EMI | Chiffrement, sécurité, traces…

Chiffre, chiffrer, crypter, chiffrement…

Le chiffrement des données est un procédé de cryptographie grâce auquel on souhaite rendre la compréhension d'un document impossible à toute personne qui n'a pas la clé de (dé)chiffrement.

Dans l'armée ou la diplomatie, le service du chiffre est l'unité chargée de transmettre et de recevoir la correspondance secrète.

Presqu'aussi vieux que l'écriture, les méthodes les plus connues sont l'encre sympathique (à base d'oignon qui se révèle à la chaleur d'une bougie) ou le décalage de lettres.

Le site chiffrer.info/ donne des définitions des diverses utilisations du chiffrement

Qu'est-ce que le Bug Bounty ?

La détection de failles est devenue l'une des priorités des éditeurs de programmes informatiques. Ils proposent pour cela une récompense à chaque utilisateur qui signale un bug. C'est le principe du bug bounty. Celles-ci peuvent se monter à plusieurs milliers d'euros.

Le bug bounty vise à mettre la lumière sur un problème de sécurité donné. Il faut garder à l'esprit que les bugs de sécurité sont fréquents et ne peuvent pas être enrayés par un simple dispositif de cybersécurité.

Les hackers éthiques

Expert de la sécurité informatique, les hackers éthiques est généralement employé par une entreprise afin d'assurer la protection de ses systèmes informatiques d'éventuels piratages. Il peut aussi micro-entrepreneur. Outre les compétences techniques, les hackers éthiques doivent également maîtriser la communication et savoir travailler en équipe.

Les dons de failles

Outre la monétisation, les hackers éthique peuvent aussi offrir aux ONG une faille de sécurité technique. Leurs compétences peuvent ainsi aider à améliorer la sécurité d’associations, d’hôpitaux etc.

https://www.hack4values.eu/

Pour éviter de découvrir un mot de passe celui-ci est chiffré, y compris lorsqu'il est stocké dans une base de données, via un algorithme de hachage.

Un algorithme de hachage permet de chiffrer une chaine sans possibilité d'opération inverse. Le résultat du hach produit généralement une chaine unique et de longueur fixe. C'est le cas par exemple des algorithmes MD5 et SHA1. Ainsi, lors d'une phase d'authentification, on ne compare plus deux mots de passe en clair mais deux haches du mot de passe.

Côté serveur, c'est le plus souvent le langage de programmation PHP qui est utilisé et « hacher » un mot de passe.

Notons que le mot de passe est généralement (bien qu'il existe aussi des solutions en Javascript) haché côté serveur et non côté navigateur. Si votre connexion n'est pas sécurisée (protocole htpps, les données circulent en clair avant leur chiffrement. Inutile de dire que votre mot de passe peut alors être connu très facilement.

Saisir un mot puis cliquer sur hacher

 

hacher

Avez-vous remarqué quelque chose de spécial dans la fonction de hachage ci-dessus ?
Non ? Essayez encore avec un autre mot !
Avec une seule lettre !

Cette méthode permet de chiffrer les chaines efficacement mais reste « crackable » !
C'est pourquoi l'on a recourt à une technique qui consiste de concaténer une ou plusieurs clés ( appelées aussi « salt », « seed » ou « graine » ) au mot de passe.

L'on va donc ajouter par exemple la chaine : « maCleSecrète » avant le mot de passe et hacher le tout et « fin de clé" après.

                    
    define('PREFIX_SALT', 'maCleSecrète');
       
    define('SUFFIX_SALT', 'fin de clé');
  
    $hashSecure = (PREFIX_SALT.'m0tD3P4ss3'.SUFFIX_SALT);
                    
                

Jusque dans les années 2000, le chiffrement (cryptage) était très règlementé en France.

Le chiffrement est une opération qui va utiliser le hachage pour ajouter une signature à un texte, puis divers algorithmes pour l'encoder de telle sorte que seules les personnes qui disposent de la clé puissent le déchiffrer.

Il existe deux modes de chiffrement :

• Symétrique : la même clé de chiffrement est utilisée pour chiffrer/déchiffrer, la clé est secrète
• Asymétrique : deux clés sont utilisées pour chiffrer/déchiffrer, l'une publique de chiffrement distribuée, l'autre secrète

Les différents types de clés

Le chiffrement expliqué à vos parents

Jouer avec Cryptis

A tester également, un jeu, Cryptis, qui permet de découvrir la cryptographie asymétrique et notamment comment fonctionne la création et l'utilisation des clés publiques et privées.

Images des maths

Le protocole HTTPSpermet l’échange de données entre client et serveur de manière sécurisée, en ayant recours au cryptage (technologie SSL).

Lorsqu'une URL de type https://www.mondomaine.fr/ est demandée, un certificat qui fait office de carte d'identité numérique et a donc pour but d'identifier de manière fiable le détenteur d'un serveur, d'un site Internet ou d'une adresse électronique entre autres.

Il est délivré par un tiers de confiance aussi appelé "Autorité de certification", qui atteste, après audit, de l'identité du détenteur du certificat.

Outre le S du protocole htpp s un pictogramme signale que la connexion est sécurisée.

Il est possible de visionner un site avec une adresse de type https:// non sécurisée. Dans ce cas il y a bien un pictogramme de cadenas, mais ouvert.

Attention !

Un petit cadenas vert ne signifie par que le site lui-même est sûr. La serrure verte signifie que le site a reçu un certificat et qu’une paire de clés de chiffrement a été générée pour lui. Ces sites chiffrent les informations transmises entre vous et le site, autrement dit tout ce qu’un cadenas vert permet de garantir, c’est qu’aucune autre personne ne pourra espionner les données que vous saisissez.

Mais cela cela ne dit rien du site lui-même.

Face aux révélations d’Edward Snowden sur les écoutes de la NSA et les accès aux communications sur Skype de Microsoft, Facebook ou Hangouts de Google, et la nouvelle loi sur le renseignement, la vie privée est de plus en plus souvent menacée, pas toujours et seulement pour des raisons de sécurité publique.

Le film Citizenfour, sorti en France le 4 mars, sur les révélations de Snowden est à ce titre très éclairant.

« Pour moi, tout se résume au pouvoir d’État, et à la capacité du peuple à s’opposer concrètement à ce pouvoir. Je suis là, assis à concevoir des méthodes pour amplifier ce pouvoir d’Etat, et réalise que si la politique change, si les seules choses qui limitent ces Etats devaient changer, alors on ne pourrait plus réellement s’opposer à eux » Edward Snowden

Il est de plus en plus question de crypter Internet en entier. La norme serait ainsi le protocole HTTPS et non plus HTTP. Actuellement ce sont 22 % des échanges qui se font en mode https, contre 33 % en mode HTTP.
Le HTTPS crypte les données échangées entre un serveur et un ordinateur, mais vérifie également que la donnée reçue provient effectivement de la source attendue.

Pour un trafic sécurisé sur Internet et pour la sécurité des données, le protocole HTTPS serait ainsi le moyen idéal.

www.wired.com//

Les logiciels de surveillance, ou keylogger sont de petits programmes qui surveillent toutes les saisies clavier (ou bien plus). Ces programmes peuvent fonctionner en tache de fond de manière totalement invisible et le fichier des saisies est ensuite soit renvoyé par mail, ou stocké sur l’ordinateur.

Voilà pourquoi, pour transmettre le mot de passe, l’on utilise une clé de chiffrement, autrement dit l’on transforme la chaîne de caractère en une autre, beaucoup plus longue, dont la taille est donnée par sa valeur en bits. Une clé de 128 bits représente donc une clé de 2128 combinaisons possibles.

www.presse-citron.net/

Très souvent, l'on utilise le même mot de passe pour tout.

On l'a vu avec les Keylogger, l'on peut récupérer vos saisies clavier au moment même où vous les saisissez !

Si la ligne n'est pas sécurisée de bout en bout (protocole https), vos données circulent en clair et ne sont chiffrées que par le serveur.
En effet, très souvent, les fonctions de chiffrement sont réalisées côté serveur et non côté client (votre navigateur). Si quelqu'un les intercepte avant, il les intercepte en clair.

Le pixel espion

Un pixel espion (aussi appelé pixel 1x1 ou balise pixel, en anglais tracking pixel) est une image mesurant 1x1px. C'est donc la plus petit taille que peut afficher votre écran haute résolution qui en affiche couramment 1 million…

Cette image est téléchargée via un site Web ou un mail et est utilisé pour suivre les activités d’un utilisateur sur le Web. Un pixel espion peut aussi être utilisé par les annonceurs pour acquérir des données statistiques pour le marketing digital, l’analyse web ou le marketing par mail.

Des sites en ligne, que nous ne nommerons pas ici, proposent même leurs services (payants) pour configurer un pixel espion à image simple.

Tout ne peut pas être récupéré, mais principalement :

• Le système d’exploitation employé (donne les informations sur l’usage d’appareils mobiles)
• Le type d'utilisation (depuis un appareil mobile ou ordinateur)
• Le client utilisé, comme par exemple un programme email ou un navigateur
• La résolution d’écran du client
• Le temps de lecture d’un e-mail ou le temps de visite d’un site web
• Les activités réalisées sur un site web pendant une session (ce qui nécessite l'utilisation de plusieurs tracking pixels)
• Les adresses IP, qui renseignent sur le fournisseur et la localisation.

fr.ryte.com/

La CNIL

La CNIL a édité un guide téléchargeable intitulé "les mots de passe n'ont plus de secret pour vous" qui donne bon nombre de conseil sur les mots de passe.

Chiffrer ses données

Mais vous pouvez toujours chiffrer (crypter) vos données, voire des disques durs complets. Pour cela, en général un logiciel tiers est recommandé.

Ces logiciels permettent de chiffrer un simple fichier, une partition entière d'un disque dur ou un périphérique, comme une clé USB. Chiffrer ses données permet de transformer une information afin qu’elle ne soit pas accessible par des tiers non autorisés. En cas de perte ou de vol de votre ordinateur (ou de votre clé USB), il est quasi impossible d'accéder aux données chiffrées sans connaitre le mot de passe que vous aurez défini.

VeraCrypt est un logiciel de chiffrement de disque open source pour Windows, Mac OSX et Linux.
Il permet de créer un disque virtuel chiffré dans un fichier et le monte comme un vrai disque, ou de chiffrer une partition entière ou encore un périphérique de stockage tel qu'une clé USB ou un disque dur externe.

Télécharger et installer VeraCrypt : https://www.veracrypt.fr/

Comment l'utiliser ?

Tor est un système de routage dit « en oignon ». Pour accéder à un serveur, l’ordinateur va donc choisir aléatoirement plusieurs nœuds, qui vont conduire sa connexion jusqu’au serveur demandé. A chaque nœud traversé, l’adresse IP change. Plus le nombre de nœuds est important, plus il devient difficile de remonter jusqu’à la machine qui a émis la requête initialement.

Le réseau est d’ailleurs construit de telle manière qu’à l’intérieur même du circuit, il n'est pas possible de connaître l’adresse d’un ordinateur particulier, simplement du nœud précédent par lequel la requête est passée. Enfin, au bout d’un certain temps, le circuit utilisé est abandonné et l’ordinateur en choisit un nouveau, toujours aléatoirement.

Tor existe sous forme de logiciel ou d'extension que l'on peut installer directement dans le navigateur Web.

A savoir ! La navigation TOR est plus lente qu'une navigation traditionnelle.

Le chiffrement de bout en bout de ses chats signifie que seul l'émetteur et le destinataire peuvent lire un message. Ce message est chiffré sur le téléphone, envoyé au destinataire et ensuite déchiffré.

Quelques applications qui chiffrent vos données

Telegram

Telegram est une messagerie chiffrée et qui peut s'autodétruire. Télégram est gratuite, sans pub, sans frais d'abonnement. Elle existe pour Android, Iphone,/Ipad,IOS, PC, Mac, Linux. Le client est open source, les serveurs propriétaires, déployés à travers le monde appartiennent aux frères russes Dourov…

telegram.org/

Signal, la "messagerie suisse" de Snowden

Signal se targue d'être l'app de messagerie préférée d'Edouard Snowden. Il est possible de créer un groupe privé composé d'un nombre illimité d'autres utilisateurs. Signal permet aussi de passer des appels.

signal.org/fr/

Impossible de ne pas citer la très populaire application américaine de messagerie chiffrée, optée par des milliards d'utilisateurs : WhatsApp. En revanche, le fait d'appartenir à Facebook et d'être américaine ne favorise pas sa réputation.
Depuis sa décision de partage de données avec Facebook, de nombreux utilisateurs ont quitté l'application.

La Quadrature du Net met à disposition un site riche en conseils pour protéger ses données.

www.controle-tes-donnees.net/

Toujours en version bêta, chez Google, mais comme on vous écoute désormais autant en France qu'aux USA et il peut y avoir quelque chose d'ironique à cela, et aussi constituer un choix, un plugin de chiffrement de vos mails avec Chrome, basé sur openPGP et appelé end-to-end.

Ironie, quand tu nous tiens…

https://github.com/google/end-to-end

Tails est un système live dont le but est de préserver votre vie privée et votre anonymat. Il vous permet d'utiliser Internet de manière anonyme et de contourner la censure quasiment partout où vous allez et sur n'importe quel ordinateur. Tails ne laisse aucune trace de ce que vous avez fait, sauf si vous le demandez explicitement.

Tails est un système d'exploitation complet destiné à être utilisé depuis un DVD, une clef USB ou une carte SD indépendamment du système installé sur l'ordinateur.

C'est un logiciel libre basé sur Debian GNU/Linux.

Logiciels inclus dans Tails :

• Tor Browser with uBlock, a secure browser and an ad-blocker
• Thunderbird avec Enigmail, pour les emails chiffrés
• KeePassXC, pour créer et gérer des mots de passe forts
• LibreOffice, une suite bureautique
• OnionShare, pour partager des fichier via Tor
• et de nombreux autres !

Concrètement, pour utiliser Tails, éteignez l'ordinateur et démarrez-le sur votre clé USB. Tails à la place de Windows, macOS ou Linux. Vous pouvez ainsi transformer temporairement votre propre ordinateur en une machine sécurisée. Vous pouvez également rester en sécurité en utilisant l'ordinateur d'une autre personne.

tails.boum.org/

Voir également

FREENET

5 amis de confiance en ligne simultanément permettent de répartir vos fichiers, chiffré, de manière aléatoire sur tous les ordinateurs.

freenetproject.org/

I2P est une surcouche réseau d'anonymisation, un réseau au sein du réseau. Il est destiné à protéger les communications contre la surveillance globale.

geti2p.net/fr/

Qu’est-ce que le Cloud Act ?

C’est l’acronyme de
Clarifying Lawful Overseas Use of Data Act
autrement dit une loi clarifiant l’usage légal des données hébergées à l’étranger.

Question. Que pensez-vous de l'idée qu'un président américain puisse lire tous vos échanges sans même que vous en soyez averti ?

Qu'est-ce qu'un mot de passe ?

Un mot de passe c'est en quelque sorte une clé ouvrant une / des porte(s) à celui qui le détient. C'est un secret, associé à une identité. Le plus souvent, l’identité aujourd’hui est portée par une adresse de messagerie. Cette adresse sert à identifier une personne, un utilisateur.

Cet utilisateur s'approprie ainsi des droits supplémentaires que d'autres personnes n'ont pas. Il ne tient alors qu'à lui de ne pas le divulguer pour que les privilèges qui lui sont conférés ne soient pas détournés par une tierce personne mal intentionnée.

Le risque principal est le vol du mot de passe, qui permet d’usurper l’identité associée.

Ce testeur a surtout pour vocation de vous sensibiliser à la nécessité d'utiliser des mots de passe sécurisés.

« En 20 ans d'effort, on a réussi à entrainer tout le monde à utiliser des mots de passe qu'il est difficile à un humain de retenir, mais très facile à un ordinateur de deviner. »

Il y a plusieurs façons de casser un mot de passe : la force brute, la méthode du dictionnaire et l'ingénierie sociale, les logiciels espions…

La force brute est la plus simple des recherches des mots de passe et c'est celle qui donne un résultat assuré si on a du temps (beaucoup de temps parfois).

Un peu de mathématique

Soit un mot de passe de N caractères
Soit V, la vitesse de calcul d'un supercalculateur, ici, nous la fixons à 1 000 000 000 de mots de passes à la seconde. Eh oui ! Un ordinateur actuel sait tester plusieurs millions de mots de passe par seconde.

La méthode du dictionnaire nécessite une base de mots de passe possibles. Cette méthode consiste à tester tous les mots du dictionnaire jusqu'à obtenir le bon. Statistiquement, cette méthode conserve de bons taux de réussite.

L'ingénierie sociale consiste à mener une enquête sur l'utilisateur afin d'obtenir des informations liées à ses activités, sa famille, ses habitudes, pour obtenir de possibles mots de passe.

En gros, il s'agit d'écouter ce qui se dit, regarder, enregistrer tout en se faisant oublier. Il suffit par exemple de voyager en TGV, en première classe pour être surpris de la quantité d'informations qu'on peut obtenir ou enregistrer en faisant semblant d'écouter de la musique.

S'entraîner à enregistrer les mots de passe saisis au clavier peut aussi se révéler fort efficace et il est très facile de forcer un redémarrage d'ordinateur.

Bref, cette technique est redoutablement efficace, discrète, ne demande que peu de moyens et, hier comme aujourd'hui, voire demain restera sans doute très utilisée.

Sécurité des mots de passe

Nombre et type de caractères, un mot de passe est plus ou moins facile à « cracker ». Même si l'histoire a montré, pensons à enigma par exemple, que n'importe quel mot de passe peut être décrypté, tout est avant tout question de temps et donc d'argent !

Évidemment, un mot de passe style "123456", n'en est pas un. Une liste des mots de passe les plus utilisés est d'ailleurs régulièrement publiée.

Pour créer et retenir facilement un mot de passe, la technique la plus simple est celle de l'acronyme.

Mais ça, c'était avant !
De nos jours, la longueur des mots de passe n'étant plus vraiment limitée, vous pouvez directement ajouter une phrase et, pourquoi pas, la contextualiser.

Les tables arc-en-ciel

Les mots de passe n'étant plus (espérons-le) stockés en clair. Seule la valeur de hashage (voir plus haut) l'est, et elle ne permet pas de revenir en arrière et donc de retrouver le mot de passe en clair.

Les pirates utilisent alors les attaques par force brute : un programme informatique qui essaie constamment jusqu‘à ce qu’il ait trouvé la chaîne de caractères correcte. Cette méthode combinée avec des dictionnaires de mots de passe tente de tester tous les mots de passe possible et comparer leur signature (clé de hashage). C'est ici qu'interviennent les tables arc-en-ciel qui contiennent des mots de passe et leurs valeurs de hachage.

www.ionos.fr/

Votre mot de passe est-il corrompu ?
Plusieurs sites permettent de le savoir.

haveibeenpwned.com/

cybernews.com/