EMI | Chiffrement, sécurité, traces…

Retour à la page d'accueil

ChiffementLe cryptage ou plus exactement le chiffrement des données est une technique plurimillénaire. Les écritures secrètes ou l'art de partager un code entre un auteur et un destinataire d'une information qui rende à la fois mot crypté difficile, voire impossible à déchiffrer et lisible pour celui qui dispose du code sont presque aussi vieille que l'écriture elle-même. David Kahn* fait ainsi remonter les premières traces du chiffrement vers1900 avant J.-C. lorsqu'un scribe égyptien a employé des hiéroglyphes non conformes à la langue correcte dans une inscription…

Le chiffrement assure la confidentialité, l’authentification de l’auteur du message et l’intégrité de ce dernier.
Et qui dit chiffrement, dit aussi cryptanalyse – son décryptage ou hackage. Ici encore, la machine Enigma, brevetée en 1918 et largement utilisée par l'Allemagne nazie a été cassée d'abord par le mathématicien polonais Marian Rejewski, avant de l'être pas le célèbre Alan Turing.

*David Kahn, "La guerre des codes secrets", InterEditions, 1980
| Difficulté | DYS DYS
Voir également modules

Chiffre, chiffrer, crypter, chiffrement…

Chiffrement ?

Le chiffrement des données est un procédé de cryptographie grâce auquel on souhaite rendre la compréhension d'un document impossible à toute personne qui n'a pas la clé de (dé)chiffrement.

Dans l'armée ou la diplomatie, le service du chiffre est l'unité chargée de transmettre et de recevoir la correspondance secrète.

Presqu'aussi vieux que l'écriture, les méthodes les plus connues sont l'encre sympathique (à base d'oignon qui se révèle à la chaleur d'une bougie) ou le décalage de lettres.

chiffrement

Chiffrer ou déchiffrer un message c'est connaître la clé de chiffrement. Décrypter, c'est essayer de la trouver (services secrets, hackers…)

Le site chiffrer.info/ donne des définitions des diverses utilisations du chiffrement

Définitions

Une bonne introduction de la question et des problèmes que cela pose par Jérémie Zimmermann, co-fondateur de La Quadrature du Net.

Le hachage

Pour éviter de découvrir un mot de passe celui-ci est chiffré, y compris lorsqu'il est stocké dans une base de données, via un algorithme de hachage.

Un algorithme de hachage permet de chiffrer une chaine sans possibilité d'opération inverse. Le résultat du hach produit généralement une chaine unique et de longueur fixe. C'est le cas par exemple des algorithmes MD5 et SHA1. Ainsi, lors d'une phase d'authentification, on ne compare plus deux mots de passe en clair mais deux haches du mot de passe.

Côté serveur, c'est le plus souvent le langage de programmation PHP qui est utilisé et « hacher » un mot de passe.

Notons que le mot de passe est généralement (bien qu'il existe aussi des solutions en Javascript) haché côté serveur et non côté navigateur… Si votre connexion n'est pas sécurisée (protocole htpps, les données circulent en clair avant leur chiffrement. Inutile de dire que votre mot de passe peut alors être connu très facilement.

Activité

Saisir un mot puis cliquer sur hacher

 
Copier le lien direct de l'activité dans le presse-papier

Avez-vous remarqué quelque chose de spécial dans la fonction de hachage ci-dessus ? Non ? Essayez encore avec un autre mot !

Eh oui ! La clé est toujours la même. Autrement dit, ce n'est pas votre saisie mais un mot secret qui a été encodé avec un algorithme de hach qui produira toujours la même clé.

Cette méthode permet de chiffrer les chaines efficacement mais reste « crackable » !
C'est pourquoi l'on a recourt à une technique qui consiste de concaténer une ou plusieurs clés ( appelées aussi « salt », « seed » ou « graine » ) au mot de passe.

L'on va donc ajouter par exemple la chaine : « maCleSecrète » avant le mot de passe et hacher le tout et « fin de clé" après.

define('PREFIX_SALT', 'maCleSecrète');
define('SUFFIX_SALT', 'fin de clé');
$hashSecure = (PREFIX_SALT.'m0tD3P4ss3'.SUFFIX_SALT);
Le hachage n'est pas réversible, on ne peut revenir en arrière et il a une longueur limitée, donc des possibilités de doublons. Ce n'est donc pas du chiffrage mais simplement une signature. Mais une signature très pratique.

Hachage et Chiffrement

Jusque dans les années 2000, le chiffrement (cryptage) était très règlementé en France.

Le chiffrement est une opération qui va utiliser le hachage pour ajouter une signature à un texte, puis divers algorithmes pour l'encoder de telle sorte que seules les personnes qui disposent de la clé puissent le déchiffrer.

Il existe deux modes de chiffrement :

Le chiffrement expliqué à vos parents

cryptis A tester également, un jeu, cryptis, qui permet de découvrir la cryptographie asymétrique et notamment comment fonctionne la création et l'utilisation des clés publiques et privées.
Plus d'infos sur le site « Images des maths ».

Le protocole https

https Le protocole HTTPS ( H yperText T ransfer P rotocol S ecure) permet l’échange de données entre client et serveur de manière sécurisée, en ayant recours au cryptage (technologie SSL).

Lorsqu'une URL de type https://www.mondomaine.fr/ est demandée, un certificat qui fait office de carte d'identité numérique et a donc pour but d'identifier de manière fiable le détenteur d'un serveur, d'un site Internet ou d'une adresse électronique entre autres.

Il est délivré par un tiers de confiance aussi appelé Authorité de certification, qui atteste, après audit, de l'identité du détenteur du certificat.

Outre le S du protocole htpp s un pictogramme signale que la connexion est sécurisée. picto picto

picto Attention ! Vous pouvez être sur un site avec une adresse de type https:// non sécurisée. Dans ce cas il y a bien un pictogramme de cadenas, mais ouvert.

 

image lien https://support.google.com/webmasters/answer/6073543?hl=fr

Snowden Face aux révélations d’Edward Snowden sur les écoutes de la NSA et les accès aux communications sur Skype de Microsoft, Facebook ou Hangouts de Google, et la nouvelle loi sur le renseignement, la vie privée est de plus en plus souvent menacée, pas toujours et seulement pour des raisons de sécurité publique.

Le film Citizenfour, sorti en France le 4 mars, sur les révélations de Snowden est à ce titre très éclairant.

« Pour moi, tout se résume au pouvoir d’Etat, et à la capacité du peuple à s’opposer concrètement à ce pouvoir. Je suis là, assis à concevoir des méthodes pour amplifier ce pouvoir d’Etat, et réalise que si la politique change, si les seules choses qui limitent ces Etats devaient changer, alors on ne pourrait plus réellement s’opposer à eux » Edward Snowden

Il est de plus en plus question de crypter Internet en entier. La norme serait ainsi le protocole HTTPS et non plus HTTP. Actuellement ce sont 22 % des échanges qui se font en mode https, contre 33 % en mode HTTP.
Le HTTPS crypte les données échangées entre un serveur et un ordinateur, mais vérifie également que la donnée reçue provient effectivement de la source attendue.

Pour un trafic sécurisé sur Internet et pour la sécurité des données, le protocole HTTPS serait ainsi le moyen idéal.

image lien http://www.wired.com/2014/04/https/ (en anglais)

Le « phishing »

Source : Youtube. Maëlle Joulin, Cliquez, vous êtes traqué. France 5, 27 mars 2015

Rappel de la loi

« Le fait d'accéder ou de se maintenir, frauduleusement, dans tout ou partie d'un système de traitement automatisé de données est puni de deux ans d'emprisonnement et de 30 000 euros d'amende.

Lorsqu'il en est résulté soit la suppression ou la modification de données contenues dans le système, soit une altération du fonctionnement de ce système, la peine est de trois ans d'emprisonnement et de 45 000 euros d'amende.

Lorsque les infractions prévues aux deux premiers alinéas ont été commises à l'encontre d'un système de traitement automatisé de données à caractère personnel mis en œuvre par l'Etat, la peine est portée à cinq ans d'emprisonnement et à 75 000 € d'amende. »

source : http://www.legifrance.gouv.fr/

Keylogger et autres méthodes non légales

Les logiciels de surveillance, ou keylogger sont de petits programmes qui surveillent toutes les saisies clavier (ou bien plus). Ces programmes peuvent fonctionner en tache de fond de manière totalement invisible et le fichier des saisies est ensuite soit renvoyé par mail, ou stocké sur l’ordinateur.

Voilà pourquoi, pour transmettre le mot de passe, l’on utilise une clé de chiffrement, autrement dit l’on transforme la chaîne de caractère en une autre, beaucoup plus longue, dont la taille est donnée par sa valeur en bits. Une clé de 128 bits représente donc une clé de 2128 combinaisons possibles.

 

image lienLe site Presse citron fait le point sur 10 outils utilisés par les hackers

Très souvent, c'est le même mot de passe qui est utilisé.

L'on peut donc par exemple vous mettre à disposition un service, même utile, pour récupérer votre mot de passe (avant son chiffrement) et le réutiliser ensuite…

On l'a vu avec les Keylogger, l'on peut récupérer vos saisies clavier au moment même où vous les saisissez !

Si la ligne n'est pas sécurisée de bout en bout (protocole https), vos données circulent en clair et ne sont chiffrées que par le serveur.
En effet, très souvent, les fonctions de chiffrement sont réalisées côté serveur et non côté client (votre navigateur). Si quelqu'un les intercepte avant (via par exemple un échange de type http:) il les intercepte en clair.

Le pixel espion

pixel Un pixel espion (aussi appelé pixel 1x1 ou balise pixel, en anglais tracking pixel) est une image mesurant 1x1px. C'est donc la plus petit taille que peut afficher votre écran haute résolution qui en affiche couramment 1 million…

Cette image est téléchargée via un site Web ou un mail et est utilisé pour suivre les activités d’un utilisateur sur le Web. Un pixel espion peut aussi être utilisé par les annonceurs pour acquérir des données statistiques pour le marketing digital, l’analyse web ou le marketing par mail.

Des sites en ligne, que nous ne nommerons pas ici, proposent même leurs services (payants) pour configurer un pixel espion à image simple.

Tout ne peut pas être récupéré, mais principalement :

  • Le système d’exploitation employé (donne les informations sur l’usage d’appareils mobiles)
  • Le type d'utilisation (depuis un appareil mobile ou ordinateur)
  • Le client utilisé, comme par exemple un programme email ou un navigateur
  • La résolution d’écran du client
  • Le temps de lecture d’un e-mail ou le temps de visite d’un site web
  • Les activités réalisées sur un site web pendant une session (ce qui nécessite l'utilisation de plusieurs tracking pixels)
  • Les adresses IP, qui renseignent sur le fournisseur et la localisation.

image lienhttps://fr.ryte.com/wiki/Pixel_espion

Pour aller plus loin !

La CNIL

La CNIL a édité un guide téléchargeable intitulé "les mots de passe n'ont plus de secret pour vous" qui donne bon nombre de conseil sur les mots de passe.

Un cours du collège de France

Que pouvons-nous faire face aux attaques qui visent nos ordinateurs, nos microprocesseurs, nos objets connectés… ? "Sommes-nous condamnés à une lutte inégale entre le glaive et le bouclier" ? s’interroge Guillaume Poupard, directeur de l’ANSSI, dans le cadre du séminaire de Gérard Berry.

Chiffrer, oui mais comment ?

Chiffrer ses données

Mais vous pouvez toujours chiffrer (crypter) vos données, voire des disques durs complets. Pour cela, en général un logiciel tiers est recommandé.

Ces logiciels permettent de chiffrer un simple fichier, une partition entière d'un disque dur ou un périphérique, comme une clé USB. Chiffrer ses données permet de transformer une information afin qu’elle ne soit pas accessible par des tiers non autorisés. En cas de perte ou de vol de votre ordinateur (ou de votre clé USB), il est quasi impossible d'accéder aux données chiffrées sans connaitre le mot de passe que vous aurez défini.

Par exemple le logiciel TrueCrypt est un outil très simple à configurer, et qui existe en version Windows, OS X et Linux. Tutoriel .

Chiffrer ses échanges

Tor utilise est un système de routage dit « en oignon ». Pour accéder à un serveur, l’ordinateur va donc choisir aléatoirement plusieurs nœuds, qui vont conduire sa connexion jusqu’au serveur demandé. A chaque nœud traversé, l’adresse IP change. Plus le nombre de nœuds est important, plus il devient difficile de remonter jusqu’à la machine qui a émis la requête initialement.

Le réseau est d’ailleurs construit de telle manière qu’à l’intérieur même du circuit, il est n’est pas possible de connaître l’adresse d’un ordinateur particulier, simplement du nœud précédent par lequel la requête est passée. Enfin, au bout d’un certain temps, le circuit utilisé est abandonné et l’ordinateur en choisit un nouveau, toujours aléatoirement.

Tor existe sous forme de logiciel ou d'extensions que l'on peut installer directement dans le navigateur Web.

A savoir ! La navigation TOR est plus lente qu'une navigation traditionnelle.

Chiffrer ses chats

Pour que ses chats soient vraiment privés, l'on peut utiliser par exemple Chatsecure , une application libre et opensource. Evidemment, pour être vraiment sécurisé, vos amis doivent également l'utiliser. Fonctionne sur toutes les plateformes, gratuit.

image lien https://chatsecure.org/

Contrôler ses données

La quadrature du Net met à disposition un site, http://www.controle-tes-donnees.net/ qui donne plein de conseils pour protéger ses données.

image lien http://www.controle-tes-donnees.net/

Toujours en version bêta, chez Google, mais comme on vous écoute désormais autant en France qu'aux USA il peut y avoir quelque chose d'ironique à cela, et aussi constituer un choix, un plugin de de chiffrement de vos mails avec Chrome, basé sur openPGP et appelé end-to-end

Quand je vous parlais d'ironie…

image lien https://github.com/google/end-to-end

Un système complet sur clé USB

TailsTails est un système live dont le but est de préserver votre vie privée et votre anonymat. Il vous permet d'utiliser Internet de manière anonyme et de contourner la censure quasiment partout où vous allez et sur n'importe quel ordinateur. Tails ne laisse aucune trace de ce que vous avez fait, sauf si vous le demandez explicitement.

Tails est un système d'exploitation complet destiné à être utilisé depuis un DVD, une clef USB ou une carte SD indépendamment du système installé sur l'ordinateur. C'est un logiciel libre basé sur Debian GNU/Linux.

image lienhttps://tails.boum.org/about/index.fr.html

Lire, les avertissements, les fonctionnalités, la procédure d'installation.

Pour aller plus loin !

FREENET

5 amis de confiance en ligne simultanément permettent de répartir vos fichiers, chiffré, de manière aléatoire sur tous les ordinateurs.

image lien freenetproject.org

I2P

I2P est une surcouche réseau d'anonymisation ; en quelque sorte, un réseau au sein du réseau. Il est destiné à protéger les communications contre la surveillance globale.

image lienhttps://geti2p.net/fr/

Et surtout, apprenez à coder !

Les mots de passe

Qu'est-ce qu'un mot de passe ?

Source : Le Point Sécu est une chaine Youtube ayant pour but de sensibiliser le grand public aux problématiques de sécurité informatique.

Un mot de passe c'est en quelque sorte une clé ouvrant une / des porte(s) à celui qui le détient. C'est un secret, associé à une identité. Le plus souvent, l’identité aujourd’hui est portée par une adresse de messagerie. Cette adresse sert à identifier une personne, un utilisateur.

Ainsi, cet utilisateur s'approprie des droits supplémentaires que d'autres personnes n'ont pas. Il ne tient alors qu'à lui de ne pas le divulguer pour que les privilèges qui lui sont conférés ne soient pas détournés par une tierce personne mal intentionnée.

Le risque principal est le vol du mot de passe, qui permet d’usurper l’identité associée.

Ce testeur a surtout pour vocation de vous sensibiliser à la nécessité d'utiliser des mots de passe sécurisés.

Tester son mot de passe

Traditionnellement, l'on recommande un mot de passe, d'au moins 8 lettres, avec au moins une majsucule et au moins un cacarctère spécial et l'on vous indique ensuite, comme ci-dessous, s'il est plus ou moins sûr.

Tester le mot de passe suivant

Activité

Tester la robustesse de votre mot de passe.

crackSur le site https://www.my1login.com/ testez le temps (indicatif) nécessaire pour cracker un mot de passe saisi.

Essayez ensuite avec une phrase.

Quelles conclusions peut-on en tirer ?

robustesse PW
Copier le lien direct de l'activité dans le presse-papier

"En 20 ans d'effort, on a réussi à entrainer tout le monde à utiliser des mots de passe qu'il est difficile à un humain de retenir, mais très facile à un ordinateur de deviner."

La sécurité des mots de passe

Il y a plusieurs façons de casser un mot de passe : la force brute, la méthode du dictionnaire et l'ingénierie sociale, les logiciels espions…

La force brute est la plus simple des recherches des mots de passe et c'est celle qui donne un résultat assuré si on a du temps (beaucoup de temps parfois).

Un peu de mathématique

Soit un mot de passe de N caractères
Soit V, la vitesse de calcul d'un supercalculateur, ici, nous la fixons à 1 000 000 000 de mots de passes à la seconde. Eh oui ! Un ordinateur actuel sait tester plusieurs millions de mots de passes par seconde.

Combinaisons

 

Combinaisons

 

Combinaisons

 

Combinaisons

 

Combinaisons

 

Combinaisons

 

La méthode du dictionnaire nécessite une base de mots de passe possibles. Cette méthode consiste à tester tous les mots du dictionnaire jusqu'à obtenir le bon. Statistiquement, cette méthode conserve de bons taux de réussite.

 

L'ingénierie sociale consiste à mener une enquête sur l'utilisateur afin d'obtenir des informations liées à ses activités, sa famille, ses habitudes, pour obtenir de possibles mots de passe.

En gros, il s'agit d'écouter ce qui se dit, regarder, enregistrer tout en se faisant oublier. Il suffit par exemple de voyager en TGV, en premières classes pour être surpris de la quantité d'informations que peut obtenir ou enregistrer en faisant semblant par exemple d'écouter de la musique.

S'entraîner à enregistrer les mots de passe saisis au clavier peut aussi se révéler fort efficace et il est très facile de forcer un redémarrage d'ordinateur.

Bref, cette technique est redoutablement efficace, discrète, ne demande que peu de moyens et, hier comme aujourd'hui, voire demain restera sans doute très utilisée.

Sécurité des mots de passe

Nombre et type de caractères, un mot de passe est plus ou moins facile à « cracker ». Même si l'histoire a montré, pensons à enigma par exemple, que n'importe quel mot de passe peut être décrypté, tout est avant tout question de temps et donc d'argent !

Evidemment, un mot de passe style "123456", n'en est pas un. Une liste des mots de passe les plus utilisés est d'ailleurs régulièrement publiée.

Pour créer et retenir facilement un mot de passe, la technique la plus simple est celle de l'acronyme.

acronyme mot de passe

Mais ça, c'était avant !
De nos jours, la longueur des mots de passe n'étant plus vraiment limitée, vous pouvez directement ajouter une phrase et, pourquoi pas, la contextualiser.

acronyme mot de passe

Les tables arc-en-ciel

Les mots de passe n'étant plus (espérons-le) stockés en clair. Seule la valeur de hashage (voir plus haut) l'est, et elle ne permet pas de revenir en arrière et donc de retrouver le mot de passe en clair.

Les pirates utilisent alors les attaques par force brute : un programme informatique qui essaie constamment jusqu‘à ce qu’il ait trouvé la chaîne de caractères correcte. Cette méthode combinée avec des dictionnaires de mots de passe tente de tester tous les mots de passe possible et comparer leur signature (clé de hashage). C'est ici qu'interviennent les tables arc-en-ciel qui contiennent des mots de passe et leurs valeurs de hachage.

lienhttps://www.ionos.fr/digitalguide/serveur/securite/rainbow-tables/

Votre mot de passe est-il corrompu ? Un site permet de la savoir.

https://haveibeenpwned.com/
Mise à jour le 8 juin 2020 (1ère version 1998 )

Droits afférents

Licence Creative CommonsParcours Éducation aux Médias et à l'Information de Alexandra Maurer, Denis Weiss est mis à disposition selon les termes la Licence Creative Commons : Attribution - Pas d'Utilisation Commerciale - Partage dans les Mêmes Conditions 4.0 International.

Crédits images

Les images, photos, icones :
- www.iconfinder.com/
- http://www.gettyimages.fr/

Mention d'édition

Alexandra Maurer, CLEMI La Réunion
Denis Weiss, professeur documentaliste
Infos+

Contact

CLEMI La Réunion,
16 rue Chatel.
97400 La Réunion
Ecrire