![\"Largeur_13102014.png\"](\"\/wp-content\/uploads\/201408\/Largeur_13102014.png\" "\\"Largeur_13102014.png\\"")
<\/p>\n<\/p>\n
Cryptographie et chiffrement sortent du bois. Le 30 juin 2014, le t\u00e9l\u00e9phone s\u00e9curis\u00e9 Blackphone \u00e9tait disponible en magasin, notamment dans les rayons de l\u2019op\u00e9rateur n\u00e9erlandais KPN. Orient\u00e9 grand public, le smartphone se base sur une version d\u2019Android modifi\u00e9e et s\u00e9curis\u00e9e. Il embarque des applications pour garantir la confidentialit\u00e9 des appels (Silent Phone), des SMS (Silent Text) et du carnet d\u2019adresses (Silent Contacts). Une confiance qui se paie au prix fort: 629 dollars. <\/p>\n
Cette incursion du chiffrement dans les produits \u00e9lectroniques grand public est clairement dans l\u2019air du temps. On le retrouve aussi bien \u00e0 la t\u00e9l\u00e9vision (la machine omnisciente de la s\u00e9rie Person of Interest) que dans les jeux vid\u00e9o (le succ\u00e8s commercial de l\u2019ann\u00e9e Watch Dogs voit un hacker solitaire lutter contre une entreprise capable d\u2019espionner chaque portable et chaque cam\u00e9ra dans un Chicago cauchemardesque). Chevaux de Troie, virus, et backdoors: ce langage longtemps r\u00e9serv\u00e9 aux geeks s\u2019est d\u00e9sormais r\u00e9pandu.
\nL\u2019h\u00e9ritage de l\u2019affaire Snowden.<\/p>\n
La cryptographie se d\u00e9mocratise<\/strong><\/p>\n Profitant du Zeitgeist, des soci\u00e9t\u00e9s proposent une vari\u00e9t\u00e9 de produits pour rendre accessible au grand public le chiffrement des donn\u00e9es, et tenter de garantir la protection de notre vie priv\u00e9e. Lanc\u00e9e en Suisse en 2013, Enigmabox promet \u00e0 ses utilisateurs de les faire \u00abpasser sous le radar\u00bb en rendant leur vie digitale anonyme. Ce bo\u00eetier plug and play s\u2019installe entre le routeur et l\u2019ordinateur. Il fait transiter le trafic internet de l\u2019usager par les serveurs VPN de la soci\u00e9t\u00e9, qui ne dit garder aucune trace des connexions. <\/p>\n Celles-ci sont chiffr\u00e9es au niveau du bo\u00eetier et prot\u00e9g\u00e9es par une cl\u00e9 connue du seul usager. Les pages consult\u00e9es et les donn\u00e9es saisies par l\u2019utilisateur sont prot\u00e9g\u00e9es, tout comme les appels pass\u00e9s en t\u00e9l\u00e9phonie sur internet (VoIP) et les e-mails, du moins \u00e0 condition que le correspondant soit \u00e9galement \u00e9quip\u00e9 d\u2019une Enigmabox. <\/p>\n D\u00e9velopp\u00e9 au CERN et lanc\u00e9 en mai 2014, le service ProtonMail offre un client de messagerie en ligne s\u00e9curis\u00e9. Le service se veut aussi simple que Gmail et fonctionne sur n\u2019importe quel navigateur web. Compatible avec d\u2019autres fournisseurs de messagerie, il permet \u00e0 ses utilisateurs d\u2019envoyer et de recevoir des courriers \u00e9lectroniques chiffr\u00e9s, y compris si leurs contacts n\u2019utilisent pas ProtonMail. Tout comme Lavabit (le syst\u00e8me d\u2019e-mail utilis\u00e9 par Snowden et ferm\u00e9 par son fondateur suite aux pressions du gouvernement am\u00e9ricain qui exigeait d\u2019obtenir les cl\u00e9s de de chiffrement), ProtonMail touche un nerf sensible. Deux mois apr\u00e8s son lancement, le compte Paypal de la startup se voyait bloqu\u00e9: la soci\u00e9t\u00e9 am\u00e9ricaine de paiement s\u2019inqui\u00e9tait de savoir si ProtonMail avait \u00abobtenu l\u2019autorisation du gouvernement pour encrypter les e-mails\u00bb.<\/p>\n Ce n\u2019est d\u2019ailleurs probablement pas une co\u00efncidence si ces trois projets sont bas\u00e9s en Suisse (Blackphone est fabriqu\u00e9 par une soci\u00e9t\u00e9 espagnole mais son si\u00e8ge est \u00e0 Gen\u00e8ve): le pays alpin garde une excellente r\u00e9putation en mati\u00e8re de discr\u00e9tion, de cadre l\u00e9gal favorable et de savoir-faire technique, et s\u2019est d\u00e9j\u00e0 profil\u00e9 sur le march\u00e9 des data centers s\u00e9curis\u00e9s avec notamment des serveurs h\u00e9berg\u00e9s au c\u0153ur m\u00eame d\u2019une montagne, dans un ancien bunker de l\u2019arm\u00e9e.<\/p>\n Des interfaces plus accessibles<\/strong><\/p>\n Tous ces projets veulent rendre le chiffrement facile d\u2019acc\u00e8s, au contraire des solutions historiques ardues \u00e0 utiliser. Le logiciel de chiffrement d\u2019e-mails le plus connu, PGP, reste r\u00e9serv\u00e9 \u00e0 un public averti en raison de son aust\u00e9rit\u00e9, de sa complexit\u00e9 d\u2019utilisation et de l\u2019absence de fonctionnalit\u00e9s courantes telles que la recherche \u00e0 travers ses anciens messages. L\u2019art consiste surtout \u00e0 d\u00e9velopper de nouvelles interfaces plus conviviales qui cachent les aspects techniques.<\/p>\n \u00abIl n\u2019y a aucune raison de priver les gens de la possibilit\u00e9 de prot\u00e9ger leurs appareils, commente Lars Ramkilde, professeur \u00e0 la Danmarks Tekniske Universitet (DTU) \u00e0 Copenhague. Il suffit de rendre les syst\u00e8mes assez performants pour que les utilisateurs ne remarquent pas que leurs donn\u00e9es sont constamment chiffr\u00e9es.\u00bb Le chercheur danois a cr\u00e9\u00e9 Dencrypt, une application pour smartphone qui prot\u00e8ge les conversations men\u00e9es en VoIP. \u00abLe climat a chang\u00e9 et la demande de confidentialit\u00e9 ne cesse de cro\u00eetre. D\u2019une certaine mani\u00e8re, Snowden a cr\u00e9\u00e9 un march\u00e9.\u00bb<\/p>\n Le syst\u00e8me de Dencrypt repose sur un cryptage dynamique: l\u2019application change de protocole de chiffrement \u00e0 chaque nouvelle utilisation, au lieu de toujours utiliser les m\u00eames m\u00e9thodes standards. \u00abL\u2019algorithme le plus utilis\u00e9 et de loin est l\u2019AES am\u00e9ricain, explique Lars Ramkilde. Il date des ann\u00e9es 2000 et les hackers ont eu toutes ces ann\u00e9es pour am\u00e9liorer les performances des logiciels de d\u00e9chiffrement. Si la m\u00e9thode de protection change \u00e0 chaque fois, il devient bien plus difficile de la contourner.\u00bb <\/p>\n Malgr\u00e9 ces nouveaux produits destin\u00e9s au grand public, la premi\u00e8re cible des soci\u00e9t\u00e9s sp\u00e9cialis\u00e9es reste le monde professionnel. \u00abL\u2019un des enseignements de l\u2019affaire Snowden, c\u2019est que les Etats eux-m\u00eames s\u2019adonnent \u00e0 l\u2019espionnage industriel, observe Tanja Lange, sp\u00e9cialiste en cryptographie \u00e0 l\u2019Eindhoven University of Technology (TU\/e) aux Pays-Bas. Les dirigeants d\u2019entreprise r\u00e9alisent qu\u2019investir dans un t\u00e9l\u00e9phone s\u00e9curis\u00e9 prot\u00e8ge leurs strat\u00e9gies et leurs innovations.\u00bb <\/p>\n Un sentiment partag\u00e9 par Fabien Jacquier, fondateur de la soci\u00e9t\u00e9 de s\u00e9curit\u00e9 informatique suisse Kyos: \u00abNous comptons parmi nos clients quelques particuliers fortun\u00e9s, mais notre premier march\u00e9 reste celui des entreprises. D\u00e9velopper des solutions de haut niveau pour le grand public repr\u00e9sente des co\u00fbts de d\u00e9veloppement importants et un effort marketing consid\u00e9rable.\u00bb<\/p>\n Confiance et parano\u00efa<\/strong><\/p>\n Pour l\u2019instant, \u00abla plupart des gens pensent encore que leurs \u00e9changes sont prot\u00e9g\u00e9s alors qu\u2019un mail tient plus de la carte postale que de la lettre cachet\u00e9e\u00bb, opine Tanja Lange, chercheuse de TU\/e. Mais l\u2019affaire Snowden a clairement \u00e9veill\u00e9 certains esprits. Pour le cryptologue Arjen Lenstra de l\u2019Ecole polytechnique f\u00e9d\u00e9rale de Lausanne (EPFL), la parano\u00efa n\u2019est pas d\u00e9nu\u00e9e de vertus: \u00abTaper n\u2019importe quel type de donn\u00e9es sur le clavier d\u2019un appareil \u00e9lectronique revient \u00e0 en perdre instantan\u00e9ment le contr\u00f4le. Amener le grand public \u00e0 en prendre conscience a un c\u00f4t\u00e9 effrayant, mais sain.\u00bb <\/p>\n Et les \u00e9coutes de la NSA ne constituent que la pointe de l\u2019iceberg. \u00abD\u00e9couvert au printemps 2014, le bug HeartBleed a compromis la s\u00e9curit\u00e9 d\u2019un tiers des mots de passe de la plan\u00e8te pendant deux ans, souligne Fabien Jacquier de Kyos. C\u2019est une faille de s\u00e9curit\u00e9 massive.\u00bb <\/p>\n Bas\u00e9s sur les math\u00e9matiques, les protocoles de chiffrement sont en principe quasi inviolables. Mais en pratique, la s\u00e9curit\u00e9 n\u2019est jamais garantie. \u00abCrypter ses donn\u00e9es peut rendre les choses plus compliqu\u00e9es, mais il serait na\u00eff de croire qu\u2019on peut garder longtemps un secret face \u00e0 un hacker r\u00e9ellement motiv\u00e9\u00bb, estime Arjen Lenstra de l\u2019EPFL. \u00abPersonne ne peut garantir une s\u00e9curit\u00e9 absolue\u00bb, ajoute Lars Ramkilde de DTU.<\/p>\n Reste qu\u2019une protection, m\u00eame limit\u00e9e, est importante: \u00abLe but n\u2019est pas de s\u2019acharner \u00e0 construire un syst\u00e8me inviolable, ce qui reste illusoire, souligne Fabien Jacquier. Il s\u2019agit davantage de compliquer suffisamment la t\u00e2che d\u2019un hacker pour qu\u2019il passe \u00e0 une cible plus facile. Exactement comme on d\u00e9courage un voleur en posant une porte blind\u00e9e.\u00bb Quand la NSA fait le jeu des hackers<\/strong><\/p>\n Parmi les r\u00e9v\u00e9lations d\u2019Edward Snowden, la d\u00e9couverte du projet Bullrun a particuli\u00e8rement inqui\u00e9t\u00e9 la communaut\u00e9 des cryptographes, notamment l\u2019affaire \u00abDual EC DRBG\u00bb. En intervenant dans l\u2019\u00e9laboration des standards du National Institute of Standards & Technology (NIST), la NSA a r\u00e9ussi \u00e0 glisser une \u00abbackdoor\u00bb qui affaiblit fortement la s\u00e9curit\u00e9 des protocoles de chiffrement. <\/p>\n \u00abLa m\u00e9thode Dual EC est clairement compromise, explique Tanja Lange, chercheuse \u00e0 TU\/e et membre d\u2019un groupe d\u2019experts qui \u00e9tudie cette faille. Nous avons trouv\u00e9 720 serveurs apparemment s\u00e9curis\u00e9s qui l\u2019utilisent, ainsi que 2,7 millions de serveurs qui la contiennent sous forme d\u2019une des options possibles. Ces chiffres sont conservateurs, car notre recensement s\u2019est fait rapidement.\u00bb<\/p>\n La faille fonctionne ainsi: la plupart des protocoles cryptographiques ont besoin de nombres al\u00e9atoires pour g\u00e9n\u00e9rer des cl\u00e9s de chiffrement. La m\u00e9thode Dual EC, elle, g\u00e9n\u00e8re des nombres qui ne sont pas vraiment al\u00e9atoires, ce qui permet \u00e0 celui qui l\u2019a impl\u00e9ment\u00e9 — ici, la NSA — de pouvoir craquer le code. \u00abNous avons test\u00e9 la difficult\u00e9 de faire une attaque, poursuit Tanja Lange. Elle est extr\u00eamement facile. Il nous a fallu au maximum deux heures — souvent quelques secondes suffisaient. Et les ordinateurs de la NSA sont bien plus puissants que les n\u00f4tres.\u00bb <\/p>\n Et pourtant: deux mois apr\u00e8s la publication des r\u00e9sultats l\u2019\u00e9quipe de TU\/e, un ancien responsable de la NSA, Richard George, assurait en public que la faille \u00e9tait difficile \u00e0 utiliser et que personne n\u2019en avait fait la d\u00e9monstration. Comme quoi la NSA sait bien ne pas \u00e9couter…quand \u00e7a l\u2019arrange. Une version de cet article est parue dans le magazine Technologist (no 2).<\/p>\n","protected":false},"excerpt":{"rendered":" Le cryptage de donn\u00e9es int\u00e9resse un public toujours plus vaste. De nouveaux produits veulent rendre le chiffrement facile d\u2019usage.<\/p>\n","protected":false},"author":20148,"featured_media":0,"comment_status":"closed","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[7],"tags":[],"class_list":["post-4267","post","type-post","status-publish","format-standard","hentry","category-technophile","technophile"],"aioseo_notices":[],"_links":{"self":[{"href":"https:\/\/largeur.com\/index.php?rest_route=\/wp\/v2\/posts\/4267","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/largeur.com\/index.php?rest_route=\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/largeur.com\/index.php?rest_route=\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/largeur.com\/index.php?rest_route=\/wp\/v2\/users\/20148"}],"replies":[{"embeddable":true,"href":"https:\/\/largeur.com\/index.php?rest_route=%2Fwp%2Fv2%2Fcomments&post=4267"}],"version-history":[{"count":0,"href":"https:\/\/largeur.com\/index.php?rest_route=\/wp\/v2\/posts\/4267\/revisions"}],"wp:attachment":[{"href":"https:\/\/largeur.com\/index.php?rest_route=%2Fwp%2Fv2%2Fmedia&parent=4267"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/largeur.com\/index.php?rest_route=%2Fwp%2Fv2%2Fcategories&post=4267"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/largeur.com\/index.php?rest_route=%2Fwp%2Fv2%2Ftags&post=4267"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}
\n_______<\/p>\n
\n_______<\/p>\n