[Aide] [DEBAT] Truecrypt est il mort et vérolé?

Peko papa.papa.echo at gmail.com
Tue Jun 10 21:26:10 CEST 2014


Merci de réagir, Daniel

Je suis peut-être sévère, mais l'article du 2 juin que tu cites
n'apporte strictement rien à ce qui a déjà été dit depuis le 30 mai,
mais au moins par ricochet il m'aura amené à lire ceci, alors je t'en
remercie:


<source>
http://www.reseaux-telecoms.net/actualites/lire-les-11-raisons-pour-lesquelles-le-chiffrement-est-presque-mort-26822.html
</source>

<citation>
Tous ceux qui ont vu beaucoup de films d'action savent qu'on peut
combattre une armée de ninjas, désamorcer des bombes, détourner des
missiles, mais pas lutter contre les technologies de chiffrement.
C'est une vérité intangible... surtout à Hollywood, peut être aussi
dans beaucoup d'esprit, mais la réalité est bien différente.

Plus que jamais, les technologies de chiffrement sont remises en
cause, cela ne signifie pas que vous devez renoncer à sécuriser vos
données sensibles, mais une entreprise avertie en vaut deux. Il est
impossible de garantir l'ensemble de la chaîne de sécurité, voici 11
raisons pour lesquelles le chiffrement n'est plus tout à fait ce qu'il
était.

. Faiblesse n°1 : l'absence de preuve

Les mathématiques, qui sont au coeur des technologies de chiffrement,
impressionnent beaucoup, mais ne constituent pas des preuves absolues.
L'un des algorithmes les plus célèbres, RSA, se veut sûr, aussi
longtemps qu'il sera difficile de prendre en compte des-grands nombres
. Est-il si difficile de prendre en compte de tels chiffres ? En fait,
il n'y a aucune preuve que c'est difficile, mais personne ne sait
comment le faire correctement. Si c'était le cas, RSA pourrait être
ouvert aussi facilement qu'un oeuf. Ce n'est pas encore arrivé, enfin
pas à notre connaissance.

Sur le même sujetUn PDG américain "viré" après une cyber-attaque
contre son entreprise. Faiblessse n°2 : divulguer est-ce vraiment
utile ?

La divulgation est le seul moyen de détecter un crack. Supposons que
vous ayez compris comment prendre en compte un grand nombre de crack
de chiffrements RSA. Allez-vous en informer le monde entier ?
Peut-être. Cela pourrait vous rendre célèbre. Mais cette activité a
aussi sa part d'ombre,  il n'est pas difficile d'imaginer qu'ainsi
vous attirerez une part importante d'individus ou d'organisations qui
pourraient utiliser ces informations pour faire de l'argent ou
extraire de précieuses informations.

Bon nombre de nos hypothèses quant à la sécurité du chiffrement sont
basées sur la croyance que les gens vont partager toutes leurs
connaissances sur les vulnérabilités, mais il n'y a pas de garantie
que quiconque le fera. Les agences de renseignement par exemple
gardent régulièrement leurs connaissances pour elles-mêmes.

. Faiblessse n° 3 : une sécurité est « supposée » parfaite

Une chaîne de sécurité est longue et imparfaite. Il existe un certain
nombre d'excellentes démonstrations mathématiques concernant la
sécurité des systèmes. Elles offrent beau-coup de perspicacité sur un
aspect particulier, mais en disent peu sur l'ensemble de la chaîne.
Les gens aiment pourtant utiliser des expressions comme «sécurité
parfaite préa-lable» pour décrire un mécanisme qui change les clés
assez souvent pour éviter aux fuites de se propager. Mais en fait,
cela ne couvre qu'une partie de la chaîne. Une défaillance dans
l'algorithme ou une faille dans le logiciel peuvent contourner cette
supposée perfection.

. Faiblesse n ° 4 : on se laisse impressionner par les chiffres

Beaucoup d'algorithmes assurent qu'il faudrait « des millions d'heures
» pour essayer tous les mots de passe possibles. Donc un temps
incroyablement long pour se rendre compte que seul Amazon peut avoir
un demi-million d'ordinateurs à louer à l'heure. Certains botnets
peuvent comprendre plus d'un million de noeuds. Les gros chiffres ne
sont pas si impressionnants de nos jours.

. Faiblesse n°5 : les cartes vidéo sont aussi vulnérables

Les cartes vidéo sont également faciles à craquer. Le même matériel
peut fonctionner avec des millions de mots de passe. Les GPU peuvent
être mis, de manière incroyable, en parallèle avec les ordinateurs et
en plus, ils sont moins chers que jamais.

. Faiblesse n°6 : les hyperviseurs nécessitent d'être hypervigilants

Vous pensez télécharger ce qu'il y a de plus sûr.  Vous avez appliqué
toutes les mises à jour, vous avez nettoyé toutes les « cochonneries »
 et vous avez désactivé tous les pro-cesss bizarres. Félicitations,
vous vous rapprochez d'un serveur sécurisé. Mais vous êtes toujours
obsédés par le fait d'auditer chaque ligne de code par vous-même. Ce
serait parfait, si l'hyperviseur en arrière-plan ne pouvait faire tout
ce qu'il voulait à au code  ou à la mémoire.

. Faiblesse n°7 : les couches cachées

L'hyperviseur et le BIOS ne sont que quelques-unes des couches caches
les plus évi-dentes. Pratiquement chaque appareil dispose de firmwares
et risque ainsi de se retrouver poreux. Et comme il est rarement
attaqué de l'extérieur, il est rarement protégé pour ce risque.

Une recherche  de backdoor matériel appelé « Rakshasa » peut infecter
le BIOS et se faufiler dans le firmware des cartes réseau PCI. Même si
votre chiffrement est solide et si votre système d'exploitation n'est
pas infecté, votre carte réseau pourrait vous trahir.

. Faiblesse n°8 : des backdoors à profusion

Souvent, les programmeurs font des erreurs. Ils oublient de vérifier
la taille d'une entrée, ou bien ils oublient d'effacer la mémoire
avant de la reéallouer. Finalement, quelqu'un trouve la faille et
commence à l'exploiter. Certaines des entreprises les plus en pointe
proposent un flux régulier de correctifs qui semble ne jamais finir,
et elles devraient en être félicitées. Mais l'augmentation incessante
des correctifs de sécurité suggère que c'est sans fin. Au moment où
vous avez fini de lire cet article, il y a probablement deux nouveaux
correctifs d'installés. N'importe laquelle de ces failles pourrait
compromettre votre chiffrement. Il n'y a pas de fin, ni de limites,
avec une porte dérobée tant qu'elle n'a pas été découverte.

. Faiblesse n°9 : des nombres aléatoires peu fiables

La battage médiatique autour du chiffrement met l'accent sur la force
de l'algorithme, mais glisse généralement sur le fait que l'algorithme
de sélection de clef est tout aussi important. Votre chiffrement peut
être super efficace, si l'espion peut deviner la clef, l'ef-ficacité
est réduite à néant.

Ceci est important car de nombreuses routines de chiffrement ont
besoin d'une source fiable de nombres aléatoires pour aider à choisir
la clef. Or, certains attaquants substi-tuent leur propre générateur
de nombres aléatoires et l'utilisent pour miner le choix des clés.

. Faiblesse n° 10 : les vertus de l'open source

L'un des attraits des logiciels open source, c'est qu'ils peuvent
découvrir des bugs, peut-être pas tout le temps, mais de temps en
temps. L'iOS d'Apple, par exemple a une ligne supplémentaire dans son
code : goto fail. Chaque fois qu'il a voulu s'assurer qu'elle était
exacte, tout s'est bien passé. Etait-ce vraiment un erreur ? Ou bien
a-t-il été mis là ex-près ? Nous ne le saurons jamais. Mais il a fallu
un certain  temps pour que les yeux avi-sés de la communauté open
source le découvrent.

. Faiblesse n° 11 : les certificats peuvent être inutilisables

Un exemple, vous utilisez une connexion email cryptée, vous êtes
extrêmement prudent, vous cliquez pour vérifier le certificat, on vous
répond qu'il a été émis émis par une Auto-rité spécialisée, vous
pensez donc être couvert et rigoureux.

Et bien non. Il est possible que le destinataire du mail utilise une
autorité de certification différente de la vôtre, à partir de là un
espion peut se glisser dans le contact. Il  y a jus-tement des
centaines d'autorités de certification dans le monde, ce n'est pas un
exemple hypothétique. Certaines de ces autorités sont sous le contrôle
des gouvernements locaux et peuvent créer n'importe quel certificat.
</citation>


More information about the Aide mailing list