Quel Crédit à apporter aux logiciels de cryptage ?

Forum sur la sécurité des réseaux, la configuration des firewalls, la mise en place de protections contre les attaques, de DMZ, de systèmes anti-intrusion ...

Modérateur: modos Ixus

Quel Crédit à apporter aux logiciels de cryptage ?

Messagepar zano » 28 Déc 2010 21:55

Bonjour tous et toutes, et comme c'est l'usage en cette période de l'année: Excellentes et joyeuses fêtes de fin d'année.

En tant que nouvel inscrit sur ce forum et à la recherche depuis pas mal de temps d'informations qui ne me laissent pas sur ma faim, à la fois sur la sécurisation des systèmes d'information et la sécurisation de nos échanges privés, commerciaux, etc. c'est tout naturellement que je parcours sites & forums spécialisés sur la question et je dois avouer que plus le temps passe et plus je reste dubitatif et pas convaincu du tout, et j'expose de ce pas mon point de vue en espérant susciter un débat contradictoire qui puisse - je l'espère - éclairer un peu plus nos lanternes sur tout ce qui est dit ou caché dans ce domaine... :shock:

Ma première constatation est la suivante: dans les pays où la cryptographie est sévèrement reglémentée - car considérée comme une arme et / ou des munitions - ou interdite, les choses sont claires. Mais dans un pays comme la France où soit disant la cryptographie a été libérée, (et d''après un article de Wikipedia que je cite) :

En France[modifier]
L'usage de PGP (Pretty Good Privacy), un des premiers logiciels de chiffrement disponibles sur l'Internet, a longtemps été interdit en France, car considéré jusqu'en 1996 comme une arme de guerre de deuxième catégorie. La législation française s'est ensuite assouplie, et le chiffrement symétrique avec des clés aussi grandes que 128 bits a été autorisé. Certains logiciels, comme GNU Privacy Guard, peuvent être utilisés avec n'importe quelle taille de clé symétrique. Enfin, la Loi pour la confiance dans l'économie numérique du 21 juin 2004 a totalement libéralisé l'utilisation des moyens de cryptologie, en revanche leur importation ou exportation est soumise à déclaration ou autorisation[3].


Là on me fait comprendre que j'ai depuis pas mal d'année la possibilité de crypter ce que je veux avec les moyens que je veux :shock: Oh oh que c'est gentil ça!... Mais alors si je comprends bien avant ça je suppose que rien qu'en regardant passer un train de bits (tiens pas fait exprès mais elle est pas mal celle là :lol: ) le pandore chargé de surveiller nos coms était capable de dire si les infos étaient codées sur 40, 64 ou 2048 bits ??? ... Fortiche çà =D>

Bon passons...On continue... Pour coder et crypter, ben il me faut autant que possible un logiciel!... Ah ah...Mais puisque ce n'est pas moi qui l'ai conçu ce logiciel, comment être certain qu'il fait exactement ce qu'on lui demande et qu'il ne me fait pas des petites cachoteries chargées de rendre le décryptage plus aisé ? Là encore: aucune garanti (et là dessus je crois qu'il vaut mieux se rabattre sur le dicton bien connu du monde Unix: "Ne fait jamais confiance à un logiciel dont tu n'as pas les sources!").

Bon on pourrait continuer comme ça pendant longtemps... Conclusion, j'en viens à me demander si rechercher de nos jours la confidentialité - tant au niveau professionnel que privé - n'est pas illusoire (si on ne contrôle soi même pas toute la chaine de A à Z) et que une fois de plus on nous vend un produit grand public qui est périmé depuis belle lurette et dont le but est plus fait pour nous rassurer qu'autre chose...

mais bon n'étant pas d'un caractère pessimiste je reste persuadé que c'est parce que je ne suis pas encore tombé sur la perle rare.

A+++ et bonne continuation.
zano
Matelot
Matelot
 
Messages: 3
Inscrit le: 28 Déc 2010 21:05

Re: Quel Crédit à apporter aux logiciels de cryptage ?

Messagepar ccnet » 28 Déc 2010 22:22

Vaste sujet. Je n'ai pas le temps d'y répondre ce soir en détail. Les algorithmes de chiffrement sont sûrs. Leurs implémentations le sont parfois moins. Que veut dire sûr ? Qu'il peuvent résister "un certain temps" à une cryptanalyse en force brute. Ce temps dépend de bien des choses. La longueur de la clé certes ... mais tant d'autres ... (Cf la cryptanalyse d'Enigma avant qu'elle ne soit modifiée).
Je vous recommande la lecture de l'ouvrage de Bruce Schneier : Secrets et mensonges. securite numerique dans un monde en réseau.
http://www.amazon.fr/Secrets-mensonges- ... 619&sr=1-3
Il vous fera voir les choses un peu autrement. Bruce Schneier n'étant pas vraiment n'importe qui dans ce domaine.
Si j'ai du temps je reviendrai plus en détail.
ccnet
Amiral
Amiral
 
Messages: 2687
Inscrit le: 27 Mai 2006 12:09
Localisation: Paris

Re: Quel Crédit à apporter aux logiciels de cryptage ?

Messagepar Franck78 » 28 Déc 2010 23:21

Question aussi ancienne que la science elle même:
http://actes.sstic.org/SSTIC03/Cles_et_trappes/

Avoir le source n'est pas suffisant, il faut le comprendre dans son ensemble pour apprécier la portée d'un changement tel que
"Raadt describes the CBC IV bug".

Puis il faut bien sur recompiler en ayant pris soin de vérifier que le compilateur n'intègre pas, lui aussi, quelques améliorations pas prévue au programme initial (intro de backdoor).
Franck
L'art de poser une question sur ce site afin d'obtenir la réponse
A LIRE
Avatar de l’utilisateur
Franck78
Amiral
Amiral
 
Messages: 5625
Inscrit le: 20 Fév 2004 01:00
Localisation: Paris

Re: Quel Crédit à apporter aux logiciels de cryptage ?

Messagepar zano » 29 Déc 2010 01:35

OK merci à tous deux pour vos infos et je ne mets pas en doute que le travail fait dans ce domaine par des personnes de bonne foi ne soit pas du "travail sérieux". Ce qui me mets la puce à l'oreille et me pousse à être sur mes gardes à ce sujet, c'est précisément le fait que ce domaine qui a été pendant très longtemps classé très sensible soit brusquement et presque du jour au lendemain devenu presque sujet secondaire :roll: et comme le disait je ne sais plus qui: la plus belle ruse du Diable n'est elle pas de faire croire qu'il n'existe pas ? :lol:

Pour être plus précis n'est t'il pas logique de penser que si mon 'ennemi' m'abandonne sans raison apparente une arme qu'il considérait hier encore comme arme efficace que justement il me la donne car il a depuis découvert la parade à cette arme ?

C'était juste la question que je me posais. Bien entendu bien que j'ai déjà pas mal d'ouvrage sur la question, je vais me pencher dans la lecture des ouvrages que vous me donnez.

Ci et A+++
zano
Matelot
Matelot
 
Messages: 3
Inscrit le: 28 Déc 2010 21:05

Re: Quel Crédit à apporter aux logiciels de cryptage ?

Messagepar fleib » 29 Déc 2010 06:16

Salut Zano et bienvenu sur le forum,

Bravo, voici un premier post qui a du corps. Je pense que nous nous posons tous un peu la question que tu soulève, je pense qu'il est nécessaire dans les métiers qui sont les notres de douter d'un maximum de choses pour les confronter a des tests et valider que le niveau de sécurité qu'elles apportent nous est suffisant.

Tu parles de cryptographie, ccnet parle d'Enigma, je ne peux donc m'empêcher de citer le Cryptonomicon de Neal Stephenson qui, si tu ne l'as pas lu, devrait te plaire.

A +

F
Il n'est pas de vent favorable pour celui qui ne sait pas où il va
Avatar de l’utilisateur
fleib
Lieutenant de vaisseau
Lieutenant de vaisseau
 
Messages: 205
Inscrit le: 28 Mai 2009 14:50
Localisation: St Paul / La Réunion

Re: Quel Crédit à apporter aux logiciels de cryptage ?

Messagepar zano » 29 Déc 2010 07:47

OK fleib merci aussi pour la référence du bouquin et A+++
zano
Matelot
Matelot
 
Messages: 3
Inscrit le: 28 Déc 2010 21:05

Re: Quel Crédit à apporter aux logiciels de cryptage ?

Messagepar Franck78 » 29 Déc 2010 16:47

L'enigma a quand même fonctionné jusqu'en 1956....!
http://cryptome.org/0003/enigma-end.htm
Franck
L'art de poser une question sur ce site afin d'obtenir la réponse
A LIRE
Avatar de l’utilisateur
Franck78
Amiral
Amiral
 
Messages: 5625
Inscrit le: 20 Fév 2004 01:00
Localisation: Paris

Re: Quel Crédit à apporter aux logiciels de cryptage ?

Messagepar tomtom » 03 Jan 2011 11:47

La question est interessante, mais à mon sens il manque une grande partie :

- Que souhaites-tu protéger ?
- Vis à vis de qui ?
- Avec quel niveau de confiance ?


Seule une réponse claire à ces questions (que en général personne ne se pose) permet de définir ce que l'on doit faire.
Réduire ce problème à la seule crypto est une faute : Que font tous nos ordinateurs, téléphones, cartes, lecteures MP3, des données que nous traitons dessus ?

Rappel : AES n'est pas autorisé pour chiffrer des communications classifiées de défense, ni aux USA ni en France..... La cryptographie est toujours "classée très sensible" comme tu dis et même considérée comme matériel de guerre par de nombreux états. Ce n'est pas parceque l'usage est libre que rien n'est fait ;)

t.
One hundred thousand lemmings can't be wrong...
Avatar de l’utilisateur
tomtom
Amiral
Amiral
 
Messages: 6035
Inscrit le: 26 Avr 2002 00:00
Localisation: Paris


Retour vers Sécurité et réseaux

Qui est en ligne ?

Utilisateur(s) parcourant actuellement ce forum : Aucun utilisateur inscrit et 0 invité(s)