Les 11 raisons pour lesquelles le chiffrement est (presque) mort - Actualités RT Sécurité

Les 11 raisons pour lesquelles le chiffrement est (presque) mort

le 07/05/2014, par Peter Wayner (CSO / Infoworld), Sécurité, 1126 mots

Tous ceux qui ont vu beaucoup de films d'action savent qu'on peut combattre une armée de ninjas, désamorcer des bombes, détourner des missiles, mais pas lutter contre les technologies de chiffrement. C'est une vérité intangible... surtout à Hollywood, peut être aussi dans beaucoup d'esprit, mais la réalité est bien différente.

Les 11 raisons pour lesquelles le chiffrement est (presque) mort

Plus que jamais, les technologies de chiffrement sont remises en cause, cela ne signifie pas que vous devez renoncer à sécuriser vos données sensibles, mais une entreprise avertie en vaut deux. Il est impossible de garantir l'ensemble de la chaîne de sécurité, voici 11 raisons pour lesquelles le chiffrement n'est plus tout à fait ce qu'il était.

. Faiblesse n°1 : l'absence de preuve

Les mathématiques, qui sont au coeur des technologies de chiffrement, impressionnent beaucoup, mais ne constituent pas des preuves absolues. L'un des algorithmes les plus célèbres, RSA, se veut sûr, aussi longtemps qu'il sera difficile de prendre en compte des-grands nombres . Est-il si difficile de prendre en compte de tels chiffres ? En fait, il n'y a aucune preuve que c'est difficile, mais personne ne sait comment le faire correctement. Si c'était le cas, RSA pourrait être ouvert aussi facilement qu'un oeuf. Ce n'est pas encore arrivé, enfin pas à notre connaissance.

Sur le même sujetUn PDG américain "viré" après une cyber-attaque contre son entreprise. Faiblessse n°2 : divulguer est-ce vraiment utile ?

La divulgation est le seul moyen de détecter un crack. Supposons que vous ayez compris comment prendre en compte un grand nombre de crack de chiffrements RSA. Allez-vous en informer le monde entier ? Peut-être. Cela pourrait vous rendre célèbre. Mais cette activité a aussi sa part d'ombre,  il n'est pas difficile d'imaginer qu'ainsi vous attirerez une part importante d'individus ou d'organisations qui pourraient utiliser ces informations pour faire de l'argent ou extraire de précieuses informations.

Bon nombre de nos hypothèses quant à la sécurité du chiffrement sont basées sur la croyance que les gens vont partager toutes leurs connaissances sur les vulnérabilités, mais il n'y a pas de garantie que quiconque le fera. Les agences de renseignement par exemple gardent régulièrement leurs connaissances pour elles-mêmes.

. Faiblessse n° 3 : une sécurité est « supposée » parfaite

Une chaîne de sécurité est longue et imparfaite. Il existe un certain nombre d'excellentes démonstrations mathématiques concernant la sécurité des systèmes. Elles offrent beau-coup de perspicacité sur un aspect particulier, mais en disent peu sur l'ensemble de la chaîne. Les gens aiment pourtant utiliser des expressions comme «sécurité parfaite préa-lable» pour décrire un mécanisme qui change les clés assez souvent pour éviter aux fuites de se propager. Mais en fait, cela ne couvre qu'une partie de la chaîne. Une défaillance dans l'algorithme ou une faille dans le logiciel peuvent contourner cette supposée perfection.

. Faiblesse n ° 4 : on se laisse impressionner par les chiffres

Beaucoup d'algorithmes assurent qu'il faudrait « des millions d'heures » pour essayer tous les mots de passe possibles. Donc un temps incroyablement long pour se rendre compte que seul Amazon peut avoir un demi-million d'ordinateurs à louer à l'heure. Certains botnets peuvent comprendre plus d'un million de noeuds. Les gros chiffres ne sont pas si impressionnants de nos jours.

. Faiblesse n°5 : les cartes vidéo sont aussi vulnérables

Les cartes vidéo sont également faciles à craquer. Le même matériel peut fonctionner avec des millions de mots de passe. Les GPU peuvent être mis, de manière incroyable, en parallèle avec les ordinateurs et en plus, ils sont moins chers que jamais.

. Faiblesse n°6 : les hyperviseurs nécessitent d'être hypervigilants

Vous pensez télécharger ce qu'il y a de plus sûr.  Vous avez appliqué toutes les mises à jour, vous avez nettoyé toutes les « cochonneries »  et vous avez désactivé tous les pro-cesss bizarres. Félicitations, vous vous rapprochez d'un serveur sécurisé. Mais vous êtes toujours obsédés par le fait d'auditer chaque ligne de code par vous-même. Ce serait parfait, si l'hyperviseur en arrière-plan ne pouvait faire tout ce qu'il voulait à au code  ou à la mémoire.

. Faiblesse n°7 : les couches cachées

L'hyperviseur et le BIOS ne sont que quelques-unes des couches caches les plus évi-dentes. Pratiquement chaque appareil dispose de firmwares et risque ainsi de se retrouver poreux. Et comme il est rarement attaqué de l'extérieur, il est rarement protégé pour ce risque.

Une recherche  de backdoor matériel appelé « Rakshasa » peut infecter le BIOS et se faufiler dans le firmware des cartes réseau PCI. Même si votre chiffrement est solide et si votre système d'exploitation n'est pas infecté, votre carte réseau pourrait vous trahir.

. Faiblesse n°8 : des backdoors à profusion

Souvent, les programmeurs font des erreurs. Ils oublient de vérifier la taille d'une entrée, ou bien ils oublient d'effacer la mémoire avant de la reéallouer. Finalement, quelqu'un trouve la faille et commence à l'exploiter. Certaines des entreprises les plus en pointe proposent un flux régulier de correctifs qui semble ne jamais finir, et elles devraient en être félicitées. Mais l'augmentation incessante des correctifs de sécurité suggère que c'est sans fin. Au moment où vous avez fini de lire cet article, il y a probablement deux nouveaux correctifs d'installés. N'importe laquelle de ces failles pourrait compromettre votre chiffrement. Il n'y a pas de fin, ni de limites, avec une porte dérobée tant qu'elle n'a pas été découverte.

. Faiblesse n°9 : des nombres aléatoires peu fiables

La battage médiatique autour du chiffrement met l'accent sur la force de l'algorithme, mais glisse généralement sur le fait que l'algorithme de sélection de clef est tout aussi important. Votre chiffrement peut être super efficace, si l'espion peut deviner la clef, l'ef-ficacité est réduite à néant.

Ceci est important car de nombreuses routines de chiffrement ont besoin d'une source fiable de nombres aléatoires pour aider à choisir la clef. Or, certains attaquants substi-tuent leur propre générateur de nombres aléatoires et l'utilisent pour miner le choix des clés.

. Faiblesse n° 10 : les vertus de l'open source

L'un des attraits des logiciels open source, c'est qu'ils peuvent découvrir des bugs, peut-être pas tout le temps, mais de temps en temps. L'iOS d'Apple, par exemple a une ligne supplémentaire dans son code : goto fail. Chaque fois qu'il a voulu s'assurer qu'elle était exacte, tout s'est bien passé. Etait-ce vraiment un erreur ? Ou bien a-t-il été mis là ex-près ? Nous ne le saurons jamais. Mais il a fallu un certain  temps pour que les yeux avi-sés de la communauté open source le découvrent.

. Faiblesse n° 11 : les certificats peuvent être inutilisables

Un exemple, vous utilisez une connexion email cryptée, vous êtes extrêmement prudent, vous cliquez pour vérifier le certificat, on vous répond qu'il a été émis émis par une Auto-rité spécialisée, vous pensez donc être couvert et rigoureux.

Et bien non. Il est possible que le destinataire du mail utilise une autorité de certification différente de la vôtre, à partir de là un espion peut se glisser dans le contact. Il  y a jus-tement des centaines d'autorités de certification dans le monde, ce n'est pas un exemple hypothétique. Certaines de ces autorités sont sous le contrôle des gouvernements locaux et peuvent créer n'importe quel certificat.

Frappé par une faille, Zoom bétonne la sécurité de sa webconférence

Affectant dans un premier temps les utilisateurs de la version macOS pour poste de travail, la vulnérabilité de l'application de webconférence Zoom s'est étendu aux solutions RingCentral et Zhumu. Pour...

le 16/07/2019, par Matthew Finnegan, Computerworld (adapté par Dominique Filippone), 1795 mots

Cisco émet trois avis de sécurité critiques pour DNA Center

Trois problèmes de sécurité sérieux signalés par Cisco concernent Data Center Network Manager (DCNM). L'équipemntier a livré des mises à jour logicielles gratuites corrigeant les vulnérabilités décrites dans...

le 01/07/2019, par Michael Conney, Network World (adapté par Jean Elyan), 725 mots

Mirai essaye d'étendre son emprise au SD-WAN

Après les périphériques connectés, le malware Mirai s'attaque aujourd'hui aux équipements SD-WAN pour accroitre la portée de ses attaques. Mirai, le malware qui a détourné des centaines de milliers d'appareils...

le 18/06/2019, par Jon Gold, IDG NS (adapté par Jean Elyan), 531 mots

Dernier dossier

Les white-box sont-elles l'avenir de la commutation réseau ?

Et si vous pouviez gérer vos commutateurs de centres de données et vos routeurs de la même façon que vos serveurs et ainsi réduire les coûts des dépenses en capital ? C'est la promesse des white-box qui amènent des systèmes d'exploitation réseau open source fonctionnant sur du matériel courant.Pour en avoir le coeur net, nous avons testé Cumulus...

Dernier entretien

Jamshid Rezaei

DSI de Mitel

Le DSI de Mitel, Jamshid Rezaei, a adopté le système japonais du Kaizen prônant l'amélioration continue...