Cybersécurité : comment communiquer de manière sécurisée ? (1)

Comment s’échanger des messages en toute sécurité ? Décryptage…

Partager sur:
Sauvegarder cet article
Aimer cet article 0
Mike Forbes'sGPG fingerprint by Cory Doctorow(CC BY-SA 2.0)

Promouvoir la liberté n’est pas gratuit

Mais cela peut aider à réduire vos impôts de 66%

Faites un don dès maintenant

Faire un don

Cybersécurité : comment communiquer de manière sécurisée ? (1)

Publié le 26 février 2018
- A +

Par Philippe Guglielmetti.

Je vais vous expliquer pourquoi il ne faut pas trop se fier au petit cadenas vert que vous voyez de plus en plus souvent en haut de votre navigateur favori. Mais pour éviter un article trop long, je dois d’abord expliquer comment Alice et Bob s’échangent des messages sécurisés depuis 1977.

Petit rappel historique

Depuis l’Antiquité, Alice et Bob1 ont utilisé des clefs symétriques pour chiffrer et déchiffrer leurs messages secrets. La sécurité de leur transmission chiffrée reposait donc sur le secret de la clé : si Trudy l’ennemie2 arrivait à l’intercepter, c’était cuit.

Pourtant, comme nous l’avions vu dans un épisode précédent, il existe des méthodes étonnamment simples permettant à Alice et Bob de s’envoyer des messages indécryptables utilisant des clés qu’ils n’ont pas besoin de s’échanger. Mais si Eve la curieuse3 parvient à écouter les 3 messages échangés, elle peut reconstituer les clés, et c’est cuit aussi.

Les géniales clés de Ronald, Adi et Leonard

Puis, en 1977, Ronald RivestAdi Shamir et Leonard Adleman ont inventé quelque chose d’incroyable : le chiffrement RSA. Avec leur méthode, la clé permettant le déchiffrement4 d’un message n’est pas la même que la clé qui permet de le chiffrer : les clés sont « asymétriques ».
En voici le principe simplifié (pour les détails, voir le brevet5) :

  1. Bob choisit 2 nombres premiers P et Q assez grands, disons d’environ 150 chiffres. C’est très facile, comme je l’avais expliqué ici. Ces deux nombres permettent à Bob de calculer sa « clé privée » D, qu’il garde jalousement pour lui.
  2. Il calcule le produit des deux nombres N=P.Q, ainsi qu’un nombre E qui forment sa « clé publique », qu’il transmet sans crainte à Alice. En effet, si Trudy intercepte cette clé publique, ce n’est pas grave, car elle ne disposera pas avant quelques décennies d’un ordinateur assez puissant pour factoriser N et retrouver les nombres P,Q et de là le D nécessaire au déchiffrement.
  3. Pour envoyer un message à Bob, Alice le découpe en blocs de nombres M qu’elle élève à la puissance E avant de calculer les restes C modulo N, qu’elle envoie à Bob. Si Eve écoute les messages C, elle ne peut pas reconstituer le message M, même en connaissant E et N car elle aurait besoin de quelques siècles pour qu’un ordinateur calcule le  logarithme discret nécessaire.
  4. Utilisant sa clé privée, Bob élève C à la puissance D,  et le reste modulo N n’est autre que le message M d’Alice en clair, par la grâce et la beauté des maths, et l’ingéniosité de Ronald, Adi et Leonard.

« Bisous, Alice »

Mais Eve peut faire quelque chose de presque aussi embêtant que de décrypter les messages d’Alice : elle peut envoyer de faux messages à Bob en se faisant passer pour Alice. En fait, comme Bob a transmis sa « clé publique » sans précautions, tout le monde peut lui envoyer des messages cryptés signés « Bisous, Alice » sans qu’il soit capable d’en authentifier l’auteur réel.

Heureusement, Ronald, Adi et Leonard ont pensé à ça : leur méthode permet d’utiliser les clés publiques et privées « à l’envers » pour réaliser une signature numérique:

  1. Alice a également une clé privée qu’elle est la seule à connaître, et une clé publique que Bob a reçue, mais qu’Eve, vous et moi pouvons aussi connaître.
  2. Lorsqu’elle envoie un message M à Bob, elle utilise une « fonction de hachage » comme les fameuses SHA pour obtenir une empreinte numérique E de son message
  3. Là elle fait un truc bizarre : elle encrypte l’empreinte E avec sa clé privée. Oui, privée ! Elle obtient ainsi une signature S
  4. Elle « signe » le message M en lui ajoutant l’empreinte cryptée S, crypte le tout avec la clé publique de Bob, et lui envoie le message C.
  5. Comme ci-dessus, Bob déchiffre le message avec sa propre clé privée, lit le message M et la signature S à la suite
  6. Et là, Bob peut déchiffrer S avec la clé publique (oui, publique!) d’Alice et obtient E.
  7. Bob calcule aussi l’empreinte de M, et s’il obtient le même E, il est sur que c’est bien Alice qui lui envoyé le message car elle est la seule à pouvoir calculer un S qui corresponde au message et qui puisse être déchiffré avec sa clé publique. Génial, non ?

Après des siècles de cryptographie militaire à l’aide de méthodes top-secrètes et de machines aussi ingénieuses qu’Enigma, Alice, Bob, vous et moi nous échangeons désormais quotidiennement des messages totalement sécurisés sans même nous en apercevoir, avec des algorithmes publics et des téléphones portables. Du moins sécurisés contre Eve, qui ne peut qu’écouter les messages échangés.

Dans le prochain article, promis, je vous parle enfin du petit cadenas vert. Mais en attendant réfléchissez à comment vous pourriez tout de même obtenir les messages d’Alice et Bob en clair, quitte à être nettement plus fourbe qu’Eve…

Sur le web

  1.  Les personnages Alice et Bob sont des figures classiques en cryptologie. Ces noms sont utilisés au lieu de « personne A » et « personne B » ; Alice et Bob cherchent dans la plupart des cas à communiquer de manière sécurisée. Source Wikipedia.
  2. Personnage malveillant, toujours une figure classique de la cryptographie.
  3. Encore un personnage malveillant parmi les personnages de la cryptographie.
  4.  La convention est d’utiliser le verbe « déchiffrer » pour Bob, qui a le droit (= la clé) permettant d’obtenir le message en clair, et « décrypter » pour un opposant comme Eve, qui ne l’a pas.
  5. Ronald L. Rivest, Adi Shamir, Leonard M. Adleman « Cryptographic communications system and method » , 1977, US patent 4405829 A.
Voir le commentaire (1)

Laisser un commentaire

Créer un compte Tous les commentaires (1)
  • Bonjour,
    £a Sécurité repose toujours sur l’embauche de personnes qui soient vraiment « DE CONFIANCE ».
    — Si Raffael Halet a pu révéler les truanderies de PwC au Luxembourg ((LuxLeaks)),
    — Si Edward Snowden a pu filer en Asie avec trois ordinateurs bourrés à bloc de « DONNEES SENSIBLES »,
    — Si les fuites ont encore recommencé après son départ!!!
    C’est que des cornichons n’ont pas fait leur travail de sécurisation comme il convient.
    Dans Vatican III, Thierry Breton a montré comment il faut superviser les inspecteurs de la Sécurité informatique.
    Et vous savez bien aussi que certains logiciels « antivirus » peuvent très bien servir de chignole pour percer les secrets.
    Bref, comme disait mon Professeur de Kara Te, « N’oubliez jamais l’avertissement de Bruce £ee, Tout trésor mal gardé sera pillé ».

  • Les commentaires sont fermés.

Promouvoir la liberté n’est pas gratuit

Mais cela peut aider à réduire vos impôts de 66%

Faites un don dès maintenant

Faire un don

Article disponible en podcast ici.

Simple outil de communication pour nous, enjeux de puissance pour les États, les réseaux sociaux canalisent les tensions à mesure qu’ils montrent tout leur potentiel.

 

Médias, guerres et États

La volonté des États de contrôler l’information pour manipuler l’opinion publique ne date pas des réseaux. Et dire qu’ils se servent des médias à cette fin est un pléonasme.

En effet, le mot média est le pluriel du mot latin médium, soit un milieu, un intermédiaire, contrairement à imm... Poursuivre la lecture

Parmi les dispositions du décret du 28 juin 2022 portant convocation du Parlement en session extraordinaire, publié le 29 juin dans le Journal Officiel, on retrouve à l’article 2 alinéa 8, l’examen de la « proposition de loi portant diverses dispositions d’adaptation au droit de l’Union européenne en matière de prévention de la diffusion de contenus à caractère terroriste en ligne ».

Celle-ci fit l’objet d’un accord en Commission mixte paritaire. Disons-le d’emblée, ce texte représente une menace sérieuse pour l’État de droit, notammen... Poursuivre la lecture

Aujourd’hui encore, la perception du Metaverse par le public ce sont des jeux vidéo, des expériences de réalité virtuelle, des technologies encore naissantes, des applications sociales pour y faire des réunions avec des lunettes et un casque sur la tête. Mais pour ceux qui en imaginent des perspectives de business plus vastes, c’est un nouvel eldorado pour demain ; et on imagine aussi y vendre des services financiers.

Mais on commence aussi à imaginer une vision à plus long terme du Metaverse, comme un nouveau monde virtuel, qui conver... Poursuivre la lecture

Voir plus d'articles