Le blogue techno

Le blogue techno - Auteur
  • Jean-François Codère

    Journaliste spécialisé en technologies depuis 1999, je traite ici de Web, d’appareils mobiles, de jeux et d’autres gadgets, tantôt sous un angle «affaires», tantôt sous un angle «consommateur».
  • Lire la suite »

    Partage

    Jeudi 5 septembre 2013 | Mise en ligne à 17h10 | Commenter Commentaires (11)

    La NSA se moque du cryptage

    À intervalles réguliers, de nouvelles informations sur les capacités d’espionnage électroniques des États-Unis et de leurs partenaires, dont le Canada, font surface, gracieuseté des documents dérobés à la NSA par Edward Snowden. Les dernières nouvelles se résument ainsi : ne vous fiez pas au cryptage.

    Utiliser des services de courriel cryptés ou encore des technologies comme les réseaux privés virtuels (VPN) ou le Secure Sockets Layer (SSL) fait pourtant partie des « réflexes sûrs » en matière de sécurité.

    Combien de fois vous a-t-on dit qu’avant de soumettre des informations personnelles par le biais du Web, il fallait vérifier si « le petit cadenas était barré »? Et bien le petit cadenas a beau être barré, la NSA dispose d’une belle grosse paire de cutters, selon ce qu’écrit aujourd’hui le New York Times.

    En gros, au cours de la dernière décennie, l’agence américaine d’écoute électronique a multiplié les efforts pour se libérer de la menace que représentait pour elle le cryptage.

    Ses efforts étaient parfois prévisibles, comme de s’équiper de superordinateurs voués au décryptage par « force brute », mais aussi moins prévisibles. L’agence se serait par exemple employée à miner volontairement la sécurité de certains protocoles, soit en mettant de la pression sur les entreprises qui les créaient, soit en les créant elle-même.

    Le récit est long, mais passionnant. Et vraiment, mais alors là, vraiment : il n’y a rien de sûr sur Internet.


    • On ne peut plus empêcher de nos jours les gouvernements de venir fouiller dans nos vies, mais on peut au moins s’amuser à leur rendre la tâche plus difficile.

      Un article qui explique que la NSA s’attaque principalement aux routeurs:

      http://www.wired.com/threatlevel/2013/09/nsa-router-hacking/

      Les routeurs sont le maillon de la chaîne généralement le moins bien protégé et qu’on ne met pas à jour pour contrer les failles.

      Pour ajouter un peu plus de sécurité, on peut installer un firmware (microcode) alternatif à notre router au lieu de compter sur les routeurs de Bell et Vidéotron avec leurs firmware boîteux.

      J’ai un routeur linksys très populaire sur newegg.com (on trouve pas ça chez future shop) et le firmware dd-wrt:
      http://www.dd-wrt.ca/site/index

      Ça permet de véritablement contôler toutes les fonctions du routeur et de le sécuriser.

      Les lettres envoyées à partir de vos adresses e-mail Hotmail, Gmail et Yahoo sont lisibles par à peu près nimporte qui.
      C’est comme des cartes postales en fait.

      Une adresse e-mail pas mal plus anonyme serait PrivatDEmail ici:
      http://privatdemail.net/en/
      Ça fonctionne sulement avec un gestionnaire de e-mails comme thunderbird.

      Il y a aussi les adresses e-mail “jetables” comme celles-ci:
      http://www.tempemail.net/
      Elle s’effacent toutes seules au bout de 14 jours.
      Il y en a aussi qui s’effacent au bout de 10 minutes.

      Pratique pour reçevoir un mot de passe fourni automatiquement aprés une inscription et qu’on change immédiatement après réception.

      Si vous voulez savoir à quel point vous êtes identifiables sur le net:
      https://panopticlick.eff.org/

      Votre fureteur explorer ou firefox laisse sans vous le dire vos grosses empreintes digitales partout où vous êtes passés.

      La EFF (Electronic Frontier Foundation) a de nombreux articles pour apprendre à protéger sa vie privée dont voici un exemple ici:
      https://www.eff.org/deeplinks/2012/11/tutorial-how-create-anonymous-email-accounts

      Le site de la EFF ici:
      https://www.eff.org/

      Un VPN (Virtual Private Network) va aider pas mal et “The Onion Router” encore davantage:
      https://www.torproject.org/

      Il y aurait encore beaucoup à dire sur le sujet.

      Ce qui est clair c’est que le gouvernement États-Uniien se moque pas mal de leur propre 4e amendement de leur Constitution qui supposément garantit la vie privée.

      On est rendu pas mal loin dans les chapitres du livre de George Orwell “1984″ en compagnie de “Big Brother” qui nous suit partout et regarde tout ce qu’on fait.

      Un livre écrit en 1948 qui prédisait justement le piêtre situation où nous sommes aujourd’hui avec ces gouvernements soi-disant démocratiques mais qui ne nous appartiennent plus depuis quelques décennies déjà.

    • S’équiper de superordinateurs pour briser les clés de chiffrement par attaque systématique (brute force) ne sert à rien. Les clés RSA ont une sécurité telle qu’il faudrait plus d’énergie qu’en contient l’univers pour briser une seule clé par cette méthode avec les ordinateurs d’aujourd’hui.

      Il faut au minimum un indice, connaître un seul bit est suffisant dans plusieurs cas. Les efforts ont bien plus porté sur l’introduction de portes dérobées et de bogues dans les logiciels de chiffrement que sur des attaques systématiques.

      Il faudra attendre l’ordinateur quantique pour pouvoir efficacement et rapidement briser les clés de chiffrement grâce à des algorithmes drastiquement différents de ceux permis par les ordinateurs classiques. La factorisation des très grands nombres étant une spécialité algorithmique des ordinateurs quantiques. Mais, d’ici là, nous risquons de voir apparaître le chiffrement quantique aussi.

    • Super commentaire lesteur! J’en prend note. Merci.

      Aussi, le cryptage de la messagerie Blackberry correspond à quel protocole?

    • @ desian

      Bonsoir.

      Le protocole de cryptage du blackberry était le FIPS 140-2

      https://en.wikipedia.org/wiki/BlackBerry#Use_by_government_forces

      Et

      https://en.wikipedia.org/wiki/FIPS_140-2

      Blackberry c’est quasiment kaput.

      Mais certains services VPN offrent une version pour les téléphones intelligents comme le iphone et les téléphones androïd:

      https://www.privateinternetaccess.com/pages/client-support/

      Un VPN encrypte le message sortant de votre appareil et envoie le message encrypté vers un serveur privé.
      De là le message parcourt l’internet vers sa destination, rendant ainsi anonyme son origine.

      Personellement je crois que plus les gens chercheront à protéger leur vie privée, plus le marché répondra par des appareils et des protocoles de plus en plus sophistiqués.

      C’est pas vrai que tout cet espionnage de la part de la NSA sert à empêcher le terrorrisme et les pédophiles.
      Quel terroriste serait assez naïf aujourd’hui pour se servir de l’internet.

      Ben Laden donnait des clés USB à des courriers, il n’y avait pas de connexion internet là où il l’ont trouvé.
      Et la NSA n’a pas pu empêcher les attentats de Boston.

      Par contre, ici on apprend que 80 multinationales bénéficient financièrement de l’espionnage planétaire que fait la NSA :

      http://www.examiner.com/article/80-major-corporations-profit-from-nsa-global-spying-network

      D’après moi, se mettre au service de la cupidité sans bornes des multinationales c’est ça la véritable mission de la NSA.

    • @dcsavard – 6 septembre 2013 – 10h50
      Je viens de jeter un coup d’oeil les clés RSA et on dit qu’en 2010 on a réussi à factoriser une clé de 768 bits mais au prix d’effort de calcul gigantesque. Pour régler le problème de la NSA, on mentionne d’utiliser une clé de 2048 bits et nos meilleures chances à la NSA avec les ordinateurs déterministes que nous avons aujourd’hui, aussi puissant, soit-il. Comme ça va prendre un long moment avant d’avoir des ordinateurs quantiques, nous aurons la paix.

      Pour ceux qui sont prêt à mettre les efforts, la cryptographie quantique va aussi régler le cas de la NSA.

    • Finalement, le plus grand danger de la pieuvre NSA, c’est celui-ci:

      Imaginons un homme politique dont la carrière est en pleine ascension.

      Ce politicien a dans ses intentions avouées et dans son programme électoral de forcer un encadrement sérieux de activités de surveillance de la NSA, ou d’arrêter une guerre jugée injuste, ou tout autre projet qui ne convient pas à la NSA où à un groupe d’individus en ayant le contrôle.

      Il devient alors facile, trop facile, pour ces gens, d’explorer toutes les communications téléphoniques, tous les courriels, tous les accès internet du politicien en question, de savoir et prouver qu’il a fréquenté des sites porno, qu’il a entretenu une liaison extraconjugale ou qu’il a acheté des jouets érotiques sado-maso, et de couler l’information à la presse, détruisant la carrière politique du bonhomme et préservant ainsi «l’ordre établi».

      Ces capacités d’espionnage de la NSA, c’est lui remettre le contrôle de tout l’appareil politique, judiciaire et militaire du pays.

      Et comme le dit si bien Machiavel: «Le pouvoir corrompt ; le pouvoir absolu corrompt absolument.»

      Voilà le plus grand danger du système sophistiqué d’écoute, de collecte et d’archivage mis au point par la NSA et les diverses agences de renseignement américaines.

      Et à mesure que sont révélées les informations obtenues par Snowden, je commence à croire en la possibilité que ces agences puissent actuellement détenir une bonne partie du pouvoir aux USA…

    • @ dcsavard

      - «Les clés RSA ont une sécurité telle qu’il faudrait plus d’énergie qu’en contient l’univers pour briser une seule clé par cette méthode avec les ordinateurs d’aujourd’hui.»

      Faux.

      Grâce à des processeurs faits sur mesure et des logiciels spécialisés, il est établi que la NSA n’a aucun problème à briser l’encodage RSA, et rapidement.

      Compte rendu/rapport provenant d’une conférence sur la Cryptographie Financière de 2002, où on explique clairement que la NSA pourrait facilement déchiffrer du RSA 1024 bits en quelques minutes:

      https://www.ietf.org/mail-archive/web/saag/current/msg00572.html

      Autre article sur les capacités de la NSA à déchiffrer tout ce qui circule sur le net:

      http://arstechnica.com/security/2013/09/majority-of-tor-crypto-keys-could-be-broken-by-nsa-researcher-says/

      Extrait:
      “Everyone seems to agree that if anything, the NSA can break 1024 RSA/DH keys,” Graham wrote in a blog post published Friday. “Assuming no ‘breakthroughs,’ the NSA can spend $1 billion on custom chips that can break such a key in a few hours. We know the NSA builds custom chips, they’ve got fairly public deals with IBM foundries to build chips.”

      Et les dernières révélations provenant des documents de Snowden dont on parle dans l’article du Times disent clairement que le chiffrage de tout ce qui circule sur le net ne pose aucun problème à la NSA.

      Ce que vous dites était vrai il y a quelques années, mais maintenant on croit que même les clés de 2048 bits ne sont pas à l’épreuve de la NSA.

    • @ralbol – 8 septembre 2013 – 22h04
      Très intéressant: merci!

      Dans ce cas, ceux qui veulent vraiment se protéger devront se tourner vers la cryptographie quantique. Nous sommes encore loin des ordinateurs quantiques, alors ça va permettre de faire un bout de chemin.

      Cette nouvelle à propos de NSA et des clés RSA n’est peut-être pas si surprenante, à un moment donné, les fonds disponibles sont quasiment illimités, alors tu vas finir par attirer des gens brillants et le reste s’ensuit. Maintenant que les gens savent ce que la NSA peut faire, le mal est fait et d’autres gens encore plus brillants vont chercher le moyen de déjouer la NSA et un deux qu’ils vont y parvenir. Il existe une manière très simple de les déjouer, ne pas utiliser le Web pour monter un complot :-) . A un moment donné, la poste et les clés USB, tu fais quoi contre cela?

    • Google commence à encrypter ses données, un peu tard…
      http://www.washingtonpost.com/business/technology/google-encrypts-data-amid-backlash-against-nsa-spying/2013/09/06/9acc3c20-1722-11e3-a2ec-b47e45e6f8ef_story.html

    • @ paradoxaldream

      - «Google commence à encrypter ses données, un peu tard…
      http://www.washingtonpost.com/business/technology/google-encrypts-data-amid-backlash-against-nsa-spying/2013/09/06/9acc3c20-1722-11e3-a2ec-b47e45e6f8ef_story.html»

      Le problème c’est que Google a collaboré avec la NSA dans le cadre du programme PRISM, en donnant accès aux données de ses usagés.

      Microsoft et Apple ont fait de même.

      Alors qui va croire que la «nouvelle encryption» de Google sera à l’abri des yeux de la NSA ?

      Seulement les naïfs…

    • Et nous apprenons aujourd’hui que le système de cryptographie NIST basé sur les courbes elliptiques est comme par hasard fondé sur des nombres choisis et opaques de 256 bits qui sont fournis par la NSA…

      On savait déjà que le système de génération de nombres aléatoires Dual_EC_DRBG utilisé en cryptographie était une fabrication de la NSA et un «backdoor», mais cette nouvelle révélation vient encore mettre en lumière l’implication et les capacités de la NSA d’influencer et déchiffrer les standards cryptographiques mondiaux.

      http://it.slashdot.org/story/13/09/11/1224252/are-the-nist-standard-elliptic-curves-back-doored

    Vous désirez commenter cet article?   Ouvrez une session  |  Inscrivez-vous

    publicité

  • Twitter

  • Catégories

  • Blogues sur lapresse

    publicité

  • Calendrier

    juin 2014
    D L Ma Me J V S
    « mai   juil »
    1234567
    891011121314
    15161718192021
    22232425262728
    2930  
  • Archives

  • publicité