mardi 18 octobre 2016

Quand la confidentialité des échanges sert aussi les terroristes…

Par Frédéric Lefebvre
Ingénieur Avant-vente
Aujourd’hui, de nombreux médias cherchent à savoir comment communiquent les terroristes, et quels sont les moyens qu’ils mettent en œuvre pour faire transiter des informations sans éveiller les soupçons des autorités. Parmi les moyens privilégiés, il existe des applications de messagerie instantanées (comme Telegram) qui permettent de chiffrer les échanges entre 2 terminaux (smartphones, tablettes) et ainsi de communiquer discrètement sans possibilité de voir en clair les messages échangés.

Il s’agit là d’une notion clé en sécurité informatique : le chiffrement des données ou comment éviter qu’un message intercepté par une tierce personne puisse être lu.

Qu’est-ce que le chiffrement ?


Avant toute chose c’est la cryptographie qui est mise en œuvre pour sécuriser les échanges entre un ou plusieurs utilisateurs qui détiennent un secret (appelé clé de chiffrement). Cela garantit la confidentialité des données échangées : en cas d’interception du message par un tiers, il est illisible sans détention de la clé de chiffrement. Cet usage a rapidement été utilisé dans le domaine militaire et le grand public se l’approprie aujourd'hui, des hommes politiques jusqu’aux cellules terroristes.


Comment ça marche ?


Le chiffrement des messages repose sur un algorithme, plus ou moins robuste, et qui dépend notamment de la clé utilisée.

Il existe 2 types de chiffrements principaux :
  • symétrique : la même clé est utilisée pour chiffrer et déchiffrer. : Exemples,  : les algorithmes AES, 3DES… Ce type de chiffrement impose que l’émetteur et le récepteur soient en possession de la même clé.
  • asymétrique : une clé publique et une clé privée sont utilisées pour chiffrer et déchiffrer les messages. L’émetteur du message chiffre avec la clé publique du récepteur, tandis que le récepteur déchiffre avec sa clé privée. De même, si le récepteur renvoie un message à l’émetteur d’origine, chiffré avec sa clé publique, seul celui qui détient la clé privée pourra déchiffrer le message. L’algorithme RSA et les courbes elliptiques sont actuellement les plus connus et les plus utilisés dans ce type de chiffrement.

Par ailleurs, c’est la taille des clés qui conditionne la robustesse du mécanisme de chiffrement. Plus elle est grande, plus elle est réputée comme étant sûre. Aujourd’hui, il est préconisé de générer des clés de taille 2048 bits en RSA.

En plus du chiffrement, il est également possible de « saler » les messages, c’est-à-dire d’ajouter des éléments avant le chiffrement d’un message pour ne pas le faire transiter directement sans autre protection. Par exemple, en incluant une donnée externe, comme un décalage des lettres ou un code spécifique, on améliore la résistance du chiffrement et on perturbe d’autant plus une éventuelle interception du message en rendant son déchiffrement plus complexe.


A quoi ça sert ? Des usages variés légitimes ou non…


La tendance est à la surveillance des réseaux, qu’on le veuille ou non, qu’elle soit organisée par les états eux-mêmes ou par des ‘pirates’ du web. Le seul moyen de garantir la confidentialité de ses échanges est donc de chiffrer les messages, et de faire en sorte que seul l’utilisateur auquel est destiné le message puisse le lire.

Le rapport au terrorisme est évident : l’utilisation du chiffrement dans les applications de messagerie empêche l’interception et la visualisation des messages échangés. C’est ainsi que l’application Russe ‘Telegram’ a été utilisée par de nombreux terroristes pour communiquer en toute discrétion… Elle utilise des mécanismes de chiffrement robustes et des fonctionnalités de suppression automatique des messages après affichage sur l’écran, au bout d’un certain délai ou après une inactivité du compte.

Initialement, le chiffrement était plutôt prévu pour protéger le secret des affaires, les secrets industriels, ou ceux du domaine militaire.

Plus récemment, ce sont les hommes politiques qui se sont mis à utiliser ce système pour protéger leur vie privée et garder leurs correspondances secrètes… En effet, il n’est pas rare que la presse arrive à récupérer des échanges ou des informations qui n’auraient jamais dû être divulgués.

La polémique qui plonge Hilary Clinton au centre des attentions de la justice américaine en est une illustration. Suite à l’utilisation d’une messagerie personnelle (messages non chiffrés) à la place de sa messagerie professionnelle (messages chiffrés), certains messages de Mme Clinton auraient pu être interceptés sans difficulté. De même, son serveur de mail personnel ne semblait pas suffisamment protégé pour résister à une attaque. Des informations sensibles auraient même pu être échangées sans protection, ce qui aurait mis la vie de militaires en danger...

De nombreux usages justifient ainsi l’utilisation de cette technologie. L’application de messagerie évoquée ici simplifie les correspondances tout en protégeant la vie privée. A supposer que cette application soit interdite, d’autres mécanismes d’échanges chiffrés seraient toujours possibles.


Le grand public également concerné


De nombreuses applications déploient aujourd’hui des mécanismes de cryptographie pour garantir la sécurité des informations envoyées entre les utilisateurs.

Par exemple, l’application de messagerie WhatsApp chiffre les données échangées par ses utilisateurs, avant même qu’elles ne sortent de leur mobile. Ce service a été déployé sur toutes les plateformes disposant de l’application, et est généralisé depuis le printemps 2016. Les données qui transitent sont ainsi protégées des hackers et de toute interception des messages sur internet. On peut aisément comprendre que les utilisateurs n’ont pas envie de voir des photos ou autres données personnelles tomber entre de mauvaises mains à des fins d’usurpation d’identité, de chantage, etc.

Apple s’est également trouvé sous le feu des projecteurs en ce début d’année 2016, pour avoir refusé de fournir au FBI une méthode de déverrouillage d’un iPhone permettant de déchiffrer les données présentes sur le mobile. Le détenteur de ce smartphone était l’un des auteurs présumé de l’attentat de San Bernardino. Apple n’a pas cédé et n’a pas souhaité créer un logiciel permettant au FBI d’accéder à l’iPhone.

Créer un tel logiciel aurait ouvert une faille de sécurité énorme. D’autant qu’aucune garantie ne peut être apportée quant à son utilisation : si elle venait à tomber entre des mains malveillantes les conséquences pourraient être ingérables. De nombreux acteurs de la Silicon Valley (comme Google, Facebook…) ont ainsi apporté leur soutien à Apple dans cette affaire.



Interdire ou limiter l’usage de la cryptographie ?


Pour autant, est-il possible d’interdire la cryptographie ? Il n’est probablement pas envisageable d’interdire ou limiter ces mécanismes, qui sont à la base de la sécurité en informatique. Comme vu précédemment, l’usage et l’encadrement du chiffrement donnent régulièrement lieu à des débats.

Une chose est sûre : quelle que soit l’issue des discussions, il a toujours existé des moyens de communiquer de manière « secrète ». Le chiffrement est donc avant tout un moyen de préserver le secret des échanges, et de sécuriser des communications qui circulent librement sur Internet, et ce, sans aucune maîtrise.

Chacun peut avoir sa perception sur le sujet d’une surveillance permanente des e-mails et des messageries instantanées. Il n’en reste pas moins que, pour se prémunir de toute interception de ses messages et limiter les risques de fuite de données, il est nécessaire de les chiffrer et de s’authentifier.



De nouveaux usages à venir…


L’utilisation du chiffrement n’est pas prête de diminuer, bien au contraire. A l’heure où les objets connectés sont de plus en plus présents, la question de leur sécurisation est plus actuelle que jamais. Domotique, véhicules connectés, etc… il faut trouver les mécanismes permettant de garantir l’accès uniquement aux personnes autorisées et l’exécution des bonnes commandes.

Quelques exemples :
  • De nombreux piratages de panneaux indicateurs de places de parking communiquant en Wifi sans protection ont déjà été effectués dans toutes les villes de France.
  • Des centrales permettant de contrôler des alarmes ou volets non suffisamment protégés permettent à n’importe qui de prendre le contrôle d’un système et de le désactiver.
Face à ces dangers, la cryptographie apporte des réponses claires et éprouvées.


Aucun commentaire:

Enregistrer un commentaire