vendredi 25 mai 2018    || Inscription
BanniereNews
 
 
News Partenaires

2016 a été une année record en matière de failles de sécurité. De récentes études indiquent que le nombre de dossiers exposés a atteint les 4,2 milliards l'année dernière, contre seulement 1,1 milliard en 2013.

[Lire l'article...]

Il est de bon ton de dire qu’il faut protéger ses communications contre tous les services secrets de la planète. Snowden passe à la fois pour un héros, défenseur des libertés, candidat au prix Nobel de la paix, ou pour le dernier des traîtres, quasiment passible de la peine de mort,  qui a révélé l’état des défenses numériques des Etats-Unis contre ses ennemis.

Il est souvent admis que le chiffrement AES 256 est robuste. Il l’est ! D’autant plus qu’il est issu de travaux de chiffrement de la NSA. Et une fois tout cela dit, tout le monde présente la dernière solution de sécurité et de chiffrement pour protéger la confidentialité de différents échanges conforme à ces derniers algorithmes. Mais ne reste-t-il pas des failles de sécurité après avoir déployé toutes ces solutions miracle ?

Pourquoi d’ailleurs une telle richesse de solutions de chiffrement autour d’un seul et même algorithme ? Des solutions « populaires » foisonnent : Telegram, WhatsApp, Signal, sans oublier les systèmes de chiffrement de messagerie asynchrones : Axcrypt, contenaire TrueCrypt, Zed ! de Prim’X, Etc. On peut chiffrer des messages instantanés, des fichiers ou encore des répertoires. Tout existe, au choix.

Les failles possibles dans l’échange des clés de chiffrement en mode symétrique

La solidité du chiffrement est une chose, mais l’échange des clés en est une autre. C’est la faiblesse bien connue du chiffrement symétrique.

Certaines solutions, très conviviales, demandent l’inscription d’un numéro de téléphone mobile pour échanger ou valider la clé de chiffrement. Avec un message SMS, non chiffré et parfaitement interceptable, la clé est transmise, voire retransmise plusieurs fois pour les solutions « multi-devices ». Le NIST a d’ailleurs émis une alerte il y a maintenant plus d’un an avec le SP 800-63B. A-t-elle été lue ? Ce n’est pas certain. Un bon chiffrement avec une clé privée en clair sur le réseau n’a pas de valeur. Il convient donc de rappeler aux utilisateurs de réfléchir à ce qu’est le processus de transmission de leur clé de chiffrement. Les applications grand public ne proposent pas de « cérémonies d’échange de clés » comme le font les opérateurs de PKI / IGC. Soit. Mais l’échange de clé est-il crédible et protégé ? C’est la première question portant sur la confidentialité de la clé. Pour les projets les plus sérieux, la « cérémonie des clés » reste obligatoire avec un tiers de confiance. 

La seconde question est plus perturbante : il ne s’agit pas de sujet de confidentialité, d’intégrité ou de disponibilité de l’application et de ses informations. Mais d’une question de discrétion. Question de bon sens non prise en compte dans la majorité des méthodes d'analyse de risques. Tout le monde doit-il savoir qui utilise quelle solution de protection de ses informations ?

Le manque cruel de discrétion de l’utilisation de l’outil de chiffrement 

Si l’on utilise une solution de messagerie chiffrée pour dialoguer avec différentes personnes sur des sujets très précis, est-il nécessaire que tous les autres interlocuteurs de l’utilisateur soient immédiatement informés de l’usage de cet outil ? Sans doute pas. L’utilisateur doit pouvoir proposer un tel échange sécurisé à un groupe fermé et très restreint de ses correspondants. Il n’est pas besoin que tout le monde soit informé que cette personne utilise une telle messagerie protégée. C’est une question de discrétion élémentaire.

Mais de nombreux outils de chiffrement « avalent les carnets d’adresses » de leurs utilisateurs et informent tous leurs correspondants de l’usage de l’application de chiffrement. L’objectif de l’éditeur, opérateur de service est naturellement d’accroître l’usage de son service de messagerie. Le service étant souvent gratuit, « l’utilisateur est le produit » vendu par l’éditeur. Et l’utilisateur ne le comprend pas souvent …

Telegam, WhatsApp, par exemple, ne sont pas discrets et divulguent à tous les contacts de l’utilisateur que celui-ci utilise le service, quand bien même ce dernier ne souhaite utiliser la fonction que pour un nombre très limité de ses relations. Tous ses autres contacts savent que l’utilisateur est client du dit service. C’est très indiscret et c’est une faille de sécurité. C’est d’autant plus grave que les utilisateurs de ces applications n’ont pas du tout conscience de cette divulgation débordante.

Ces applications ne doivent être utilisées pour dialoguer en toute discrétion avec un groupe fermé de correspondants qu’en utilisant un numéro de mobile spécifique : nouvelle carte prépayée par exemple, pour un usage limité avec un smartphone acceptant deux cartes SIM. Mais qui prend cette précaution élémentaire ? 

Sinon, d’autres solutions de chiffrement symétriques doivent être privilégiées, qui contrôlent la liste des utilisateurs. 

Des solutions de PKI / IGC, asymétriques, sont aussi possibles, mais demandent la mise en œuvre de véritables projets d’entreprises. C’est alors une question d’appréciation des risques. Il faut le faire dès que les enjeux le justifient. Et le jeu en vaut alors la chandelle.




Noter cet article (de 1 = Nul à 5 = Excellent) Valider

Dossier

Droit d’accès et comptes à privilèges

Jacques Cheminat 0 17639
Equifax, Deloitte, Uber, les récentes violations de données ont souvent des techniques de piratages différentes, mais un élément commun, obtenir l’accès à des applications critiques comme les bases de données, les bases clients, les informations bancaires. En général ces programmes sont soumis à habilitation et rattachés à des comptes à privilèges. leur protection est donc une nécessité dans un monde de plus en plus ouvert et insécurisé. Dossier publié avec le concours de Kleverware.
RSS



Événements SSI

HACK IN PARIS

Pour sa 8ème édition la conférence Hack In Paris sur la sécurité IT se tient du 25 au 29 juin 2018 à Paris, Maison de la Chimie. Organisée par Sysdream.

BLACK HAT

Événement majeur mondial sur la sécurité de l'information la conférence Black Hat USA a lieu du 4 au 9 août 2018 à Las Vegas (Mandalay Bay). Organisé par UBM.

LES ASSISES

Grand rendez-vous annuel des RSSI, les Assises de la sécurité des systèmes d'information se tiennent à Monaco (Grimaldi Forum) du 10 au 13 octobre 2018. Organisées par DG Consultants.

TRUSTECH

Cet événement international dédié aux "technologies de la confiance" qui intègre désormais le salon Cartes Secure Connexions (jusqu'en 2015 celui-ci se tenait à Paris Villepinte) est organisé à Cannes (palais des festivals) du 27 au 29 novembre 2018. Organisé par Comexposium.

 

RSS