Category Archives: Non classé

Stéganographie et cryptographie dans l’antiquité romaine

| 2016-02-10 | Non classé

J’ai eu le plaisir aujourd’hui de tomber par hasard sur les 7ème et 8ème feuillets des Folia Electronica Classica de la faculté de Philosophie et Lettre de l’UCL. Ces deux feuillets sont consacrée à la reproduction du mémoire de Brigitte Collard, Licenciée en langues et littératures classiques, ayant pour titre « Les langages secrets. Cryptographie, stéganographie et autres cryptosystèmes dans l’Antiquité gréco-romaine ».

Ce document qui n’est plus tout récent (2004) reste néanmoins fort intéressant (les connaissances historiques n’évoluent pas trop vite en général) pour ceux qui veulent aller un peu plus loin que le chiffre de César ou les messages tatoués sur les cranes des serviteurs qui sont si souvent mentionnés comme étant aux origines de la cryptographie et de la stéganographie. D’autant que si la technique à bien évoluée depuis l’antiquité, les principes restent les même et les recettes d’antan pourraient très bien être légèrement améliorées pour s’adapter au contexte actuel. Imaginez la quantité d’information que l’on peut transporter sur une carte micro SD de 64 GB attachée à un pigeon voyageur sans risquer de se faire intercepter à la douane ou tracer sur Internet.

Négliger l’histoire, c’est refuser de tirer des leçons du passé et se vouer à répéter ses erreurs. Je vous invite donc à lire ce travail très intéressant et agréable à lire de Brigitte Collard: La Cryptographie et la stéganographie et les signaux.

Bonne lecture

Crélan victime d’une fraude de 70 millions EUR par ingénierie sociale?

| 2016-01-26 | Non classé

Le 19 janvier 2016 la presse belge a révélé que la banque belge Crélan aurait été victime d’une fraude à hauteur de 70 millions d’Euro. Bien que le journal l’Echo ne donne pas énormément de detail sur le sujet, De Morgen cite des sources qui mentionnent une fraude utilisant de l’ingéniérie sociale via des emails. Il semblerait que les fraudeurs auraient envoyés des emails qui proviendraient prétendument du CEO de la banque, demandant à certains employés d’effectuer des virements aux montants importants vers des comptes externes à la banque.

Ce genre d’attaque est relativement simple et peu coûteuse à mettre en oeuvre et ne peut réussir que si une série de conditions sont rencontrées:

  • Au niveau de la gouvernance et des processus, une faille dans les processus de contrôle interne qui permet à une seule personne d’effectuer des virements sans avoir une validation formelle préalable;
  • Au niveau technique, un système qui permet de recevoir de l’extérieur des emails qui peuvent sembler provenir de l’intérieur de l’entreprise, et encore plus de son CEO;
  • Au niveau humain, un manqué de sensibilisation et de formation aux techniques d’ingéniérie sociale qui permet d’abuser de la bonne volonté et de la crédulité du personnel de la banque.

Comme d’habiture, on retrouve la trilogie Personnes-Processus-Technologie dans les risques identifies. Cela nous rappelle une fois de plus la nécessité d’une approche « holistique » de la sécurité tenant compte de tous les facteurs de risques et surtout de la partie trop souvent négligée qui est le facteur humain. N’oublions jamais que les processus ne sont efficaces que si les personnes qui les opèrent les suivent correctement. De même pour la technologie qui est toujours configurée et gérée par des êtres humains qui peuvent être facilement manipulés, voire même menacés.

Trop souvent la sécurité de l’information est vue comme une problématique technique alors qu’il s’agit réellement d’une problématique profondément intriquée dans les processus de l’entreprise et dans ses forces vives.

Doit-on revoir les standards de protocoles cryptographiques avec l’arrivée du D-Wave X2?

| 2015-12-13 | Non classé

Google et la NASA auraient travaillé ensemble sur un exemplaire de l’ordinateur quantique X2 de la société Canadienne D-Wave system (www.dwavesys.com) et réussi à effectuer des opérations mathématiques compliquées 100 millions de foix plus rapidement qu’un ordinateur conventionnel ou 3600 fois plus vite qu’un supercalculateur, prouvant ainsi la réalité du caractère quantique du processeur de D-Wave (dont la réalité était fréquemment remise en cause par la communauté scientifique).

Si ces résultats sont confirmés, cela signifie que l’on rentre de plein pieds dans l’ère des ordinateurs quantiques exploitables, mettant ainsi à mal notre utilisation de certains protocoles cryptographiques.

En effet le mode de fonctionnement des ordinateurs quantiques permettrait (ça reste à démontrer concrètement) de développer des algorithmes de cryptanalyse optimalisés qui exploiteraient toute la puissances des processeurs à 128 ou 1000 qubits et qui permettraient donc de casser des clés cryptographiques en quelques jours (voir quelques heures) là où les systèmes actuels sont réputés prendre des centaines d’années.

Doit-on pour autant revoir nos standards cryptographiques? Dans la grande majorité des cas, nous pouvons encore attendre quelques années. En effet, un D-Wave X2 coûterait environ 15 millions de dollars US. Ce n’est pas vraiment à la portée du premier hacker venu. Bien que vu les montants en jeu globalement sur le marché de la cybercriminalité mondiale, on peux imaginer que certaines organisations criminelles pourraient se rassembler pour acquérir une machine similaire (ou simplement voler les plans de celle-ci) et fournir des services de déchiffrages (en mode Crime as a Service).

Quoi qu’il en soit, ce ne sera de toutes manières pas bon marché avant quelques années, pour ne pas dire quelques décennies. Donc, à moins que les secrets que vous devez encrypter ne valent des millions d’Euro, un chiffrement utilisant AES 256 et des clés asymétriques sur les courbes elliptiques devraient encore pouvoir protéger vos petits secrets pendants quelques temps (enfin, jusqu’à preuve du contraire). Si vos secrets valent plusieurs dizaines de millions d’Euro ou même quelques milliards d’Euro, il ne serait pas inutile de constituer un petit groupe de travail pour analyser les progrès accomplis ces dernières années et d’estimer la résistance de vos protocoles cryptographiques à la lumière de ces nouveaux développements. Vous pourriez aussi en profiter pour regarder de plus près les travaux sur la cryptographie  à base de réseaux euclidiens qui serait résistante aux ordinateurs quantiques.

Références: