EMI | chiffrement, sécurité, traces... Retour à la page d'accueil

Chiffre, chiffrer, crypter, chiffrement...

Le chiffrement ou cryptage ou chiffrement des données est un procédé de cryptographie grâce auquel on souhaite rendre la compréhension d'un document impossible à toute personne qui n'a pas la clé de (dé)chiffrement.

Dans l'armée ou la diplomatie, le service du chiffre est l'unité chargée de transmettre et de recevoir la correspondance secrète.

Presqu'aussi vieux que l'écriture, les méthodes les plus connues sont l'encre sympathique (à base d'oignon qui se révèle à la chaleur d'une bougie) ou le décalage de lettres.

chiffrement

Qu'est-ce que le chiffrement ?

Une bonne introduction de la question et des problèmes que cela pose par Jérémie Zimmermann, co-fondateur de La Quadrature du Net.

Pour éviter de découvrir un mot de passe celui-ci est crypté, y compris lorsqu'il est stocké dans une base de données, via un algorithmes de hashage.

Un algorithme de hashage permet de chiffrer une chaine sans possibilité d'opération inverse. Le résultat du hash produit généralement une chaine unique et de longueur fixe. C'est le cas par exemple des algorithmes MD5 et SHA1. Ainsi, lors d'une phase d'authentification, on ne compare plus deux mots de passe en clair mais deux hashes du mot de passe.

Côté serveur, c'est le plus souvent le langage de programmation PHP qui est utilisé et « hasher » un mot de passe est aussi simple que cela :

En md5() : $md5 = md5('MonMotDePasse');
En sha1() : $sha1 = sha1('MonMotDePasse');

Notons que le mot de passe est chiffré côté serveur et non côté navigateur... Si votre connexion n'est pas sécurisée (protocole htpps, les données circulent en clair avant leur chiffrement

Saisir un mot puis cliquer sur chiffrer

 

Cette méthode permet de chiffrer les chaines efficacement mais reste « crackable » !
Et cela d'autant plus facilement que votre mot de passe n'est pas très sur (  voir module mot de passe )

C'est pourquoi l'on a recourt à une technique qui consiste de concaténer une ou plusieurs clés ( appelées aussi « salt », « seed » ou « graine » ) au mot de passe.

L'on va donc ajouter par exemple la chaine : « maCleSecrète » avant le mot de passe et hasher le tout et « fin de clé" après.

define('PREFIX_SALT', 'maCleSecrète');
define('SUFFIX_SALT', 'fin de clé');
$hashSecure = (PREFIX_SALT.'m0tD3P4ss3'.SUFFIX_SALT);

cryptis A tester également, un jeu, cryptis, qui permet de découvrir la cryptographie assymétrique et notamment comment fonctionne la création et l'utilisation des clés publiques et privées.
Plus d'infos sur le site « Images des maths ».

Le « phishing »

Source : Youtube. Maëlle Joulin, Cliquez, vous êtes traqué. France 5, 27 mars 2015

Rappel de la loi

« Le fait d'accéder ou de se maintenir, frauduleusement, dans tout ou partie d'un système de traitement automatisé de données est puni de deux ans d'emprisonnement et de 30 000 euros d'amende.

Lorsqu'il en est résulté soit la suppression ou la modification de données contenues dans le système, soit une altération du fonctionnement de ce système, la peine est de trois ans d'emprisonnement et de 45 000 euros d'amende.

Lorsque les infractions prévues aux deux premiers alinéas ont été commises à l'encontre d'un système de traitement automatisé de données à caractère personnel mis en œuvre par l'Etat, la peine est portée à cinq ans d'emprisonnement et à 75 000 € d'amende. »

source : http://www.legifrance.gouv.fr/

Le protocole https

https Le protocole HTTPS ( H yperText T ransfer P rotocol S ecure) permet l’échange de données entre client et serveur de manière sécurisée, en ayant recoursau cryptage (technologie SSL).

Lorsqu'une URL de type https://www.mondomaine.fr/ est demandée, un certificat qui fait office de carte d'identité numérique et a donc pour but d'identifier de manière fiable le détenteur d'un serveur, d'un site Internet ou d'une adresse électronique entre autres.

Il est délivré par un tiers de confiance aussi appelé Authorité de certification, qui atteste, après audit, de l'identité du détenteur du certificat.

Outre le S du protocole htpp s un pictogramme signale que la connexion est sécurisée. picto picto

picto Attention ! Vous pouvez être sur un site avec une adresse de type https:// non sécurisée. Dans ce cas il y a bien un pictogramme de cadenas, mais ouvert.

 

image lien https://support.google.com/webmasters/answer/6073543?hl=fr

Snowden Face aux révélations d’Edward Snowden sur les écoutes de la NSA et les accès aux communications sur Skype de Microsoft, Facebook ou Hangouts de Google, et la nouvelle loi sur le renseignement, la vie privée est de plus en plus souvent menacée, pas toujours et seulement pour des raisons de sécurité publique.

Le film Citizenfour, sorti en France le 4 mars, sur les révélations de Snowden est à ce titre très éclairant.

« Pour moi, tout se résume au pouvoir d’Etat, et à la capacité du peuple à s’opposer concrètement à ce pouvoir. Je suis là, assis à concevoir des méthodes pour amplifier ce pouvoir d’Etat, et réalise que si la politique change, si les seules choses qui limitent ces Etats devaient changer, alors on ne pourrait plus réellement s’opposer à eux » Edward Snowden

HTTPS

Il est de plus en plus question de crypter Internet en entier. La norme serait ainsi le protocole HTTPS et non plus HTTP. Actuellement ce sont 22 % des échanges qui se font en mode https, contre 33 % en mode HTTP.
Le HTTPS crypte les données échangées entre un serveur et un ordinateur, mais vérifie également que la donnée reçue provient effectivement de la source attendue.

Pour un trafic sécurisé sur Internet et pour la sécurité des données, le protocole HTTPS serait ainsi le moyen idéal.

image lien http://www.wired.com/2014/04/https/ (en anglais)

Chiffrer ses données

Mais vous pouvez toujours chiffrer (crypter) vos données, voire des disques durs complets. Pour cela, en général un logiciel tiers est recommandé.

Ces logiciels permettent de chiffrer un simple fichier, une partition entière d'un disque dur ou un périphérique, comme une clé USB. Chiffrer ses données permet de transformer une information afin qu’elle ne soit pas accessible par des tiers non autorisés. En cas de perte ou de vol de votre ordinateur (ou de votre clé USB), il est quasi impossible d'accéder aux données chiffrées sans connaitre le mot de passe que vous aurez défini.

Par exemple le logiciel TrueCrypt est un outil très simple à configurer, et qui existe en version Windows, OS X et Linux. Tutoriel .

Chiffrer ses échanges

Tor utilise est un système de routage dit « en oignon ». Pour accéder à un serveur, l’ordinateur va donc choisir aléatoirement plusieurs noeuds, qui vont conduire sa connexion jusqu’au serveur demandé. A chaque noeud traversé, l’adresse IP change. Plus le nombre de noeuds est important, plus il devient difficile de remonter jusqu’à la machine qui a émis la requête initialement.

Le réseau est d’ailleurs construit de telle manière qu’à l’intérieur même du circuit, il est n’est pas possible de connaître l’adresse d’un ordinateur particulier, simplement du noeud précédent par lequel la requête est passée. Enfin, au bout d’un certain temps, le circuit utilisé est abandonné et l’ordinateur en choisit un nouveau, toujours aléatoirement.

Tor existe sous forme de logiciel ou d'extensions que l'on peut installer directement dans le navigateur Web.

A savoir ! La navigation TOR est plus lente qu'une navigation traditionnelle.

Chiffrer ses chats

Pour que ses chats soient vraiment privés, l'on peut utiliser par exemple Chatsecure , une application libre et opensource. Evidement, pour être vraiment sécurisé, vos amis doivent également l'utiliser. Fonctionne sur toutes les plate-formes, gratuit.

image lien https://chatsecure.org/

Un système complet sur clé USB

Tails est un système live dont le but est de préserver votre vie privée et votre anonymat. Il vous permet d'utiliser Internet de manière anonyme et de contourner la censure quasiment partout où vous allez et sur n'importe quel ordinateur. Tails ne laisse aucune trace de ce que vous avez fait, sauf si vous le demandez explicitement.

Tails est un système d'exploitation complet destiné à être utilisé depuis un DVD, une clef USB ou une carte SD indépendamment du système installé sur l'ordinateur. C'est un logiciel libre basé sur Debian GNU/Linux.

image lienhttps://tails.boum.org/about/index.fr.html

Contrôler ses données

La quadrature du Net met à disposition un site, http://www.controle-tes-donnees.net/ qui donne plein de conseils pour protéger ses données.

image lien http://www.controle-tes-donnees.net/

Toujours en version bêta, chez Google, mais comme on vous écoute désormais autant en France qu'aux USA il peut y avoir quelque chose d'ironique à cela, et aussi constituer un choix, un plugin de de chiffrement de vos mails avec Chrome, basé sur openPGP et appelé end-to-end ...

Quand je vous parlais d'ironie...

image lien https://github.com/google/end-to-end

Pour aller plus loin !

FREENET

5 amis de confiance en ligne simultanément permettent de répartir vos fichiers, chiffré, de manière aléatoire sur tous les ordinateurs.

image lien freenetproject.org

I2P

I2P est une surcouche réseau d'anonymisation ; en quelque sorte, un réseau au sein du réseau. Il est destiné à protéger les communications contre la surveillance globale.

image lienhttps://geti2p.net/fr/

Et surtout, apprenez à coder !

Les mots de passe

Un mot de passe c'est en quelque sorte une clé ouvrant une / des porte(s) à celui qui le détient. C'est un secret, associé à une identité. Le plus souvent, l’identité aujourd’hui est portée par une adresse de messagerie. Cette adresse sert à identifier une personne, un utilisateur.

Ainsi, cet utilisateur s'approprie des droits supplémentaires que d'autres personnes n'ont pas. Il ne tient alors qu'à lui de ne pas le divulguer pour que les privilèges qui lui sont conférés ne soient pas détournés par une tierce personne mal intentionnée.

Le risque principal est le vol du mot de passe, qui permet d’usurper l’identité associée.

Ce testeur a surtout pour vocation de vous sensibiliser à la nécessité d'utiliser des mots de passe sécurisés.

Tester le mot de passe suivant

Pour autant, il ne s'agit pas non plus d'arriver à ceci

illustration

 

"En 20 ans d'effort, on a réussi à entrainer tout le monde à utiliser des mots de passe qu'il est difficile à un humain de retenir, mais très facile à un ordinateur de deviner."

La sécurité des mots de passe

Il y a plusieurs façons de casser un mot de passe : la force brute, la méthode du dictionnaire et l'ingénierie sociale, les logiciels espions...

La force brute est la plus simple des recherches des mots de passe et c'est celle qui donne un résultat assuré si on a du temps (beaucoup de temps parfois).

Un peu de mathématique

Soit un mot de passe de N caractères
Soit V, la vitesse de calcul d'un supercalculateur, ici, nous la fixons à 1 000 000 000 de mots de passes à la seconde. Eh oui ! Un ordinateur actuel sait tester plusieurs millions de mots de passes par seconde.

Combinaisons

 

Combinaisons

 

Combinaisons

 

Combinaisons

 

Combinaisons

 

Combinaisons

 

Moralité : "Idéalement", il faudrait saisir un mot de passe d'au moins 8 caractères, contenant des chiffres, des lettres minuscules et majuscules et des symboles .

 

La méthode du dictionnaire nécessite une base de mots de passe possibles. Cette méthode consiste à tester tous les mots du dictionnaire jusqu'à obtenir le bon. Statistiquement, cette méthode conserve de bons taux de réussite.

 

L'ingénierie sociale consiste à mener une enquête sur l'utilisateur afin d'obtenir des informations liées à ses activités, sa famille, ses habitudes, pour obtenir de possibles mots de passe.

En gros, il s'agit d'écouter ce qui se dit, regarder, enregistrer tout en se faisant oublier. Il suffit par exemple de voyager en TGV, en premières classes pour être surpris de la quantité d'informations que peut obtenir ou enregistrer en faisant semblant par exemple d'écouter de la musique.

S'entraîner à enregistrer les mots de passe saisis au clavier peut aussi se révéler fort efficace et il est très facile de forcer un redémarrage d'ordinateur.

Bref, cette technique est redoutablement efficace, discrète, ne demande que peu de moyens et, hier comme aujourd'hui, voire demain restera sans doute très utilisée.

Keylogger et autres méthodes non légales

Les logiciels de surveillance, ou keylogger sont de petits programmes qui surveillent toutes les saisies clavier (ou bien plus). Ces programmes peuvent fonctionner en tache de fond de manière totalement invisible et le fichier des saisies est ensuite soit renvoyé par mail, ou stocké sur l’ordinateur.

Voilà pourquoi, pour transmettre le mot de passe, l’on utilise une clé de chiffrement, autrement dit l’on transforme la chaîne de caractère en une autre, beaucoup plus longue, dont la taille est donnée par sa valeur en bits. Une clé de 128 bits représente donc une clé de 2128 combinaisons possibles.

 

image lienLe site Presse citron fait le point sur 10 outils utilisés par les hackers

Très souvent, c'est le même mot de passe qui est utilisé

L'on peut donc par exemple vous mettre à disposition un service, même utile, pour récupérer votre mot de passe (avant son chiffrement) et le réutiliser ensuite...

Failles du Chiffrement

On l'a vu avec les Keylogger, l'on peut récupérer vos saisies clavier au moment même où vous les saisissez !

Si la ligne n'est pas sécurisée de bout en bout (protocole https), vos données circulent en clair et ne sont chiffrées que par le serveur.
En effet, très souvent, les fonctions de chiffrement sont réalisées côté serveur et non côté client (votre navigateur). Si quelqu'un les intercepte avant (via par exemple un échange de type http:) il les intercepte en clair.

Pour aller plus loin !

La CNIL a édité un guide téléchargeable intitulé "les mots de passe n'ont plus de secret pour vous" qui donne bon nombre de conseil sur les mots de passe.

Ecrire
Dernière mise à jour le 10 avril 2019

Droits afférents
Licence Creative CommonsParcours Éducation aux Médias et à l'Information de A. Maurer, D. Weiss est mis à disposition selon les termes la Licence Creative Commons : Attribution - Pas d'Utilisation Commerciale - Partage dans les Mêmes Conditions 4.0 International.
Crédits images
Les images, photos, icones :
- www.iconfinder.com/
- http://www.gettyimages.fr/
Mention d'édition
Alexandra Maurer, CLEMI La Réunion
Denis Weiss, professeur documentaliste
Infos+
Contact
CLEMI La Réunion,
16 rue Chatel.
97400 La Réunion
Ecrire