peut-être profité de processus de chiffrements mal mis en oeuvre.

Dave Jevans, fondateur et directeur technique de Marble Security, un spécialiste des technologies de sécurité pour mobiles, explique que plusieurs des points relevés par les documents de la NSA sont basés sur une mauvaise compréhension des faits.

La principale vulnérabilité est la gestion des clés

«La plupart des e-mails, des recherches sur le web, des chats sur internet et des appels téléphoniques ne sont pas automatique chiffrés, la NSA ou d'autres plus anonymes peuvent simplement analyser le trafic, explique-t-il. La principale vulnérabilité dans ce trafic crypté est la gestion des clés explique Dave Jevans. Elles sont longues, les mots de passe restent aléatoires, voler la clé c'est donc comme voler le mot de passe ».

Les énormes ressources financières et humaines de la NSA lui permettent de contrer efficacement  les clés de chiffrement et la gestion des clés, plutôt que de tenter de casser les algorithmes situés derrière le code de chiffrement. C'est un milliard de fois plus efficace. Donc, malgré les récentes révélations, le chiffrement reste le meilleur moyen pour protéger les données en ligne.   

Microsoft coutumier des add-on non fonctionnelles et bogées

Vendredi dernier, la firme de Redmond a reconnu qu'elle avait dû réécrire 4 des 13 add-on de sécurité publiées lors du dernier Patch Tuesday. D'après le retour des utilisateurs, même une fois installées, les...

le 18/09/2013, par Gregg Keizer, adaptation Oscar Barthe, 463 mots

Google ne crypte pas efficacement les mots de passe Wi-Fi

Lorsqu'un utilisateur d'Android réalise une sauvegarde de son système, notamment en vue d'une réinitialisation de l'appareil, la firme de Mountain View accède immédiatement au clé de son réseau WiFi privé....

le 18/09/2013, par Oscar Barthe, 367 mots

2 millions de comptes clients de Vodafone Allemagne piratés

Un salarié travaillant pour un prestataire de Vodafone Allemagne est soupçonné d'être à l'origine du vol de données concernant deux millions de clients. Cette affaire n'est pas sans rappeler, par sa...

le 16/09/2013, par Serge LEBLAL, 364 mots

Dernier dossier

Les white-box sont-elles l'avenir de la commutation réseau ?

Et si vous pouviez gérer vos commutateurs de centres de données et vos routeurs de la même façon que vos serveurs et ainsi réduire les coûts des dépenses en capital ? C'est la promesse des white-box qui amènent des systèmes d'exploitation réseau open source fonctionnant sur du matériel courant.Pour en avoir le coeur net, nous avons testé Cumulus...

Dernier entretien

Joël Mollo

VP Europe du sud de SkyHigh

« Nous créons un nouveau marché autour de la sécurité du cloud »