Le chiffrement : importance et menaces

Avec l’évolution de la technologie, il n‘est plus difficile en tant que tel à un individu d’accéder, de manière frauduleuse ou non à nos informations personnelles contenues sur des supports informatiques ou sur Internet. Les menaces contre nos données privées augmentent de jour en jour. Il est donc devenu indispensable de protéger nos données grâce à des mécanismes comme le chiffrement afin que celles-ci restent confidentielles et inaccessibles à des tiers.

Définition

Le chiffrement est un procédé qui consiste à transformer une donnée qui peut être lue par un tiers en une donnée illisible afin que seule la personne disposant des moyens de la restituer à son état d’origine puisse la consulter en vue d’assurer le secret de sa transmission.

Ce système est fréquemment utilisé pour protéger à la fois les données stockées sur des systèmes informatiques (données au repos) et les données transmises par les réseaux informatiques, notamment  par Internet (données en transit).

Le chiffrement de bout en bout (en anglais, End-to-end encryption ou E2EE) désigne toute forme de chiffrement par laquelle seuls l’expéditeur et le destinataire prévus peuvent lire le contenu du message ou  du fichier (vidéo, photo, conversation en ligne, etc.) échangé:

  • aucun tiers, pas même le fournisseur d’accès et du service de communication, n’a connaissance de la clé de chiffrement;
  • le chiffrement de bout en bout vous garantit une sécurité maximale. Il est conçu pour résister à toute tentative de surveillance ou de falsification.

Le chiffrement de transport (chiffrement de la couche transport) est le moyen par lequel les communications entre les sites Internet que vous consultez (google, amazone, service de banque en ligne….) et votre navigateur sont chiffrées. Néanmoins, lorsque ces données arrivent à destination et sont remises à l’exploitant du site Internet, elles sont déchiffrées et stockées dans un format non chiffré.

 

Importance du chiffrement

Le chiffrement permet d’éviter le vol d’informations, de protéger la vie privée des personnes et de permettre des échanges sûrs. Il empêche l’altération des données  (documents, fichiers etc.). En cela, les entreprises du numérique ne peuvent pas être bridées dans la protection des données de leurs clients.

Il est crucial pour le fonctionnement de nombreux éléments de notre société tels que :

  • la navigation sur Internet : les navigateurs et les sites Internet utilisent HTTPS (HyperText Transfer Protocol Secure), un protocole chiffré, pour offrir des communications sécurisées, ce qui empêche que des criminels puissent lire nos données en transit sur le réseau;
  •  l’e-commerce : nous faisons confiance à des entreprises pour protéger nos informations lorsque nous faisons des achats ou consultons nos comptes bancaires sur Internet. Le chiffrement est également une méthode importante pour ce processus;
  • la messagerie sécurisée : lorsque nous utilisons une application de messagerie, nous partons du principe que ces messages resteront confidentiels.

Certaines applications  de messagerie utilisent le chiffrement pour assurer la confidentialité et la sécurité des communications des utilisateurs lors du transit. D’autres utilisent même le chiffrement de bout en bout, afin que seuls  l’expéditeur et le destinataire puissent lire les messages.

 

Les services offerts par le chiffrement

Comme services offerts par le chiffrement, nous pouvons citer entre autres :

  • la confidentialité : propriété qui assure que le secret de l’information ne peut être connu ou révélé qu’aux entités légitimes ;
  • l’authentification : propriété qui assure de l’origine des données et la garantie que l’entité à qui on s’adresse est bien celle qui prétend l’être ;
  • l’intégrité : propriété qui assure que les données ne puissent être modifiées ni supprimées sans qu’on ne s’en rende compte ;
  • la non-répudiation : propriété qui assure que les entités qui ont réellement effectuées un acte de chiffrement ne peuvent le nier.

Ces différents services assurent que les informations transmises via les ressources matérielles ou logicielles sont sécurisées et uniquement utilisées dans le cadre prévu.

 

Types de chiffrement

Chiffrement à clé secrète (encore appelé cryptage symétrique)

Ce type de  chiffrement repose sur un principe de clé unique pour chiffrer et déchiffrer le message. Par analogie, c’est le principe d’une serrure de porte : tous les utilisateurs autorisés ont une clé identique.

Avantage : il est plus rapide que le chiffrement asymétrique car l’algorithme utilisé est généralement moins complexe.

Inconvénient: la transmission préalable de la clé au correspondant est nécessaire, autant de clés à transmettre que de correspondants. La sécurité dépend de la taille de la clé.

Figure 1: Mécanisme de chiffrement symétrique. Source: https://www.it-connect.fr/les-cles-symetriques/

 

Chiffrement à clef publique – appelé cryptage asymétrique

Le cryptage asymétrique utilise une paire de clés asymétriques associées: une clé privée secrète et  une clé publique connue de tous.

Le fonctionnement du chiffrement à clé publique s’apparente à une caisse qui va contenir un message.Vous voulez m’envoyer un message ? Alors je vais vous envoyer un cadenas déverrouillé (ouvert) tout en gardant la clé avec moi. Placez votre message dans une boîte, et enfermez-la avec ce cadenas (clé publique). Vous pourrez être sûr que moi seul ouvrirai la boîte avec mon unique clé (clé privée), à condition que ce soit bien moi qui aie envoyé ce cadenas.

 

Figure 2: Mécanisme du chiffrement asymétrique Source: http://www.bibmath.net/crypto/index.php?action=affiche&quoi=moderne/clepub

 

Menaces contre le chiffrement 

Les menaces contre nos données privées sont réelles, et elles augmentent tous les jours. Certaines personnes pensent à tort que le chiffrement, ainsi que la sécurité et la confidentialité qu’il offre à nos données, n’ont pas d’importance pour qui n’a rien à cacher. Des millions de personnes à travers le monde se font dérober leurs données personnelles à cause du vol ou de la perte de leurs smartphones et ordinateurs, et à cause d’importantes violations de données d’entreprises ou d’agences gouvernementales. Ces vols de données sont une menace à la fois pour la sécurité et pour la vie privée.

Une fois que ces données tombent entre de mauvaises mains, elles peuvent servir à :

  • nuire à votre réputation en exposant  à la vue de tous, des éléments de votre vie privée;
  • vous nuire financièrement (ex : usurpation d’identité).

Généralement, les menaces sont d’ordre :

  • législative : des lois  exigent qu’une porte dérobée permette l’accès aux forces de l’ordre, ce qui pourrait constituer un risque si cette porte dérobée était compromise;
  • juridique: tentatives d’application des lois existantes pour créer des mandats d’accès par des portes dérobées pour les forces de l’ordre;
  • tangentielle : une menace qui ne cible pas le chiffrement, mais représente malgré tout un risque pour le chiffrement.  Par exemple, afin d’enquêter sur des données douteuses, le gouvernement, dans le but d’appréhender les criminels  peut obliger les services de communication à filtrer des données qui transitent  en rendant impossible le chiffrement de bout en bout (Inde, Brésil, 2019).

Une porte dérobée (backdoor en anglais) est une fonctionnalité inconnue de l’utilisateur légitime, qui donne à une tierce personne qui l’exploite, un accès secret aux données de l’utilisateur.

Elle peut, en premier lieu, remettre en cause la confiance des utilisateurs et  introduirait une faille « volontaire » dans le produit qui pourrait être exploitée par des personnes malveillantes.

 

Quelques exemples de portes dérobées

1. Piratage gouvernemental 

On assiste à une augmentation des menaces et des violations de notre droit à la vie privée de la part des gouvernements, par le biais d’une surveillance non justifiée. Pendant des années, des programmes ont opéré dans l’ombre et continuent à espionner les communications Internet et téléphoniques de centaines de millions de personnes dans le monde entier.

D’un point de vue technique, le piratage d’une ressource d’information, sans l’accord des utilisateurs ou des propriétaires est toujours une attaque, quel que soit le motif.

Si le chiffrement ou un autre mécanisme de sécurité est affaibli pour permettre l’accès aux enquêteurs (forces de l’ordre, agents de renseignement…), cela facilite également l’accès aux individus mal intentionnés (en particulier pour le crime organisé, les entreprises qui commettent des actes d’espionnage industriel et les Etats). Tout ceci nuit également à l’intérêt légitime des citoyens et des entreprises en facilitant l’usurpation d’identité et l’accès à des informations sensibles relatives aux actifs, notamment financiers et  liés à la propriété intellectuelle.

2. Le Ghost Proposal

Encore appelé protocole fantôme, le Ghost Proposal désigne une personne qui écoute  une conversation chiffrée sans être détectée ; on parle  également « d’auditeur silencieux ».

Pour certains gouvernements, cette technique permet d’atteindre les objectifs de maintien de l’ordre et de sécurité nationale sans affaiblir le mécanisme de chiffrement ni affecter la relation de confiance entre les utilisateurs et les fournisseurs de service.

Les protocoles fantômes n’ajoutent pas des auditeurs silencieux de manière passive : ils masquent activement l’intrusion d’un tiers dans des services prétendument sécurisés et confidentiels.

3. Client SideScanning

L’analyse coté client (parfois également appelée « filtrage au point de terminaison » ou « traitement local ») est l’un des moyens par lesquels les forces de l’ordre ou les services de renseignement des États pourraient chercher à accéder aux données sensibles avant que celles-ci ne soient chiffrées et transmises.

Des « empreintes » numériques fonctionnellement uniques (nommées « hachages ») sont créées pour les données de l’utilisateur. Ces empreintes sont alors comparées avec les empreintes de données répréhensibles connues,  comme des logiciels malveillants (malwares), des images, des vidéos ou des graphiques.

En cas de correspondance, le logiciel peut empêcher ce fichier d’être envoyé et signaler cette tentative à un tiers, souvent à l’insu de l’utilisateur.

Elle crée des vulnérabilités que des criminels peuvent exploiter à savoir :

  • des personnes mal intentionnées ayant la possibilité d’ajouter des empreintes numériques dans la base de données et de recevoir des notifications en cas de correspondance avec des empreintes auraient la possibilité de surveiller les données d’un utilisateur spécifique avant qu’elles ne soient chiffrées et envoyées. Ces empreintes pourraient inclure des mots de passes fréquemment utilisés ou d’autres informations permettant ainsi des attaques telles que le piratage psychologique, l’extorsion ou le chantage;

 

  • en utilisant les fonctionnalités de blocage d’un système, des criminels pourraient également décider d’empêcher des utilisateurs d’envoyer des données spécifiques. Cela engendre un nouvel ensemble de problèmes relatifs à la sécurité et à la confidentialité des utilisateurs, avec le risque d’exposer leurs informations.

 

Quelques exemples d’espionnage 

  • De nombreux modèles de caméras connectées contiennent une porte dérobée . Elles ont des comptes utilisateurs avec des mots de passe codés en dur, non modifiables, et qui ne peuvent pas non plus être supprimés. Puisque ces comptes avec mots de passe codés en dur sont impossibles à supprimer, il ne s’agit pas seulement d’insécurité ; il s’agit d’une porte dérobée qui peut être utilisée par le fabricant (et le gouvernement) pour espionner les utilisateurs.
  • WhatsApp possède une fonctionnalité qui a été décrite comme une « porte dérobée » car elle permet aux gouvernements d’annuler son chiffrement. Les développeurs disent que ce n’était pas prévu pour être une porte dérobée et ils peuvent très bien avoir raison. Mais il reste une question cruciale : est-ce que cette porte dérobée est vraiment opérationnelle ?

 

Quelques outils de chiffrement 

 

  • L’application Retro-share 

 

Retroshare est un logiciel libre de pair à pair privé créant un réseau informatique (plus exactement un réseau overlay) acentré (qui n’a pas de centre c’est à dire qu’on peut détruire un chemin du réseau sans compromettre celui-ci.). Il permet (de façon chiffrée) : partage de fichiers en pair à paircourrier électronique sans serveurmessagerie instantanéesalons de discussionforums.

Il est doté d’une interface graphique réalisée avec Qt5, disponible sur WindowsmacOS et GNU/Linux. La gestion et l’authentification des amis s’effectue par l’intermédiaire du système de clés de chiffrement au format GNU Privacy Guard.

 

 

GNU Privacy Guard (GnuPG) est une implémentation open source du célèbre Pretty Good Privacy (PGP). GnuPG est un outil de chiffrement de volume et de fichiers grâce à une douzaine de systèmes de cryptage différents. Grâce au chiffrement et aux serveurs de clés publiques, GnuPG est un formidable outil de communication chiffré. Mais GnuPG est un vieil outil en ligne de commande. Heureusement, des interfaces graphiques ont été développées.

 

 

Disk Utility (Utilitaire de disque) est un outil, qui gère diverses tâches pour les disques sous Mac OS X. L’utilitaire est capable de créer des images disque sécurisées et des volumes de fichiers chiffrés avec l’aide d’un algorithme AES 128-bit ou 256-bit. Comme la plupart des utilitaires et applications natives sous Mac, Disk Utility  permet la création et le montage/démontage des volumes chiffrés de façon transparente pour l’utilisateur.

 

  • AxCrypt 

 

AxCrypt est un outil de chiffrement pour Windows. Une fois installé, il s’intègre agréablement à Windows et offre en un simple clic droit le cryptage et le décryptage de fichiers grâce à l’AES-256. AxCrypt offre un chiffrement et déchiffrement aisé de vos fichiers. Vous pouvez également l’utiliser pour créer des archives auto-extractibles pour transmettre des fichiers protégés à un ami sans que ce dernier ait AxCrypt.

 

Par Romaric Ague et Oswalde Siméone Zinsou, membres du Chapitre Bénin d’Internet Society.

 

Références

  • Document de Formation du programme de bourses du 06 Mai 2020  des chapitres Internet Society sur  le Chiffrement (ISOC_ChapterTraining_Encryption) 
  • Titre: Le chiffrement: Ce que c’est, quelles menaces pèsent sur lui, pourquoi cela compte pour nous, que fait l’ISOC… Formateurs: Alejandra Prieto , Robin Wilton.

  • L’état du chiffrement en Afrique  Présenté par Marcus K. G. Adomey le 06 Mai 2020
  • Formation sur le chiffrement: Perspectives régionales  Présenté par Blaise Arbouet le 06 Mai 2020
  • Le Chiffrement pour tous: Savoir s’engager avec votre chapitre Présenté par Alejandra Prieto le 06 Mai 2020
Histoire de l'internet