mercredi 13 novembre 2019    || Inscription
BanniereNews
 
 
Il est de bon ton de dire qu’il faut protéger ses communications contre tous les services secrets de la planète. Snowden passe à la fois pour un héros, défenseur des libertés, candidat au prix Nobel de la paix, ou pour le dernier des traîtres, quasiment passible de la peine de mort,  qui a révélé l’état des défenses numériques des Etats-Unis contre ses ennemis.

Il est souvent admis que le chiffrement AES 256 est robuste. Il l’est ! D’autant plus qu’il est issu de travaux de chiffrement de la NSA. Et une fois tout cela dit, tout le monde présente la dernière solution de sécurité et de chiffrement pour protéger la confidentialité de différents échanges conforme à ces derniers algorithmes. Mais ne reste-t-il pas des failles de sécurité après avoir déployé toutes ces solutions miracle ?

Pourquoi d’ailleurs une telle richesse de solutions de chiffrement autour d’un seul et même algorithme ? Des solutions « populaires » foisonnent : Telegram, WhatsApp, Signal, sans oublier les systèmes de chiffrement de messagerie asynchrones : Axcrypt, contenaire TrueCrypt, Zed ! de Prim’X, Etc. On peut chiffrer des messages instantanés, des fichiers ou encore des répertoires. Tout existe, au choix.

Les failles possibles dans l’échange des clés de chiffrement en mode symétrique

La solidité du chiffrement est une chose, mais l’échange des clés en est une autre. C’est la faiblesse bien connue du chiffrement symétrique.

Certaines solutions, très conviviales, demandent l’inscription d’un numéro de téléphone mobile pour échanger ou valider la clé de chiffrement. Avec un message SMS, non chiffré et parfaitement interceptable, la clé est transmise, voire retransmise plusieurs fois pour les solutions « multi-devices ». Le NIST a d’ailleurs émis une alerte il y a maintenant plus d’un an avec le SP 800-63B. A-t-elle été lue ? Ce n’est pas certain. Un bon chiffrement avec une clé privée en clair sur le réseau n’a pas de valeur. Il convient donc de rappeler aux utilisateurs de réfléchir à ce qu’est le processus de transmission de leur clé de chiffrement. Les applications grand public ne proposent pas de « cérémonies d’échange de clés » comme le font les opérateurs de PKI / IGC. Soit. Mais l’échange de clé est-il crédible et protégé ? C’est la première question portant sur la confidentialité de la clé. Pour les projets les plus sérieux, la « cérémonie des clés » reste obligatoire avec un tiers de confiance. 

La seconde question est plus perturbante : il ne s’agit pas de sujet de confidentialité, d’intégrité ou de disponibilité de l’application et de ses informations. Mais d’une question de discrétion. Question de bon sens non prise en compte dans la majorité des méthodes d'analyse de risques. Tout le monde doit-il savoir qui utilise quelle solution de protection de ses informations ?

Le manque cruel de discrétion de l’utilisation de l’outil de chiffrement 

Si l’on utilise une solution de messagerie chiffrée pour dialoguer avec différentes personnes sur des sujets très précis, est-il nécessaire que tous les autres interlocuteurs de l’utilisateur soient immédiatement informés de l’usage de cet outil ? Sans doute pas. L’utilisateur doit pouvoir proposer un tel échange sécurisé à un groupe fermé et très restreint de ses correspondants. Il n’est pas besoin que tout le monde soit informé que cette personne utilise une telle messagerie protégée. C’est une question de discrétion élémentaire.

Mais de nombreux outils de chiffrement « avalent les carnets d’adresses » de leurs utilisateurs et informent tous leurs correspondants de l’usage de l’application de chiffrement. L’objectif de l’éditeur, opérateur de service est naturellement d’accroître l’usage de son service de messagerie. Le service étant souvent gratuit, « l’utilisateur est le produit » vendu par l’éditeur. Et l’utilisateur ne le comprend pas souvent …

Telegam, WhatsApp, par exemple, ne sont pas discrets et divulguent à tous les contacts de l’utilisateur que celui-ci utilise le service, quand bien même ce dernier ne souhaite utiliser la fonction que pour un nombre très limité de ses relations. Tous ses autres contacts savent que l’utilisateur est client du dit service. C’est très indiscret et c’est une faille de sécurité. C’est d’autant plus grave que les utilisateurs de ces applications n’ont pas du tout conscience de cette divulgation débordante.

Ces applications ne doivent être utilisées pour dialoguer en toute discrétion avec un groupe fermé de correspondants qu’en utilisant un numéro de mobile spécifique : nouvelle carte prépayée par exemple, pour un usage limité avec un smartphone acceptant deux cartes SIM. Mais qui prend cette précaution élémentaire ? 

Sinon, d’autres solutions de chiffrement symétriques doivent être privilégiées, qui contrôlent la liste des utilisateurs. 

Des solutions de PKI / IGC, asymétriques, sont aussi possibles, mais demandent la mise en œuvre de véritables projets d’entreprises. C’est alors une question d’appréciation des risques. Il faut le faire dès que les enjeux le justifient. Et le jeu en vaut alors la chandelle.




Noter cet article (de 1 = Nul à 5 = Excellent) Valider

Dossier

RSS
12



Événements SSI

BLOCKCHAIN

Conférence et exposition sur les applications d'entreprise de la blockchain à Paris, cité universitaire internationale, les 13 et 14 novembre 2019. Organisés par Corp Agency.

TRUSTECH

Cet événement international dédié aux paiements, à l'identification et à la sécurité est organisé à Cannes (palais des festivals) du 26 au 28 novembre 2019. Organisé par Comexposium.

FIC

Ayant pour thème cette année "Replacer l'humain au coeur de la cybersécurité", le Forum International de la Cybersécurité occupe les 28, 29 et 30 janvier 2020 le Grand Palais de Lille. Organisé par la Région Hauts-de-France et Euratechnologies, la Gendarmerie Nationale et CEIS.

RSS