Les articles de MISC Hors-Série N°13

Image promotionnelle
Des cryptoparties aux salons vie privée
Article mis en avant

Préface

« It is poor civic hygiene to install technologies that could someday facilitate a police state. » - Bruce Schneier

Pour ce hors-série dédié à la cryptographie, nous avons décidé de traiter la thématique en prenant comme angle d'attaque les progrès qui vont effectivement toucher le grand public. De nos jours, il ne fait plus de doute que la sécurité se compose d'un ensemble d'éléments et qu'une attention particulière doit être donnée à chacun d'eux.

Ces dernières années auront vu naître un intérêt croissant de la cryptographie à destination du grand public. Du développement de protocoles destinés à la protection de la vie privée en passant par la normalisation de courbes elliptiques réputées « de confiance », il apparaît aujourd'hui intéressant d'étudier quelques-unes de ces initiatives qui ont vocation à répondre à des problèmes concrets posés par l'utilisation de plus en plus généralisée de la cryptographie.
OTR existe depuis plus de dix ans, et permet à tout le monde de protéger ses échanges instantanés, non seulement d’attaquants externes, mais aussi d’un interlocuteur mal intentionné.
Pour le grand public, « crypto » est un mot inquiétant : il semble impliquer des formules compliquées et beaucoup de connaissances avant de pouvoir envisager de participer à un événement ayant ce mot dans le titre. Cet article est un retour d'expériences suite à presque deux ans en tant que coorganisateur de salons vie privée au Luxembourg.
Besoin de configurer un serveur Apache avec support d'HTTPS ? La cryptographie c'est trop complexe ? Quels sont les choix à faire ? Quels algorithmes ? BetterCrypto.org est un projet open source destiné à vous aider !
Il y a peu, chacun vivait dans son petit village et n'avait qu'une poignée de pairs à qui devoir faire confiance. Internet a révolutionné ce modèle : nous interagissons tous quotidiennement avec un nombre de tiers, dépassant notre capacité de jugement. Comment alors faire passer à l'échelle d'Internet notre confiance en autrui ? Cet article détaille Certificate Transparency, un mécanisme cryptographique enregistrant les actions critiques effectuées par les autorités de certification. Équipée de cet outil, la société connectée peut alors détecter les erreurs et les trahisons, lorsqu'elles surviennent, améliorer son système de réputation et accroître ses capacités à punir les contrevenants.
En novembre 2014, le projet Letsencrypt, lancé par Mozilla, Cisco, Akamai, EFF et Identrust, permet désormais d'héberger des sites en HTTPS presque aussi facilement qu'en HTTP. Dans cet article, nous allons vous raconter l'histoire de Letsencrypt, son fonctionnement, ses limites, et l'avenir qu'il promet à l'industrie de l'hébergement.
Aujourd’hui, nous accordons une confiance quasi aveugle au protocole HTTPS de chiffrement de flux web. À l’heure du « tout connecté », il est important de mesurer les risques auxquels on s’expose en se connectant au moyen de ce protocole. Les menaces d’interception sont présentes et identifiées. Comment détecter qu’elles sont actives.
La cryptographie à base de courbes elliptiques est devenue ces dernières années une des alternatives les plus intéressantes à RSA en termes de cryptographie asymétrique. Cependant, sa jeunesse et ses développements récents en font encore une solution questionnée, tant sur sa solidité que sur la manière de correctement l'utiliser. L'heure est aujourd'hui à une nouvelle vague de normalisation dans une situation pour le peu troublée par un élément clef du succès d'un standard: la confiance.
Le basculement de nos vies vers le numérique est en route. Nos habitudes sociales, productives, d’achat, passent de plus en plus souvent par la case électronique. Les conversations qui avaient lieu à voix basse devant la machine à café ou de vive voix dans notre salle à manger, à l’abri des oreilles indiscrètes, se retrouvent transportées et stockées sur des serveurs et des machines que nous ne contrôlons pas toujours (en fait, jamais). La nécessité de protéger les échanges n’est pas nouvelle. Mais aujourd’hui, nous ne pouvons plus utiliser le sceau de notre famille pour sceller les parchemins, ou les plis oblitérés à enveloppes opaques. Nos transactions sont des séries de 0 et 1 (le numérique), et des outils adaptés pour les protéger se sont développés. Ces outils reposent sur l’usage de la cryptographie. Nous nous pencherons dans cet article sur les possibles utilisations de la cryptographie dans le contexte du Web. En route…
Peu connues du grand public, elles sont pourtant omniprésentes dans nos échanges électroniques quotidiens. Quels sont les usages et caractéristiques cryptographiques intéressantes des courbes elliptiques ?
En août 2015, la NSA a surpris le monde de la cybersécurité en faisant une annonce très surprenante à l’intention des entreprises et administrations américaines. Elle recommande de préparer le basculement de la cryptographie à clef publique classique fondée sur la théorie des nombres vers des systèmes résistants à l’ordinateur quantique. Depuis, l’organisme de normalisation américain NIST a lancé la course post-quantique avec un appel international pour la création de standards à l’épreuve de l’ordinateur quantique.