Cryptanalyse du chiffrement Office

Magazine
Marque
MISC
Numéro
49
Mois de parution
mai 2010
Domaines


Résumé

Dans tout cours de cryptographie universitaire, la taille de la clé est souvent présentée comme une condition clé de la sécurité d’un crypto système. Pour les éditeurs de solutions sécurisées, la taille de la clé résume tout et devient une condition suffisante. Mais, si cela marche sur le papier, dans la pratique, il en est tout autrement. Les erreurs voire les trappes d’implémentation réduisent souvent la sécurité prétendue d’une application à une peau de chagrin. C’est également sans compter avec les erreurs propres aux utilisateurs : car si la cryptologie a été libéralisée, l’éducation des utilisateurs n’a jamais été faite et ces derniers se retrouvent avec des outils qui se retournent contre eux du fait de l’ignorance de règles de bases. Dans le cas d’un utilisateur lambda, c’est d’une gravité toute relative, cela peut être dramatique pour un usage professionnel. Dans cet article, nous montrons comment opérationnellement casser le chiffrement RC4 128 bits de la suite Office de Microsoft (jusqu'à la version 2003) et réfléchissons à comment dissimuler des trappes dans une application.


1. Introduction

La suite Office de Microsoft propose de protéger les documents produits via un chiffrement allant du XOR (le plus faible) à l’algorithme RC4 avec une clé de 128 bits. Ce dernier est considéré comme offrant une sécurité suffisante, tant pour la taille de la clé que vis-à-vis de l’algorithme, considéré par l’industrie, il y a encore peu, comme solide. Ce chiffrement est présent dans les suites Office jusqu’à la version 2003. Mais rappelons que cette dernière représente à ce jour plus de 75% des licences des particuliers et encore prés de 80% des licences professionnelles. Ceci s’explique par le fait que la version Office 2007 n’a pas réussi à séduire beaucoup de personnes du fait d’une rupture d’ergonomie déroutante. 

En 2005, un chercheur singapourien [1] a mis en évidence une faiblesse dans l’utilisation de RC4 128 de la suite Office : les clés restent les mêmes pour toutes les versions modifiées (révisions) d’un...

Cet article est réservé aux abonnés. Il vous reste 97% à découvrir.
à partir de 21,65€ HT/mois/lecteur pour un accès 5 lecteurs à toute la plateforme
J'en profite


Articles qui pourraient vous intéresser...

Qu’est-ce que le chiffrement ?

Magazine
Marque
Linux Pratique
HS n°
Numéro
50
Mois de parution
février 2021
Domaines
Résumé

Les protocoles de chiffrement de données, tels que SSL et son successeur TLS, sont au cœur des problématiques de la sécurisation des échanges sur les réseaux informatiques (dont Internet est le plus vaste représentant). Pour un développeur, comme pour un administrateur système, il est donc essentiel de bien comprendre à quoi ils servent, ce qu’ils font, et aussi quand s’en servir. Dans cet article, nous nous proposons de revenir sur toutes ces notions afin de s’assurer de leur bonne compréhension.

Répondez aux problématiques de sécurité d’accès avec OpenSSH

Magazine
Marque
Linux Pratique
HS n°
Numéro
49
Mois de parution
novembre 2020
Domaines
Résumé

Notre infrastructure est désormais stable et sécurisée tant au niveau système que réseau. Nous allons pouvoir étudier de manière un peu approfondie un logiciel particulier : OpenSSH. Ce démon réseau nous permet de nous connecter en toute sécurité sur nos serveurs via le protocole SSH. Son développement a commencé il y a plus de 20 ans chez nos amis d’OpenBSD. La liste de ses fonctionnalités est d’une longueur impressionnante. Nous allons en parcourir ensemble quelques-unes qui, je l’espère, nous permettront d’améliorer tant notre sécurité que notre productivité quotidienne.

Encore StopCovid, ou stop ?

Magazine
Marque
MISC
Numéro
112
Mois de parution
novembre 2020
Domaines
Résumé

Comment fonctionne StopCovid ? Quels sont les problèmes ? À quels risques s’expose-t-on ? Dans cet article, nous tentons d’éclaircir ces questions et de nourrir quelques réflexions sur l’usage du numérique.