Chiffre, chiffrer, crypter, chiffrement...

Le chiffrement ou cryptage ou chiffrement des données est un procédé de cryptographie grâce auquel on souhaite rendre la compréhension d'un document impossible à toute personne qui n'a pas la clé de (dé)chiffrement.

Dans l'armée ou la diplomatie, le service du chiffre est l'unité chargée de transmettre et de recevoir la correspondance secrète.

Presqu'aussi vieux que l'écriture, les méthodes les plus connues sont l'encre sympathique (à base d'oignon qui se révèle à la chaleur d'une bougie) ou le décalage de lettres.

 

chiffrage

Qu'est-ce que le chiffrement ?

Une bonne introduction de la question et des problèmes que cela pose par Jérémie Zimmermann, co-fondateur de La Quadrature du Net.

 

Pour éviter de découvrir un mot de passe celui-ci est crypté, y compris lorsqu'il est stocké dans une base de données, via un algorithmes de hashage.

Un algorithme de hashage permet de chiffrer une chaine sans possibilité d'opération inverse. Le résultat du hash produit généralement une chaine unique et de longueur fixe. C'est le cas par exemple des algorithmes MD5 et SHA1. Ainsi, lors d'une phase d'authentification, on ne compare plus deux mots de passe en clair mais deux hashes du mot de passe.

Côté serveur, c'est le plus souvent le langage de programmation PHP qui est utilisé et « hasher » un mot de passe est aussi simple que cela :

En md5() : $md5 = md5('MonMotDePasse');
En sha1() : $sha1 = sha1('MonMotDePasse');

Notons que le mot de passe est chiffré côté serveur et non côté navigateur... Si votre connexion n'est pas sécurisée (protocole htpps, les données circulent en clair avant leur chiffrement

Saisir un mot puis cliquer sur chiffrer

 

 

Cette méthode permet de chiffrer les chaines efficacement mais reste « crackable » !
Et cela d'autant plus facilement que votre mot de passe n'est pas très sur (  voir module mot de passe )

C'est pourquoi l'on a recourt à une technique qui consiste de concaténer une ou plusieurs clés ( appelées aussi « salt », « seed » ou « graine » ) au mot de passe.

L'on va donc ajouter par exemple la chaine : « maCleSecrète » avant le mot de passe et hasher le tout et « fin de clé" après.

define('PREFIX_SALT', 'maCleSecrète'); define('SUFFIX_SALT', 'fin de clé'); $hashSecure = (PREFIX_SALT.'m0tD3P4ss3'.SUFFIX_SALT);

cryptis A tester également, un jeu, cryptis, qui permet de découvrir la cryptographie assymétrique et notamment comment fonctionne la création et l'utilisation des clés publiques et privées.
Plus d'infos sur le site « Images des maths ».

Le « phishing »

Source : Youtube. Maëlle Joulin, Cliquez, vous êtes traqué. France 5, 27 mars 2015

Rappel de la loi

« Le fait d'accéder ou de se maintenir, frauduleusement, dans tout ou partie d'un système de traitement automatisé de données est puni de deux ans d'emprisonnement et de 30 000 euros d'amende.

Lorsqu'il en est résulté soit la suppression ou la modification de données contenues dans le système, soit une altération du fonctionnement de ce système, la peine est de trois ans d'emprisonnement et de 45 000 euros d'amende.

Lorsque les infractions prévues aux deux premiers alinéas ont été commises à l'encontre d'un système de traitement automatisé de données à caractère personnel mis en œuvre par l'Etat, la peine est portée à cinq ans d'emprisonnement et à 75 000 € d'amende. »

source : http://www.legifrance.gouv.fr/

Le protocole https

https Le protocole HTTPS ( H yperText T ransfer P rotocol S ecure) permet l’échange de données entre client et serveur de manière sécurisée, en ayant recoursau cryptage (technologie SSL).

Lorsqu'une URL de type https://www.mondomaine.fr/ est demandée, un certificat qui fait office de carte d'identité numérique et a donc pour but d'identifier de manière fiable le détenteur d'un serveur, d'un site Internet ou d'une adresse électronique entre autres.

Il est délivré par un tiers de confiance aussi appelé Authorité de certification, qui atteste, après audit, de l'identité du détenteur du certificat.

Outre le S du protocole htpp s un pictogramme signale que la connexion est sécurisée. picto picto

 

picto Attention ! Vous pouvez être sur un site avec une adresse de type https:// qui non sécurisée. Dans ce cas il y a bien un pictogramme de cadenas, mais ouvert.

 

image lien https://support.google.com/webmasters/answer/6073543?hl=fr

Snowden Face aux révélations d’Edward Snowden sur les écoutes de la NSA et les accès aux communications sur Skype de Microsoft, Facebook ou Hangouts de Google, et la nouvelle loi sur le renseignement, la vie privée est de plus en plus souvent menacée, pas toujours et seulement pour des raisons de sécurité publique.

Le film Citizenfour, sorti en France le 4 mars, sur les révélations de Snowden est à ce titre très éclairant.

« Pour moi, tout se résume au pouvoir d’Etat, et à la capacité du peuple à s’opposer concrètement à ce pouvoir. Je suis là, assis à concevoir des méthodes pour amplifier ce pouvoir d’Etat, et réalise que si la politique change, si les seules choses qui limitent ces Etats devaient changer, alors on ne pourrait plus réellement s’opposer à eux » Edward Snowden

HTTPS

Il est de plus en plus question de crypter Internet en entier. La norme serait ainsi le protocole HTTPS et non plus HTTP. Actuellement ce sont 22 % des échanges qui se font en mode https, contre 33 % en mode HTTP.
Le HTTPS crypte les données échangées entre un serveur et un ordinateur, mais vérifie également que la donnée reçue provient effectivement de la source attendue.

Pour un trafic sécurisé sur Internet et pour la sécurité des données, le protocole HTTPS serait ainsi le moyen idéal.

image lien http://www.wired.com/2014/04/https/ (en anglais)

Chiffrer ses données

Mais vous pouvez toujours chiffrer (crypter) vos données, voire des disques durs complets. Pour cela, en général un logiciel tiers est recommandé.

Ces logiciels permettent de chiffrer un simple fichier, une partition entière d'un disque dur ou un périphérique, comme une clé USB. Chiffrer ses données permet de transformer une information afin qu’elle ne soit pas accessible par des tiers non autorisés. En cas de perte ou de vol de votre ordinateur (ou de votre clé USB), il est quasi impossible d'accéder aux données chiffrées sans connaitre le mot de passe que vous aurez défini.

Par exemple le logiciel TrueCrypt est un outil très simple à configurer, et qui existe en version Windows, OS X et Linux. Tutoriel .

Chiffrer ses échanges

Tor utilise est un système de routage dit « en oignon ». Pour accéder à un serveur, l’ordinateur va donc choisir aléatoirement plusieurs noeuds, qui vont conduire sa connexion jusqu’au serveur demandé. A chaque noeud traversé, l’adresse IP change. Plus le nombre de noeuds est important, plus il devient difficile de remonter jusqu’à la machine qui a émis la requête initialement.

Le réseau est d’ailleurs construit de telle manière qu’à l’intérieur même du circuit, il est n’est pas possible de connaître l’adresse d’un ordinateur particulier, simplement du noeud précédent par lequel la requête est passée. Enfin, au bout d’un certain temps, le circuit utilisé est abandonné et l’ordinateur en choisit un nouveau, toujours aléatoirement.

Tor existe sous forme de logiciel ou d'extensions que l'on peut installer directement dans le navigateur Web.

A savoir ! La navigation TOR est plus lente qu'une navigation traditionnelle.

Chiffrer ses chats

Pour que ses chats soient vraiment privés, l'on peut utiliser par exemple Chatsecure , une application libre et opensource. Evidement, pour être vraiment sécurisé, vos amis doivent également l'utiliser. Fonctionne sur toutes les plate-formes, gratuit.

image lien https://chatsecure.org/

Un système complet sur clé USB

Tails est un système live dont le but est de préserver votre vie privée et votre anonymat. Il vous permet d'utiliser Internet de manière anonyme et de contourner la censure quasiment partout où vous allez et sur n'importe quel ordinateur. Tails ne laisse aucune trace de ce que vous avez fait, sauf si vous le demandez explicitement.

Tails est un système d'exploitation complet destiné à être utilisé depuis un DVD, une clef USB ou une carte SD indépendamment du système installé sur l'ordinateur. C'est un logiciel libre basé sur Debian GNU/Linux.

image lienhttps://tails.boum.org/about/index.fr.html

Contrôler ses données

La quadrature du Net met à disposition un site, http://www.controle-tes-donnees.net/ qui donne plein de conseils pour protéger ses données.

image lien http://www.controle-tes-donnees.net/

Toujours en version bêta, chez Google, mais comme on vous écoute désormais autant en France qu'aux USA il peut y avoir quelque chose d'ironique à cela, et aussi constituer un choix, un plugin de de chiffrement de vos mails avec Chrome, basé sur openPGP et appelé end-to-end ...

Quand je vous parlais d'ironie...

image lien https://github.com/google/end-to-end

Pour aller plus loin !

FREENET

5 amis de confiance en ligne simultanément permettent de répartir vos fichiers, chiffré, de manière aléatoire sur tous les ordinateurs.

image lien freenetproject.org

I2P

I2P est une surcouche réseau d'anonymisation ; en quelque sorte, un réseau au sein du réseau. Il est destiné à protéger les communications contre la surveillance globale.

image lienhttps://geti2p.net/fr/

Et surtout, apprenez à coder !