dimanche 24 septembre 2017    || Inscription
BanniereNews
 
 
News Partenaires

2016 a été une année record en matière de failles de sécurité. De récentes études indiquent que le nombre de dossiers exposés a atteint les 4,2 milliards l'année dernière, contre seulement 1,1 milliard en 2013.

[Lire l'article...]

Il est de bon ton de dire qu’il faut protéger ses communications contre tous les services secrets de la planète. Snowden passe à la fois pour un héros, défenseur des libertés, candidat au prix Nobel de la paix, ou pour le dernier des traîtres, quasiment passible de la peine de mort,  qui a révélé l’état des défenses numériques des Etats-Unis contre ses ennemis.

Il est souvent admis que le chiffrement AES 256 est robuste. Il l’est ! D’autant plus qu’il est issu de travaux de chiffrement de la NSA. Et une fois tout cela dit, tout le monde présente la dernière solution de sécurité et de chiffrement pour protéger la confidentialité de différents échanges conforme à ces derniers algorithmes. Mais ne reste-t-il pas des failles de sécurité après avoir déployé toutes ces solutions miracle ?

Pourquoi d’ailleurs une telle richesse de solutions de chiffrement autour d’un seul et même algorithme ? Des solutions « populaires » foisonnent : Telegram, WhatsApp, Signal, sans oublier les systèmes de chiffrement de messagerie asynchrones : Axcrypt, contenaire TrueCrypt, Zed ! de Prim’X, Etc. On peut chiffrer des messages instantanés, des fichiers ou encore des répertoires. Tout existe, au choix.

Les failles possibles dans l’échange des clés de chiffrement en mode symétrique

La solidité du chiffrement est une chose, mais l’échange des clés en est une autre. C’est la faiblesse bien connue du chiffrement symétrique.

Certaines solutions, très conviviales, demandent l’inscription d’un numéro de téléphone mobile pour échanger ou valider la clé de chiffrement. Avec un message SMS, non chiffré et parfaitement interceptable, la clé est transmise, voire retransmise plusieurs fois pour les solutions « multi-devices ». Le NIST a d’ailleurs émis une alerte il y a maintenant plus d’un an avec le SP 800-63B. A-t-elle été lue ? Ce n’est pas certain. Un bon chiffrement avec une clé privée en clair sur le réseau n’a pas de valeur. Il convient donc de rappeler aux utilisateurs de réfléchir à ce qu’est le processus de transmission de leur clé de chiffrement. Les applications grand public ne proposent pas de « cérémonies d’échange de clés » comme le font les opérateurs de PKI / IGC. Soit. Mais l’échange de clé est-il crédible et protégé ? C’est la première question portant sur la confidentialité de la clé. Pour les projets les plus sérieux, la « cérémonie des clés » reste obligatoire avec un tiers de confiance. 

La seconde question est plus perturbante : il ne s’agit pas de sujet de confidentialité, d’intégrité ou de disponibilité de l’application et de ses informations. Mais d’une question de discrétion. Question de bon sens non prise en compte dans la majorité des méthodes d'analyse de risques. Tout le monde doit-il savoir qui utilise quelle solution de protection de ses informations ?

Le manque cruel de discrétion de l’utilisation de l’outil de chiffrement 

Si l’on utilise une solution de messagerie chiffrée pour dialoguer avec différentes personnes sur des sujets très précis, est-il nécessaire que tous les autres interlocuteurs de l’utilisateur soient immédiatement informés de l’usage de cet outil ? Sans doute pas. L’utilisateur doit pouvoir proposer un tel échange sécurisé à un groupe fermé et très restreint de ses correspondants. Il n’est pas besoin que tout le monde soit informé que cette personne utilise une telle messagerie protégée. C’est une question de discrétion élémentaire.

Mais de nombreux outils de chiffrement « avalent les carnets d’adresses » de leurs utilisateurs et informent tous leurs correspondants de l’usage de l’application de chiffrement. L’objectif de l’éditeur, opérateur de service est naturellement d’accroître l’usage de son service de messagerie. Le service étant souvent gratuit, « l’utilisateur est le produit » vendu par l’éditeur. Et l’utilisateur ne le comprend pas souvent …

Telegam, WhatsApp, par exemple, ne sont pas discrets et divulguent à tous les contacts de l’utilisateur que celui-ci utilise le service, quand bien même ce dernier ne souhaite utiliser la fonction que pour un nombre très limité de ses relations. Tous ses autres contacts savent que l’utilisateur est client du dit service. C’est très indiscret et c’est une faille de sécurité. C’est d’autant plus grave que les utilisateurs de ces applications n’ont pas du tout conscience de cette divulgation débordante.

Ces applications ne doivent être utilisées pour dialoguer en toute discrétion avec un groupe fermé de correspondants qu’en utilisant un numéro de mobile spécifique : nouvelle carte prépayée par exemple, pour un usage limité avec un smartphone acceptant deux cartes SIM. Mais qui prend cette précaution élémentaire ? 

Sinon, d’autres solutions de chiffrement symétriques doivent être privilégiées, qui contrôlent la liste des utilisateurs. 

Des solutions de PKI / IGC, asymétriques, sont aussi possibles, mais demandent la mise en œuvre de véritables projets d’entreprises. C’est alors une question d’appréciation des risques. Il faut le faire dès que les enjeux le justifient. Et le jeu en vaut alors la chandelle.




Noter cet article (de 1 = Nul à 5 = Excellent) Valider

Billet d'humeur

Histoire vécue incroyable de RSSI (3)

Le rêve d’un « service premium gratuit » et de contrats de maintenance à vie sans payer (n°3 d’une longue série à venir.)

la rédaction 0 207

Les histoires ci-dessous sont tirées de cas réels de comportements déviants d’utilisateur / utilisatrice, assez incroyables, mais complètement réelles.
Il est usuel d’exiger une qualité de service parfaite. Les produits doivent fonctionner et n’avoir aucun défaut. Le fournisseur doit apporter une réponse immédiate à tout, y compris pour fournir des services qu’il n’a jamais envisagés, et le tout gratuitement.
Des telles attentes reposent sur un malentendu dans lequel l’utilisateur est aussi fautif que le fournisseur. Que l’on soit avec un service de grande consommation, ou avec un service professionnel.



Événements SSI

APS

Salon professionnel de la sûreté et de la sécurité

la rédaction 0 160

APS, salon professionnel de la sûreté et de la sécurité, se tient du 26 au 28 septembre 2017 à Paris, porte de Versailles (pav. 5.2/5.3). Organisé par Reed Expositions.

LES ASSISES

...de la sécurité des systèmes d'information

la rédaction 0 387

Grand rendez-vous annuel des RSSI, les Assises de la sécurité des systèmes d'information se tiennent à Monaco (Grimaldi Forum) du 11 au 14 octobre 2017. Organisées par DG Consultants.

TRUSTECH

Technologies de la confiance

la rédaction 0 206

Cet événement international dédié aux "technologies de la confiance" qui intègre désormais le salon Cartes Secure Connexions (jusqu'en 2015 celui-ci se tenait à Paris Villepinte) est organisé à Cannes (palais des festivals) du 28 novembre au 30 novembre 2017. Organisé par Comexposium.

FIC

Forum International de la Cybersécurité à Lille

la rédaction 0 223

Le 10ème Forum International de la Cybersécurité occupe les 23 et 24 janvier 2017 le Grand Palais de Lille. Organisé par la Région Nord-Pas de Calais et Euratechnologies, la Gendarmerie Nationale et CEIS.

IT MEETINGS

Salon business des réseaux, des télécoms, de la mobilité, du cloud computing, des datacenters et de la sécurité

la rédaction 0 214

Le salon business des réseaux, des télécoms, de la mobilité, du cloud computing, des datacenters et de la sécurité aura pour cadre à nouveau du 20 au 22 mars 2018 le palais des festivals et des congrès de Cannes. Organisé par Weyou Group.

DOCUMATION

Couplé avec le Data Intelligence Forum

la rédaction 0 206

Congrès et exposition Documation et Data Intelligence Forum, deux événements pour réussir sa digitalisation, du 20 au 22 mars 2018  à Paris Porte de Versailles. Organisé conjointement avec les salons Solutions RH, Solutions Intranet, Collaboratif et RSE et I-expo par Infopromotions.

RSA CONFERENCE

Édition USA

la rédaction 0 200

Dédiée à la sécurité de l'information, la RSA Conference USA se tient à San Francisco (Moscone Center) du 16 au 20 avril 2018. Organisée par RSA.

RSS