Cryptanalyse du chiffrement Office

Magazine
Marque
MISC
Numéro
49
Mois de parution
mai 2010
Spécialité(s)


Résumé

Dans tout cours de cryptographie universitaire, la taille de la clé est souvent présentée comme une condition clé de la sécurité d’un crypto système. Pour les éditeurs de solutions sécurisées, la taille de la clé résume tout et devient une condition suffisante. Mais, si cela marche sur le papier, dans la pratique, il en est tout autrement. Les erreurs voire les trappes d’implémentation réduisent souvent la sécurité prétendue d’une application à une peau de chagrin. C’est également sans compter avec les erreurs propres aux utilisateurs : car si la cryptologie a été libéralisée, l’éducation des utilisateurs n’a jamais été faite et ces derniers se retrouvent avec des outils qui se retournent contre eux du fait de l’ignorance de règles de bases. Dans le cas d’un utilisateur lambda, c’est d’une gravité toute relative, cela peut être dramatique pour un usage professionnel. Dans cet article, nous montrons comment opérationnellement casser le chiffrement RC4 128 bits de la suite Office de Microsoft (jusqu'à la version 2003) et réfléchissons à comment dissimuler des trappes dans une application.


1. Introduction

La suite Office de Microsoft propose de protéger les documents produits via un chiffrement allant du XOR (le plus faible) à l’algorithme RC4 avec une clé de 128 bits. Ce dernier est considéré comme offrant une sécurité suffisante, tant pour la taille de la clé que vis-à-vis de l’algorithme, considéré par l’industrie, il y a encore peu, comme solide. Ce chiffrement est présent dans les suites Office jusqu’à la version 2003. Mais rappelons que cette dernière représente à ce jour plus de 75% des licences des particuliers et encore prés de 80% des licences professionnelles. Ceci s’explique par le fait que la version Office 2007 n’a pas réussi à séduire beaucoup de personnes du fait d’une rupture d’ergonomie déroutante. 

En 2005, un chercheur singapourien [1] a mis en évidence une faiblesse dans l’utilisation de RC4 128 de la suite Office : les clés restent les mêmes pour toutes les versions modifiées (révisions) d’un...

Cet article est réservé aux abonnés. Il vous reste 97% à découvrir.
S'abonner à Connect
  • Accédez à tous les contenus de Connect en illimité
  • Découvrez chaque semaine un nouvel article premium
  • Consultez les nouveaux articles en avant-première
Je m'abonne


Article rédigé par

Par le(s) même(s) auteur(s)

Informatique quantique : jouez au billard quantique !

Magazine
Marque
GNU/Linux Magazine
Numéro
232
Mois de parution
décembre 2019
Spécialité(s)
Résumé

Les nombres, les matrices et vecteurs complexes sont les objets mathématiques de base pour la représentation des qubits en informatique quantique [1, 2]. Le but de ce second article d'une série sur l’informatique quantique est de montrer les différences fondamentales existant entre le monde physique classique et le monde quantique et de les illustrer facilement et simplement avec les vecteurs et matrices de nombres complexes. Cela nous permettra de comprendre quelques propriétés fondamentales, spécifiques du monde quantique : le principe de superposition, le phénomène d’interférence et la symétrie temporelle. Et pour faciliter les choses, nous allons jouer au billard!

Les filtres de Bloom : un peu de bruit pour beaucoup [1] !

Magazine
Marque
GNU/Linux Magazine
Numéro
231
Mois de parution
novembre 2019
Spécialité(s)
Résumé

Avec l’explosion des données (un fichier de logs, par exemple), chercher une information particulière déjà connue devient une tâche complexe. Or depuis 1970, il existe une technique particulièrement puissante qui permet de résoudre très efficacement ce problème : les filtres de Bloom. Cet article propose de les explorer et de montrer comment les implémenter.

Informatique quantique : c’est simple avec les nombres complexes

Magazine
Marque
GNU/Linux Magazine
Numéro
230
Mois de parution
octobre 2019
Spécialité(s)
Résumé

Les nombres complexes sont les objets mathématiques de base pour la représentation des qubits en informatique quantique [1]. Savoir les manipuler est donc indispensable et par chance, cela est assez facile. Le but de ce premier article d'une série sur l’informatique quantique est précisément de vous initier sans douleur à ces nombres particuliers, de comprendre quelles opérations et structures peuvent être définies avec eux, lesquelles sont indispensables en informatique quantique.

Les derniers articles Premiums

Les derniers articles Premium

Cryptographie : débuter par la pratique grâce à picoCTF

Magazine
Marque
Contenu Premium
Spécialité(s)
Résumé

L’apprentissage de la cryptographie n’est pas toujours évident lorsqu’on souhaite le faire par la pratique. Lorsque l’on débute, il existe cependant des challenges accessibles qui permettent de découvrir ce monde passionnant sans avoir de connaissances mathématiques approfondies en la matière. C’est le cas de picoCTF, qui propose une série d’épreuves en cryptographie avec une difficulté progressive et à destination des débutants !

Game & Watch : utilisons judicieusement la mémoire

Magazine
Marque
Contenu Premium
Spécialité(s)
Résumé

Au terme de l'article précédent [1] concernant la transformation de la console Nintendo Game & Watch en plateforme de développement, nous nous sommes heurtés à un problème : les 128 Ko de flash intégrés au microcontrôleur STM32 sont une ressource précieuse, car en quantité réduite. Mais heureusement pour nous, le STM32H7B0 dispose d'une mémoire vive de taille conséquente (~ 1,2 Mo) et se trouve être connecté à une flash externe QSPI offrant autant d'espace. Pour pouvoir développer des codes plus étoffés, nous devons apprendre à utiliser ces deux ressources.

Raspberry Pi Pico : PIO, DMA et mémoire flash

Magazine
Marque
Contenu Premium
Spécialité(s)
Résumé

Le microcontrôleur RP2040 équipant la Pico est une petite merveille et malgré l'absence de connectivité wifi ou Bluetooth, l'étendue des fonctionnalités intégrées reste très impressionnante. Nous avons abordé le sujet du sous-système PIO dans un précédent article [1], mais celui-ci n'était qu'une découverte de la fonctionnalité. Il est temps à présent de pousser plus loin nos expérimentations en mêlant plusieurs ressources à notre disposition : PIO, DMA et accès à la flash QSPI.

Les listes de lecture

11 article(s) - ajoutée le 01/07/2020
Clé de voûte d'une infrastructure Windows, Active Directory est l'une des cibles les plus appréciées des attaquants. Les articles regroupés dans cette liste vous permettront de découvrir l'état de la menace, les attaques et, bien sûr, les contre-mesures.
8 article(s) - ajoutée le 13/10/2020
Découvrez les méthodologies d'analyse de la sécurité des terminaux mobiles au travers d'exemples concrets sur Android et iOS.
10 article(s) - ajoutée le 13/10/2020
Vous retrouverez ici un ensemble d'articles sur les usages contemporains de la cryptographie (whitebox, courbes elliptiques, embarqué, post-quantique), qu'il s'agisse de rechercher des vulnérabilités ou simplement comprendre les fondamentaux du domaine.
Voir les 55 listes de lecture

Abonnez-vous maintenant

et profitez de tous les contenus en illimité

Je découvre les offres

Déjà abonné ? Connectez-vous