Quels incidents peut-on rencontrer sur un syst\u00e8me d’information reposant sur une cryptographie moderne ?
\nEt comment peut-on y r\u00e9pondre ?<\/p>\n
La cryptographie est un formidable outil math\u00e9matique. Ses propri\u00e9t\u00e9s sont sans \u00e9quivalents dans le monde r\u00e9el et palpable du commun des mortels. A cause de cela, l’outil et ses usages restent abstraits et m\u00e9connus pour beaucoup de gens. Mais, loin d’\u00eatre anecdotique, la cryptographie est pr\u00e9sente partout autour de nous, dans tout ce qui est num\u00e9rique. Et il ne suffit pas d’un bon discours commercial \u00e0 grand renfort de sigles abstraits suivis de quelques chiffres pour que l’ensemble remplisse son r\u00f4le : s\u00e9curiser nos donn\u00e9es.
\nOn se connecte \u00e0 un ordinateur, le mot de passe est transform\u00e9 en hash. On se connecte au site web de la banque, la connexion est s\u00e9curis\u00e9e. On envoie des emails chiffr\u00e9s et sign\u00e9s. Notre ordinateur v\u00e9rifie la signature des mises \u00e0 jours qu’il doit appliquer, idem pour notre box internet. Notre t\u00e9l\u00e9phone cellulaire chiffre la conversation avec le r\u00e9seau op\u00e9rateur, mais pas avec notre correspondant. La puce de notre carte bancaire valide une transaction chez notre marchant de l\u00e9gumes. Notre r\u00e9seau wifi est prot\u00e9g\u00e9 par mot de passe. etc…<\/p>\n
Mais au fait, n’y a-t-il vraiment que les donn\u00e9es \u00e0 s\u00e9curiser ?
\nL’utilisateur est au centre de ces donn\u00e9es, celles-ci n’ont d’utilit\u00e9 que pour l’utilisateur l\u00e9gitime et pour celui qui pourrait trouver un b\u00e9n\u00e9fice \u00e0 les exploiter \u00e0 la place de l’utilisateur l\u00e9gitime.<\/p>\n
<\/p>\n
Les buts sont multiples, les acteurs aussi. Les attaques informatiques ont plusieurs facettes et plusieurs objectifs possibles. On retrouve les criminels, les activistes, les terroristes, les groupes politiques, les gouvernements, les entreprises, son voisin, son ex, etc… On en veut \u00e0 notre argent, notre r\u00e9putation, nos documents confidentiels, les ressources de nos machines, et bien plus encore.<\/p>\n
Les atteintes aux donn\u00e9es sont class\u00e9es dans trois grandes cat\u00e9gories :
\n– la confidentialit\u00e9 ;
\n– l’int\u00e9grit\u00e9 ;
\n– la disponibilit\u00e9.<\/p>\n
Les atteintes aux personnes sont moins connues et donc moins bien trait\u00e9es. Certaines cat\u00e9gories de personnes sont de par leurs m\u00e9tiers d\u00e9j\u00e0 sensibilis\u00e9es \u00e0 ces probl\u00e8mes. Ce sont les personnes publiques comme les hommes politiques, les dignitaires religieux, les dirigeants de grandes soci\u00e9t\u00e9s, mais aussi les journalistes. Ces derniers jouent \u00ab\u00a0dans le camps d’en face\u00a0\u00bb, et ils sont l\u00e0 aussi pour \u00e7a. Les probl\u00e8mes qui d\u00e9coulent de ces atteintes \u00e0 la personne sont plut\u00f4t d’ordre social pour une personne ou d’ordre \u00e9conomique pour une soci\u00e9t\u00e9. L’informatique n’est qu’un support parmi d’autres comme vecteur d’attaque.
\nEn plus des atteintes aux donn\u00e9es qui se transforment en atteintes \u00e0 la personne, il faut ajouter toutes les atteintes hors du p\u00e9rim\u00e8tre du syst\u00e8me d’information ma\u00eetris\u00e9. On peut citer par exemple l’usurpation d’identit\u00e9, le d\u00e9nigrement, la diffamation, l’incitation \u00e0 la discrimination, \u00e0 la haine ou \u00e0 la violence, atteinte au respect de la vie priv\u00e9e, au respect de la personne humaine et de sa dignit\u00e9, de l’\u00e9galit\u00e9 entre hommes et femmes et de la protection des enfants et des adolescents, etc…<\/p>\n
Les moyens de cr\u00e9er ces incidents sont presque infinis. Ils ne sont pas toujours purement techniques, loin de l\u00e0, le facteur humain est souvent le maillon le plus faible du syst\u00e8me d’information.<\/p>\n
Une des premi\u00e8res solutions est la l\u00e9gislation. C’est un ensemble de r\u00e8gles de vie commune pour un groupe d’individus souvent g\u00e9olocalis\u00e9s et celles-ci sont g\u00e9n\u00e9ralement bas\u00e9es sur des principes communs. Vis-\u00e0-vis des individus ne respectant pas ces r\u00e8gles, une force de police est entretenu pour surveiller et intervenir si besoin. Le groupe d’individus s’appelle un \u00e9tat ou une province. L’individu peut \u00eatre volontairement participatif ou au contraire avoir une appartenance forc\u00e9e au groupe. Les r\u00e8gles sont dites contraignantes dans leur application, mais peuvent \u00eatre contourn\u00e9es sans grande difficult\u00e9 en pratique. D’o\u00f9 la pr\u00e9sence indispensable d’une police. Comme dit le proverbe : pas vu, pas pris<\/em>…<\/p>\n Dans un monde d\u00e9coup\u00e9 en \u00e9tats autonomes mais aux \u00e9changes globalis\u00e9s, les diff\u00e9rences de l\u00e9gislation et les limites g\u00e9ographiques des forces de polices rendent l’ensemble perm\u00e9ables \u00e0 beaucoup d’atteintes aux donn\u00e9es, objets et personnes. L’Internet (avec une majuscule) est d\u00e9sormais un continent \u00e0 part enti\u00e8re superpos\u00e9 au monde entier avec quelques fractures par endroit. Il y a autant d’int\u00e9r\u00eats \u00e0 maintenir un r\u00e9seau internet global et neutre qu’il y en a de le fragmenter sur le calque des \u00e9tats. Se couper du monde c’est pr\u00e9server ses int\u00e9r\u00eats imm\u00e9diats, se connecter au monde c’est construire son avenir. Cette contradiction est peut-\u00eatre le signe que la solution de la l\u00e9gislation n’est pas suffisante.<\/p>\n Une autre solution face aux incertitudes de la globalisation du r\u00e9seau consiste en la mise en place de dispositifs techniques de protection. C’est ce que l’on appelle commun\u00e9ment la s\u00e9curit\u00e9 informatique. S’ensuit un sur-armement num\u00e9rique entre les entit\u00e9s productrices d\u00e9positaires l\u00e9gitimes des donn\u00e9es et des entit\u00e9s diverses vari\u00e9es et avari\u00e9es qui souhaitent s’approprier ces m\u00eames donn\u00e9es \u00e0 moindre co\u00fct. Le sur-armement se traduit chez l’attaquant en pratique pas la d\u00e9couverte de failles dans les syst\u00e8mes informatiques, mais aussi dans les d\u00e9fauts d’organisations. Et chez le d\u00e9fenseur dans la d\u00e9couverte de ces m\u00eames failles et d\u00e9fauts, leurs exploitations \u00e9ventuelles en cours et leur \u00e9radication rapide.<\/p>\n Mise \u00e0 part que deux entit\u00e9s peuvent \u00eatre \u00e0 la fois attaquant et d\u00e9fenseur, on retrouve des similarit\u00e9s avec le monde biologique. Le parasite essaye d’exploiter \u00e0 son avantage un h\u00f4te. L’h\u00f4te met tout en \u00c5\u201cuvre pour essayer de d\u00e9couvrir les parasites et les \u00e9liminer. Toute la subtilit\u00e9 du parasite est de subsister dans l’h\u00f4te sans se faire d\u00e9tecter et sans le tuer sous peine de mourir avec. R\u00e9guli\u00e8rement, l’h\u00f4te d\u00e9couvre des parasites et met au point de nouvelles m\u00e9thodes pour. Parfois (soyons optimiste) l’h\u00f4te de d\u00e9couvre pas le parasite. Le plus souvent l’h\u00f4te survit assez bien avec le parasite. Mais parfois il en meurt, signe surtout de l’inadaptation du parasite \u00e0 son h\u00f4te. Il existe environ 600 000 esp\u00e8ces de virus diff\u00e9rentes en biologie dont une infime partie est mortel pour leurs h\u00f4tes. Cependant, les virus biologiques ont l’avantage de participer au brassage des g\u00e8nes de leurs h\u00f4tes et 50% du g\u00e9nome humain en serait imputable.<\/p>\n Dans le monde informatique, les virus ont-ils une utilit\u00e9 pour leurs h\u00f4tes ? Quel est le probl\u00e8me des solutions techniques actuelles ? Donc, pour nebule, une solution temporaire est mise en place. Cette solution correspond au sch\u00e9ma classique de s\u00e9curisation d’un syst\u00e8me d’information bas\u00e9 sur une cryptographie moderne.<\/p>\n L’entit\u00e9\u00c2\u00a063864e42204080051f524d5be0171920e0117a0e83d2131ac506ce3cbff7f1f4<\/a> est cr\u00e9\u00e9 afin de remplir le r\u00f4le d’autorit\u00e9\u00c2\u00a0racine de certification. Le fonctionnement recherch\u00e9 est le m\u00eame qu’une autorit\u00e9 de certification de type X.509<\/a>. Cette entit\u00e9 validera quelques entit\u00e9s tierces critiques dans leur utilisation et pourra au besoin les r\u00e9voquer.<\/p>\n Cette autorit\u00e9 racine est pr\u00e9sente publiquement sur internet au travers d’une entit\u00e9 relais \u00e0 l’adresse http:\/\/puppetmaster.nebule.org<\/a> .\u00c2\u00a0La cl\u00e9 priv\u00e9, m\u00eame prot\u00e9g\u00e9e par mot de passe n’est pas disponible en ligne.<\/p>\n C’est la premi\u00e8re autorit\u00e9 racine. Mais, du fait du fonctionnement propre de nebule, n’a pas vocation \u00e0 \u00eatre unique.<\/p>\n Liens : Quels incidents peut-on rencontrer sur un syst\u00e8me d’information reposant sur une cryptographie moderne ? Et comment peut-on y r\u00e9pondre ? La cryptographie est un formidable outil math\u00e9matique. Ses propri\u00e9t\u00e9s sont sans \u00e9quivalents dans le monde r\u00e9el et palpable du commun des mortels. A cause de cela, l’outil et ses usages restent abstraits et m\u00e9connus pour … Continuer la lecture de Autorit\u00e9 temporaire<\/span><\/a><\/p>\n","protected":false},"author":2,"featured_media":0,"comment_status":"open","ping_status":"open","sticky":false,"template":"","format":"standard","meta":[],"categories":[72,6,98,24],"tags":[136,352,354],"_links":{"self":[{"href":"http:\/\/blog.nebule.org\/index.php?rest_route=\/wp\/v2\/posts\/446"}],"collection":[{"href":"http:\/\/blog.nebule.org\/index.php?rest_route=\/wp\/v2\/posts"}],"about":[{"href":"http:\/\/blog.nebule.org\/index.php?rest_route=\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"http:\/\/blog.nebule.org\/index.php?rest_route=\/wp\/v2\/users\/2"}],"replies":[{"embeddable":true,"href":"http:\/\/blog.nebule.org\/index.php?rest_route=%2Fwp%2Fv2%2Fcomments&post=446"}],"version-history":[{"count":1,"href":"http:\/\/blog.nebule.org\/index.php?rest_route=\/wp\/v2\/posts\/446\/revisions"}],"predecessor-version":[{"id":2328,"href":"http:\/\/blog.nebule.org\/index.php?rest_route=\/wp\/v2\/posts\/446\/revisions\/2328"}],"wp:attachment":[{"href":"http:\/\/blog.nebule.org\/index.php?rest_route=%2Fwp%2Fv2%2Fmedia&parent=446"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"http:\/\/blog.nebule.org\/index.php?rest_route=%2Fwp%2Fv2%2Fcategories&post=446"},{"taxonomy":"post_tag","embeddable":true,"href":"http:\/\/blog.nebule.org\/index.php?rest_route=%2Fwp%2Fv2%2Ftags&post=446"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}
\nLa r\u00e9ponse aujourd’hui est non. Ils nous forcent surtout \u00e0 d\u00e9penser beaucoup d’\u00e9nergie pour les combattre. Ce combat entre attaquant et d\u00e9fenseur engage de plus en plus de moyens et se globalise. Et nous sommes loin d’avoir endigu\u00e9 le fl\u00e9au…<\/p>\n
\nD\u00e9coule-t-il d’un probl\u00e8me plus fondamentale ?
\nDoit-on r\u00e9introduire le l\u00e9gislatif en parall\u00e8le de la technique ? Inventer autre chose ?
\nUne gestion des objets\/liens comme nebule permettra-t-il de r\u00e9duire ce probl\u00e8me ?<\/p>\nSolution temporaire<\/strong><\/h2>\n
\n– http:\/\/fr.wikipedia.org\/wiki\/X.509<\/a>
\n– http:\/\/puppetmaster.nebule.org<\/a>
\n– http:\/\/puppetmaster.nebule.org\/gnav.php?l=63864e42204080051f524d5be0171920e0117a0e83d2131ac506ce3cbff7f1f4<\/a><\/p>\n","protected":false},"excerpt":{"rendered":"