Cryptographie : on va tous mourir ! (encore)

La cryptographie, c’est la pierre angulaire de tout ce qui est plus ou moins sécurisé sur l’Internet numérique digital 2.0. C’est une science qui n’intéressait pourtant, jusqu’à récemment, qu’une poignée d’initiés à la pilosité faciale
Abonnez-vous ou connectez-vous pour lire le reste de cet article
Twitter Facebook Google Plus email

17 thoughts on “Cryptographie : on va tous mourir ! (encore)”

  1. Je constate que le grand n’importe quoi est partout et je pense que le déficit d’instruction est tel que la plupart des gens ont à peine besoin de lire ces articles pour nager dans l’incompétence technique et technologique. Dans tous les domaines que je suis amené à aborder au ici et là dans ma vie IRL qu’il s’agisse d’informatique, de sécurité informatique, de physique, de neurosciences, de psycho, de droit, etc., je constate une ignorance crasse et massivement partagée. Même chez des gens qui sont soit disant des professionnels de l’informatique, je constate une incompétence parfois presque dangereuse. Personnellement, je pense que l’école a sa part de responsabilité. Elle empêche la transmission des savoirs populaires, elle formate des esprits étriqués, elle pose des obstacles à l’instruction supérieure infranchissables pour certaines personnes souvent juste pour le principe et pour faire chier le monde, elle pousse à la spécialisation excessive, elle désavantage les élèves issus des classes laborieuses, etc.(Après je ne doute pas que la grande majorité des profs et des instits font tout ce qu’ils peuvent mais le constat est là) La culture et l’instruction coûtent tellement cher qu’une fois sortis du réseau de l’Éducation Nationale, la grande majorité des gens sont contraints à l’ignorance, sans compter que devant vendre leur force de travail pour vivre ou survivre, ils n’ont pas le temps de s’instruire.

    Bon mais le véritable danger ne vient pas de la cryptographie mais de Bluetouff qui va détruire le monde avec son VPN au Panama. ;) Ah ah ah !

      1. Je ne suis pas d’accord Jef, le problème n’est pas une question d’attitude, mais une question d’information ET SURTOUT de fric.
        L’argent est le nerf de la guerre en informatique, et si tu veux faire les choses « comme il faut, dans les règles » ça prend beaucoup de temps, le temps c’est de l’argent et c’est du temps qui coûte très cher. Le client n’en veut pas, il veut payer le moins possible et veut JUSTE ce qu’il demande: il veut « un truc qui marche », même si c’est boiteux et même si c’est mal configuré. Le client paye et il ne veut pas savoir, encore moins les tenants, les aboutissants, ou les pré-requis, il s’en branle complètement.

        Par ailleurs,tu as BEAUCOUP d’information sur internet, génial, tu te dis que toute la connaissance du monde est à portée de main, c’est pas faux.
        Mais est-ce que l’information est de qualité? Non parce que:
        * dans certains cas, « le savoir c’est le pouvoir » ou du « secret professionnel », l’information n’est pas diffusée
        * dans beaucoup de cas, les forum colportent tout et n’importe quoi, tu veux te renseigner sur point technique (ou dépanner un problème) tu vas lire tout et son contraire; et je te garantis que tu vas passer BEAUCOUP de temps à faire du tri; rajoute par dessus les moteurs de recherche qui affichent des résultats bidons sur les premières pages, et tu constateras que chercher une information est presque devenue un métier
        * les documentations constructeur / éditeurs sont soit trop simplifiées (ah ben oui mon bon monsieur, faut payer pour le support), soit tellement éclatées que là aussi le temps de récolte et de tri de l’information explose (MSDN + techNet + Forum support pour Microsoft, merci les mecs -_-)
        * et 4° cas: RTFM (merci les linuxiens -_-)

        Jef, ton article est le parfait contre exemple de ce que je viens de raconter:
        * l’information est ciblée, précise et le périmètre bien délimité.
        Mais….

        Mais il n’y a rien pour regrouper, formaliser et normaliser les bonnes pratiques, les cours sont « à la sauce » de l’enseignant, il y a la réalité du terrain (faut parfois aller contre les bonnes pratiques pour que ça marche)…
        Au final ? Ton article, quand bien même il est pertinent, va finir par se perdre, noyé sous la masse d’informations et ça reviendra réellement à chercher une aiguille dans une montagne de foin.

        C’est ainsi et c’est déplorable.

  2. rhoo put… je teste l’outil en question sur mes 2 serveurs, et là, du vert, du rouge, du gris et de l’orange, le florilège de couleurs, mais un petit 85% sur mon https
    Put… j’ai un mur de briques de connaissance en sécu info à me fader, mais bon, c’est le prix pour avoir mon serveur mail à moi sur mon serveur à moi sur les machines de mon FAI associatif.
    Youpi pour ce genre d’article pertinent qui a le mérite d’appuyer ou cela fait mal

      1. Merci beaucoup des outils mis à disposition,et de l’article très pertinent.
        Sinon, un guide pour se débarrasser des briques grises, jaunes, orange ou rouges ne serait pas de trop.

  3. Effectivement les clés DHE de 2048 bits ou ECDHE offrent une parade au problème. Ce que malheureusement aucun article n’a indiqué jusqu’à présent est que parmi les serveurs concernés figurent des sites non négligeables comme par exemple le service des impôts français : cfspart.impots.gouv.fr et cfspro.impots.gouv.fr. C’est à ce demander à quoi sert l’ANSSI dans ce pays car la configuration du second serveur est vraiment en-dessous de tout : https://www.ssllabs.com/ssltest/analyze.html?d=cfspro.impots.gouv.fr

    1. Je vois plusieurs hypothèse 1/ incompétence crasse des reponsables SI (le certificat signé par GeoTrust se pose là) 2/ Inertie liée à la taille de la structure. 3/ C’est pour les 3 Michus qui sont encore sous Win 98 / IE5 et qui veulent déclarer leurs impôts en ligne. Pour tout autre site, je passerai ces Michus dans la colonne « Pertes & Profits », mais pour pas sûr que les Impôts puissent se le permettre.

      Sans parler de tous les serveurs SMTP configurés avec les pieds dès que ça touche à TLS. (d’ailleurs pas sûr que ça chiffre le SMTP sortant des Impôts)

      1. En fait si l’on regarde plus en détail le rapport de SSL Labs celui indique les suites cryptographiques réellement employées en fonction du navigateur et là on se rend compte que Chrome, Firefox, Safari récent, le navigateur par défaut d’Android (avant que celui-ce ne devienne Chrome) ont tous procédé à un échange de clé DHE de 1024 bits reposant sur un nombre premier commun (le cas dont parlait le présent article). Cela signifie que si la NSA a eu accès à ces communications (et c’est un gros si, l’adresse IP du serveur en question le positionne en région parisienne) il est vraisemblable qu’elle puisse en consulter le contenu.
        Il est parfaitement possible de configurer un serveur HTTPS pour qu’il communique de manière très sécurisée avec les navigateurs modernes tout en conservant une rétrocompatibilité importante avec les vieilles configurations, ce n’est pas du tout ce qui a été fait ici (les types qui ont configuré ce serveur sont soit d’une incompétence crasse -j’avais pourtant cru comprendre que l’ANSSI distillait de très bons conseils auprès des OIV et ministères- soit ils sont à la retraite depuis des années et personne ne les a remplacé, seul le certificat est correct et encore à minima).
        SSLv3 était déjà intégré dans Internet Explorer 4 et Netscape 4 en 1997, pourquoi diable avoir SSLv2 ou RC2 ? Pourquoi ne pas proposer TLS 1.2 avec un échange de clé reposant sur de l’ECDHE et un chiffrement AES-GCM pour les navigateurs modernes ?

        1. En l’occurrence c’est, comme d’habitude, IE6/8 sous XP qui nous casse les pieds. Malheureusement, pour la version « pro » des impôts, ça n’est pas totalement déconnant, même en 2015 :(.

          Rien de mieux que 3DES, SHA et TLS 1.0, de mémoire, pour ces configs. Cela étant dit, rien n’empêche d’avoir des params DH originaux, même avec cette configuration cible, et de prioriser correctement les cipher suites, comme tu le soulignes.

          1. Je n’ose imaginer la paperasse pour changer ne serait-ce qu’une seule ligne dans la conf des serveurs web.

  4. La question fondamentale en matière de crypto civile est :
    Qui est l’attaquant potentiel ? un concurrent, un cybercriminel, un état ? Et s’il s’agit d’un état pour une comm sécurisée opérée en France est-ce la France, les US ou un autre état ?
    Si la réponse est : ETAT + US, oubliez tout ce qu’il y a d’écrit dans ce bel article, la crypto asymétrique ne vous servira strictement à rien puisque l’interception aura lieu via des 0-day exploits dans les systèmes, assorties s’il le faut, d’un petit MITM avec certificat auto-signé par une CA publique.
    Si la réponse est : ETAT + France est que la cible rentre dans le périmètre de la loi relative au renseignement, ça sera globalement la même chose. La seule différence, c’est les US peuvent pratiquer les opérations worldwide et pas la France…
    Sur un point de vue scientifique, qui connait (en France) les possibilités effectives en matière de cryptanalyse RSA et DH de la NSA via leurs serveurs quantiques ? Réponse : Personne !

    “Know yourself, know the enemy. A thousand battles, a thousand victories”
    Sun Tzu – L’art de la guerre – VIe siècle av. J.-C

Laisser un commentaire

Votre adresse de messagerie ne sera pas publiée. Les champs obligatoires sont indiqués avec *