Chiffrement ou pas !

Récemment, lorsque je parlais de chiffrement, une personne que je considère comme un sage d’un age respectable a fait une petite  intervention en indiquant que ces méthodes lui faisait peur et que pour lui, ce sont les terroristes qui les utilisent car ils ont des choses à cacher.
Et il pensait sincèrement que les citoyens ordinaires ne doivent pas chiffrer leurs échanges.

Comme je suis un adepte de Ionesco et que j’aime  parfois les raisonnements par l’absurde, je voudrais faire remarquer que les terroristes utilisent aussi du papier hygiénique.

Je vous laisse imaginer ce que je devrais conclure, si par aventure je devais suivre à la lettre l’argumentation qui m’a été opposée. Une fois la commission commise, je risquerai fort d’être bien marri.

Donc je me permet de déduire que si les terroristes utilisent le chiffrement pour commettre des crimes ne m’interdit pas de l’utiliser pour protéger ma vie privée ou échanger des données privées avec des tiers.

Il y a un équilibre à trouver entre sécurité et liberté.
Nous avons tous quelque chose à cacher.

Les jolies colonies de vacances

Si ce n’était pas le cas, je propose qu’on se mette tous à poil et la planète deviendrait un grand camp de nudistes paradisiaque dans lequel milliardaires et prolétaires ne pourront plus être distingués.
Quel bonheur !
Quoique, je n’aimerai pas me retrouver aux coté de certains desdits milliardaires,  car même à poil, beaucoup conserveraient leur masque.

La liberté consiste à échanger avec qui on le souhaite, à avoir des secrets avec ses amis, à avoir des opinions politiques ou religieuses ou bien même à ne pas en avoir.
Mais si les communications sont enregistrées et stockées et que dans quelques années, un gouvernement autoritaire apprend que « tout ce que j’ai pu écrire, je l’ai puisé à l’encre de tes yeux », c’est un peu gênant pour moi comme pour toi qui est en train de lire ce texte. Surtout que tu n’étais pas forcément au courant.

Si mes informations médicales circulent trop facilement et que mon employeur, mon banquier et mon concierge les récupèrent, qui peut imaginer ce qu’ils en feront.
Si tout le monde connaît mon salaire, je vais subitement avoir beaucoup d’amis… (Bon en fait, je n’en aurai pas tant que cela).

Dans un contexte de surveillance généralisée, il devient de plus en plus compliqué de continuer à utiliser l’Internet en #préservant sa vie privée.  Donc j’encourage tout un chacun a utiliser des méthodes de chiffrement.

Brièvement je voudrais mettre tout le monde d’accord sur les mots à employer. Vous aurez certainement remarqué que je ne parle pas de cryptage mais de chiffrement et j’ai de bonnes raisons.

  • La première raison est que la vrai vie n’est pas une série américaine mal traduite,
  • La deuxième est que je ne suis pas un journaliste mais un informaticien et donc lorsque je parle d’informatique,  j’essaie au moins de faire un peu plus que semblant de savoir de quoi je parle, ce qui m’évite de commettre certaines erreurs de vocabulaire.

Chiffrer un texte nécessite d’avoir une clé, puis de donner une copie de la clé à la personne avec laquelle on échange des documents.

Avec la clé, le destinataire va pouvoir déchiffrer le message.

Le décryptage consiste à forcer le déchiffrement, c’est à dire obtenir le contenu d’un document chiffré sans en avoir ni la clé, ni la permission.
Pour faire simple, décrypter revient à défoncer une porte pour accéder à un contenu.

Comme je suis un peu facétieux, j’utilise souvent l’analogie de la porte pour expliquer ce vocabulaire.

Une porte peut être ou verte, ou bleue. Elle peut également être ouverte ou fermée.

Si vous avez la clé, vous pouvez la fermer ou l’ouvrir.

Si vous n’avez pas la clé, vous devez la défoncer, mais par contre, vous ne pourrez pas la foncer, sauf si vous avez un pôt de peinture noire et un fâcheux penchant pour le mauvais goût.

 

Une fois la bombe de Turing opérationnelle, l’équipe de Bletchley Park décryptait des messages pour comprendre le réglage de la journée des machines Enigma. Mais une fois le réglage connu, les équipes déchiffraient les messages.

Une fois qu’on connait le code, il n’y plus de décryptage, mais du déchiffrement.

Faisons un parallèle pour apporter un peu de clarté :
Pour un peintre, une porte peut être ou verte, ou bleue. S’il n’a pas trop mauvais goût, il peut utiliser une autre couleur on ne lui en voudra pas.

Pour moi, simple quidam mortel, une porte peut être ouverte ou fermée.

Si avez l’habitude d’utiliser un ordinateur, vous aurez remarqué qu’un fichier peut également être ouvert ou fermé.
« Mais oui, mais c’est bien-sûr ! Comme une porte ! »

Certaines portes n’ont pas de serrure et parfois même pas de poignée, il suffit de pousser pour rentrer.
Pour ceux qui utilisent des ordinateurs et en particulier si vous utilisez un célèbre système à fenêtre,  méfiez-vous tout de même des courants d’air et des fuites de données.

Si une porte possède une serrure et est fermée à clé (chiffrée), pour l’ouvrir (déchiffrer) on doit posséder la clé. Si on n’a pas la clé et qu’on doit accéder au contenu, on la défonce (décrypte).
Si une porte est ouverte, on peut la fermer, mais on ne peut pas faire l’inverse de la défoncer… (La foncer reviendrait à la peindre en noir, or ce n’est pas du meilleur goût et dans ce cas, il vous faudra changer de peintre).

Un fichier chiffré peut être déchiffré si on a la clé, on peut aussi essayer de le décrypter si on ne l’a pas, mais ce procédé utilisera de gros moyens techniques.

Je ne suis pas certain que l’analogie soit très claire mais pour résumer :
Chiffrer : rendre inintelligible en utilisant un code, une clé, un secret, une instruction quelconque,
Déchiffrer : A l’aide d’une clé, d’un secret ou d’une instruction quelconque, rendre intelligible un contenu chiffré en le décodant.
Décrypter : A l’aide de moyens de cryptographie, casser un code pour accéder à un contenu chiffré.
les vocables Crypter, cryptage sont une mauvaise utilisation qui malheureusement passe dans le langage courant. Ils proviennent du Grec  κρυπτός (Cryptos) qui signifie caché. Ils sont passés à l’allemand puis à l’anglais et suite à des hasards de l’histoire sont parvenus jusqu’à nous, en grande partie à cause de séries américaines aussi stupides que mal traduites, mais pas seulement.

Certains monuments religieux ont des cryptes, il s’agit de salles cachées, invisibles pour le profane. Mais votre message chiffré, bien qu’il soit illisible est bien visible. A moins qu’il soit écrit à l’encre sympathique, auquel cas, on peut parler de cryptage et il s’agit d’une branche de la cryptographie nommée « stéganographie » qui fait appel à toutes sortes de techniques plus ou moins complexes pour cacher un message dans une image, dans un autre texte ou le rendre invisible d’une façon ou d’une autre.

Concernant les clés, secrets ou instructions pouvant servir à déchiffrer ou à chiffrer, on peut trouver pléthore de possibilités.

Presque tout le monde a entendu parler d’Enigma, la machine créée juste après la première guerre mondiale et qui a permis aux nazis de prendre une certaine avance sur les mers pendant la deuxième guerre mondiale, jusqu’à ce qu’une équipe britannique à laquelle a participé le mathématicien Alan TURING ne réussisse à casser les codes de cette machine. Turing avait compris une chose importante : Pour casser le code de cette machine, il faudrait une autre machine.

Il a donc conçu ce qu’on a appelé la bombe de Turing. En apparence, une bombe de Turing fait fonctionner plusieurs machines Enigma en parallèle, mais c’est un peu plus complexe que cela.

Le secret du codage d’Enigma était en fait une série d’instruction de montage et câblage. La machine Enigma pouvait accueillir 3 rotors, sur un total de 5 disponibles. De plus elle possédait en façade d’un tableau de permutation à câbler, permettant de permuter des lettres. Ce système était suffisamment ingénieux pour permettre d’avoir un nombre de combinaison suffisamment complexe interdisant à de simples humains de décrypter les messages. De plus, les instructions de montage changeaient tous les jours, à minuit. Donc toutes les tentatives qui de toute façon n’avaient pas abouties en fin de journée n’étaient que du temps perdu.

Il faut comprendre une chose. Avant que Turing ne commence à travailler sur le projet, on utilisait des linguistes pour essayer de casser le code.  Avec les systèmes de chiffrement antérieurs, (Vigenère et ses dérivés par exemple), cela pouvait fonctionner. Mais pas avec Enigma. Et le coup de génie de Turing c’est bien d’avoir compris qu’il fallait une machine pour venir au bout de cette machine.

 

Mais en matière de chiffrement, il existe des techniques bien plus rudimentaires qui, si elles ne résistent pas très longtemps à un expert, permettent tout de même d’échanger des informations non stratégiques à court terme. Ainsi, récemment (mars 2017) j’ai fait une conférence sur le chiffrement et j’ai fourni un exemple avec un texte comportant 6 blocs de 6 caractères.

Pour le décrypter il fallait comprendre qu’avec les 6 blocs on pouvait faire un carré. Ensuite, il comprendre que le texte se lit en spirale. La dernière instruction était qu’il fallait démarrer la lecture avec le caractère le plus à gauche de la ligne du haut et lire en descendant. On arrivait alors au message suivant CONFERENCESURLECHIFFREMENTLYCEEAORAI.

Vous aurez remis les espaces et les accents à leur place. « Conférence sur le chiffrement Lycée AORAI. »

Si j’oubliais de vous dire que la cryptographie est considérée comme une arme et que certains pays avait même interdit l’exportation d’informations sur les procédés cryptographique,  je manquerais à mon devoir.  (Loi « Arms export control act » aux Etats-Unis, mais d’autres lois identiques avaient cours ou ont en encore cours dans d’autres pays nettement moins démocratiques et on ne le sait pas forcément.) A cet égard, la loi américaine et l’histoire de la cryptographie et de la cryptanalyse permettent de donner un certain éclairage sur les problèmes qu’a eu le créateur du logiciel PGP au début des années 1990.

Mais j’y reviendrais peut-être ultérieurement par quelques explications techniques abordables aux néophytes sur l’utilisation de GnuPG et d’Enigmail.

Dans le courant de la semaine du 13 au 17 août 2018, France-culture a diffusé 4 épisode d’une émission entièrement consacrée à ce personnage. Je vous recommande son écoute. Les épisodes sont un peu longs, environ 1h50 chacun, mais ils valent le détour et permettent de corriger certaines petites erreurs du film « Imitation games » sorti il y a quelques années.

Néanmoins, j’ai trouvé le film plutôt bien fait et donne déjà une idée sur le travail effectué pendant la guerre pour venir à bout d’une petite machine infernale.

 

Ce billet a été écrit en janvier 2017 et complété en septembre 2018.

A bientôt pour de nouvelles aventures dans le cyberespace et au-delà…

 

 

Cybernétique.

C’est en 1946 que nait officiellement la cybernétique avec le sens moderne de ce mot.

Mais en réalité ce mot existait déjà depuis un peu plus d’un siècle avec une signification un peu différente.
De nos jours, le terme « cybernétique » est volontiers remplacé par d’autres mots très incomplets qui ne donnent même pas la quintessence de sa signification. On évoque alors l’automatisme, l’électronique, l’informatique, l’intelligence artificielle, la robotique, la domotique, et d’autres sciences et techniques passées présentes et à venir toutes situées dans la même veine.

La cybernétique, c’est tout ça et plus encore. Cela en surprend quelques uns quand j’explique que Norbert WIENER a posé les bases de ce qui est devenu l’intelligence artificielle dès la deuxième guerre mondiale. Pourtant, en 1948, lors de la publication de son manifeste sur la cybernétique, il a eu un succès considérable dans les milieux scientifiques chez les mathématiciens, les cryptanalystes et les premiers informaticiens. Il est un fondateur. Il est à l’informatique, la robotique et l’I.A. par exemple, ce que Zarathoushtra était au mazdéisme. Une sorte de réformateur, de gourou, d’organisateur, etc.
Il a participé aux conférences de MACY après la deuxième mondiale, qui eurent un gros succès. On se souvient de Turing, on se souvient de Von Neumann mais le nom de Wiener n’est cité que dans les milieux spécialisés. Quand au substantif « Cybernétique », tout le monde en utilise les deux premières syllabes sans même savoir ce que cela signifie.
Ainsi, on forgea les mots « cybersécurité », « cybercriminalité », « cybercafé », « cyberpunk », »cyberespace », « cyberarmée », »cyberfraude » et bien d’autres. Mais je ne peut m’empêcher, pour finir, d’évoquer celui qui donne de l’humanité de façon très crue et triviale à ce radical : « cybersexe ».

Pour le prix d’une définition de « Cybernétique », en voici deux car je suis généreux et partageur :

Selon Wikipedia, le terme cybernétique apparaît en 1834 dans la classification des sciences proposée par André-Marie Ampère (physicien et fondateur de l’électrodynamique 1775-1836) et désigne « la science du gouvernement des hommes »
En réalité il s’agit de l’étude de la science des moyens de gouverner. Cela fait un peu penser à une certaine forme de manipulation.

Ce mot va tomber en désuétude mais en 1946/1947, il reprend du service avec un sens nouveau mais néanmoins complémentaire et finalement, pas si nouveau que celà.
Un livre est fondateur en ce domaine et son titre est déjà une forme de définition.
Cybernetics, or Control and Communication in the Animal and the Machine qu’on pourrait traduire par « Cybernétique, ou contrôle et communication entre les animaux et les machines« , (animaux étant ici pris au sens littéral et incluant donc les humains.)
Pour bien comprendre ce qu’est la cybernétique, il faudrait commencer par connaître les projets sur lesquels travaillait Wiener. Mais on peut déjà donner un ordre d’idée. Je pense que la définition de la cybernétique s’est affinée au cours des séries de conférences de MACY.
En réalité, les conférences de MACY ont commencé dès 1942 et ont perduré jusque dans les années 1950. Elle réunissaient le gratin des scientifiques de l’époque dans le domaine des mathématiques, de la physique, la psychologie, l’anthropologie, la logique et l’économie. L’objectif était d’essayer de comprendre comment fonctionne l’esprit.

Dans ce contexte, on comprend que la cybernétique a servi à faire communiquer le règne animal avec les machines et vice versa. Les premières conférences sur ce thèmes eurent lieu en 1947. Le livre fondateur de Wiener fut publié en anglais en 1948. Même l’éditeur français refusa de faire une traduction, argumentant que quiconque s’intéressait au sujet devait faire l’effort de le lire en version originale. Il a fallut attendre plusieurs décennies pour qu’une version française soit publiée, mais elle n’a probablement pas eu autant de succès que les premières versions.

Donc en résumé, la cybernétique, c’est à la fois l’étude des moyens de gouverner et le contrôle et les communications entre les animaux et les machines.

Si on agglomère ces deux définitions, cela fait un peu froid dans le dos. On se trouve projeté en plein scandale « Cambridge Analytica », on pense également à « Google Analytics » et on se dit que finalement, quand le deuxième mot d’une expression commence par « Anal » il vaut mieux raser les murs. Mais on pense plus généralement aux capacités gigantesques des « big data » et leur exploitation positive ou négative.

La cybersécurité pour les nuls

Cet article a pour vocation de désacraliser la sécurité informatique mais également de désacraliser le pirate sur son petit piédestal vermoulu.

Tout d’abord, j’aimerai apporter un éclaircissement à une confusion fréquente.

Le beau-frère de la demi-sœur d’un de vos clients vous dit :

Je me suis fait hacké mon site, on m’a volé tous les contacts clients et on a remplacé la page d’accueil par un photomontage bizarre…

Et bien le site n’a pas été hacké, il a été piraté !

Il y a une nuance que le beau frère de la demi-sœur de votre client est en droit de ne pas saisir. Mais les journalistes, ceux qui parlent en experts sans en avoir les bases, feraient bien de mettre à jour leur vocabulaire.  Ceci étant dit, certains informaticiens aussi, feraient bien de remettre un peu d’ordre dans leurs idées et leurs connaissance en matière de sécurité.

Une petite mise au point : Les hackers de l’origine avaient un code éthique  définit au MIT (
Massachusetts Institute of Technology ) et dont voici les règles de base:

 ➢ L’accès à tout ce qui pourrait vous apprendre quelque chose sur la
façon dont le monde fonctionne devrait être illimité et total
➢ L’information devrait être libre
➢ Ne faites pas confiance à l’autorité, préférez la décentralisation
➢ Les hackers devraient être jugés sur leurs exploits et non sur des critères comme l’âge, l’origine, le sexe, le diplôme …
➢ On peut créer l’art et la beauté avec un ordinateur
➢ Les ordinateurs peuvent améliorer votre vie

Quand je lis les règles d’éthique des hackers, je ne vois pas quel est le problème.

Il y a pas mal d’années, au siècle dernier, un certain Eric Raymond a publié un petit bouquin intitulé « La cathédrale et le bazar » or Eric est un pionnier de l’open source,  comme Richard Mathiew Stallmann est pionnier du logiciel libre.
Eric donne la définition de ce qu’est un hacker et quelques conseils pour le devenir.

Voir le lien ci-dessous  How to become a hacker :
http://www.catb.org/esr/faqs/hacker-howto.html
Il existe une traduction en français, si vous n’êtes pas à l’aise avec l’anglais vous devrez la trouver en dessous.
Mais justement, si vous n’êtes pas à l’aise avec l’anglais, vous aurez bien du mal à devenir un hacker.  Comme le dit Eric Raymond lui-même.
La voici la traduction en français :
http://www.secuser.com/dossiers/devenir_hacker.htm

Il y a parfois des hackers qui passent du coté obscur. Mais hacker par définition ce n’est pas ça.  Dans le hacking il n’y a pas de jugement de bien ou de mal. Alors que dans le piratage, si !

Être un pirate, c’est mal !
Quelqu’un qui commet un piratage est un pirate.
Un hacker peut être un expert en cybersécurité et être à l’origine de l’amélioration de la sécurité sur Internet. D’ailleurs sans les hackers, Internet n’existerait pas. Donc il est important de bien différencier les deux.

Mais le présent article ne vise pas à déterminer le sexe des anges, quoique comprendre ce prérequis est tout de même intéressant pour la suite du texte.

Le présent article vise a expliquer ce qu’est la cybersécurité pour les nuls.
Il faudrait d’abord définir la cybercriminalité. Dans quoi je m’engage ?

La cybercriminalité, brève définition :


De nombreux ouvrages le font très bien à ma place (La cybercriminalité de Solange GHERNAOUTI-HELIE, aux éditions « Le savoir Suisse » par exemple), mais ami lecteur, tu n’es pas venu me rendre visite pour que je t’envoie promener ailleurs.

Donc la cybercriminalité :
Est une forme de criminalité utilisant les techniques de communication offertes par Internet.
Par extension, la cyberdélinquance est incluse dans cette définition, car si la différence de degré est notable, les moyens utilisées sont à peu près les mêmes.

Est-il nécessaire de donner des exemples de cybercrimes ou d’actes de cyberdélinquance ? 

Voler des mots de passe en piratant des sites pour récupérer leurs bases de données, c’est de la cyberdélinquance. Mais parfois, les bases sont revendues sur des sites cachés dans le deep web et d’autres pirates qui n’ont pas tous des compétences techniques les rachètent et les utilisent en comptant sur la naïveté et le sens de la culpabilité des victimes.

La cybercriminalité, c’est en gros une criminalité qui s’appuie sur les faiblesses d’Internet. Il faudrait faire un peu d’histoire, mais très brièvement, en quelques phrases vous allez comprendre :

Les premières briques d’Internet sont nées dans les années 1960. A cette époque là, ce qui comptait c’était que les ordinateurs puissent communiquer entre eux et que si l’un d’entre eux était totalement pulvérisé par une bombe atomique, les informations pourraient continuer à circuler par un autre circuit entre les machines encore utilisable. (« alive »)
Dans un contexte de guerre froide et de joyeux bricolages, ce qui comptait plus que tout c’était que le signal soit transmis. Le chiffrement des informations ou la sécurisation risquait d’entraver ce fonctionnement et donc on a attendu avant de s’en préoccuper.

Voilà pourquoi une partie des technologies utilisées n’est pas sécurisée de façon native. Pour cette raison on a dû rajouter des couches de sécurité à certains protocoles, comme par exemple le célèbre « https » Hyper Text Transfert Protocole Secured.

Le S de Secured est récent et a dû être créé pour pouvoir chiffrer les échanges. C’est particulièrement nécessaire lorsque vous effectuez une transaction bancaire.

Il faut savoir qu’à cause du manque de sécurité de certains protocoles, il est possible d’usurper une adresse courriel pour envoyer un message et donc de faire croire à un internaute peu informé que sa propre boite a été piraté et que son mot de passe lui a été volé.

Un exemple ci-dessous, j’ai effacé les adresses d’expéditeur et de destinataire, mais elles étaient scrupuleusement identiques :

On peut comprendre l’inquiétude suscitée chez un utilisateur peu au courant du fonctionnement de cette technologie.

La cyberdélinquance, c’est la tentative d’extorsion de fond comme dans le message cité en exemple, c’est l’usurpation d’identité, du vol de mot de passe et toute sorte de petite escroquerie. Cela s’appuie beaucoup sur la méconnaissance complète de l’utilisateur de l’outil informatique et de l’Internet et ces procédés s’appuient surtout sur la naïveté des utilisateurs.

La cybersécurité, tentative de description

La encore, de nombreux ouvrages le font très bien à ma place et je citerai dans la même veine que précédemment  (La cybersécurité de Nicolas ARPAGIAN, aux éditions « P.U.F. » collection « Que-sais-je ?' » par exemple), mais ami lecteur, tu n’es pas resté à lire cet article jusque là pour que je t’envoie promener là-bas.