Chaque domaine a ses « mais ». Ces moments embarrassants exposent souvent une toute autre perspective à l’histoire. Et même si vous pensez que ces moments n’existent pas, ils existent. Essayez de vous en souvenir. Vous avez très certainement rencontré des événements dans votre vie que vous avez perçus différemment en fonction des faits. Par exemple, vous pensiez que lorsque vous retiriez un fichier de la corbeille, il était réellement effacé. Cependant, après un certain temps, vous avez découvert un logiciel de récupération de fichiers. Vous ne le croyez plus. La cryptographie ne fait pas exception dans cette circonstance.

La cryptographie est plus difficile à maîtriser qu’il n’y paraît

La cryptographie est plus sophistiquée qu’il n’y paraît, et tous les programmes de cryptage ne sont pas totalement sûrs. Presque tout programmeur compétent est capable de télécharger le code source d’un chiffrement par blocs (protocole cryptographique). Incluez dans cette liste l’entrée et la sortie du mot de passe pour le texte chiffré généré. Ensuite, qualifiez son innovation d' »outil de chiffrement ». Il est presque certain que le programmeur sera extrêmement mécontent du résultat.

Il existe une loi de Murphy spécifique pour les cryptographes débutants : une ou plusieurs fautes catastrophiques seront presque toujours dissimulées ailleurs dans le processus de cryptage. Il peut s’agir de la production des clés, de l’utilisation d’un générateur de nombres aléatoires ou du calcul des hachages. Un pirate bien informé pourrait facilement découvrir et exploiter la vulnérabilité.

Si vous n’êtes pas convaincu, considérez la rapidité avec laquelle les différents mécanismes de sécurité des jeux échouent. Parfois, ce laps de temps peut être étonnamment court. Contrairement à la croyance populaire, ces défenses utilisent des méthodes de cryptographie. Un pirate bien connu a déjà démantelé un mécanisme de sécurité cryptographique matériel en supprimant simplement le pilote de la carte. Ainsi, développer son propre service de cryptage équivaut à fantasmer sur la possibilité de vaincre Kasparov aux échecs.

Bruce Schneier sur les pièges de la cryptographie

Un système cryptographique n’est aussi sûr que les algorithmes de chiffrement, les algorithmes de signature numérique, les fonctions de hachage à sens unique et les codes d’authentification des messages sur lesquels il repose). Si vous violez l’un d’entre eux, vous avez violé le système. Et, tout comme une construction faible peut être construite à l’aide de matériaux solides, un système cryptographique faible peut être construit en utilisant des algorithmes et des protocoles puissants.

Le simple fait qu’un logiciel de cryptage fonctionne ne signifie pas qu’il est sûr. Ceci est vrai pour la majorité des éléments. Une personne lira la définition de la cryptographie appliquée. Détermine l’algorithme de cryptage à utiliser. Le met en pratique. Il est mis à l’épreuve de nombreuses fois. S’assure qu’il fonctionne. Et c’est sur cette base qu’il présumera que le logiciel est sûr. Or, ce n’est pas le cas.

La quantité n’est pas synonyme de fonctionnalité. En outre, aucune quantité de tests bêta ne révélera jamais une faille de sécurité. Trop de produits ne s’appuient que sur des « mots à la mode ». Ils utilisent des méthodes de cryptage fortes, mais leurs implémentations ne sont pas sûres.

Prenez n’importe lequel des incidents de piratage les plus connus. Il y a de fortes chances qu’il y ait des « mots à la mode » qui ont été préalablement validés par les experts.

Les systèmes d’exploitation sont intrinsèquement défectueux

Les systèmes d’exploitation sont sujets aux pannes : Ils laissent une trace de toutes les données auxquelles vous ou vos opérations avez accédé (à la vue de tous). Le fichier d’échange, les fichiers temporaires, les fichiers d’hibernation et le cache du navigateur sont tous des exemples d’artefacts.

Le service de copie d’ombre de volume de Windows présente un ensemble unique de problèmes. Même si vous supprimez un fichier en toute sécurité après l’avoir crypté, un double propre des versions antérieures du fichier reste sur le système. De plus, même si ces fichiers sont cachés, ils peuvent être facilement découverts et récupérés.

De nombreux outils de cryptage simples cryptent et décodent les données. Certes, certains d’entre eux sont capables de supprimer les fichiers originaux après la fermeture du logiciel, mais ils sont incapables de le faire en toute sécurité (les rendre irrécupérables).

La compression est cryptée. Par exemple, Zip. De tels programmes peuvent être très dangereux. À moins et jusqu’à ce que vous soyez en mesure de créer, d’ouvrir et d’enregistrer des fichiers immédiatement à l’intérieur de l’archive chiffrée, vous laisserez des copies vierges sur votre ordinateur. Et ce sont ces copies que vous devez effacer, et pas seulement supprimer. Après tout, vous savez que les fichiers supprimés ne le sont pas vraiment.

Si vous perdez votre ordinateur, si quelqu’un le vole, ou si quelqu’un de curieux y accède, il est probable qu’il découvre toutes les versions non cryptées de vos données cryptées. Vous pouvez éviter ce problème en utilisant un chiffrement complet du disque. Ainsi, même lorsque l’ordinateur est éteint, tous les échos du système resteront cryptés. En outre, assurez-vous que votre application de cryptage fonctionne à tout moment, et pas seulement lorsqu’elle est visible. Cela implique que le logiciel doit véritablement prendre en charge tous les modes de fonctionnement du système d’exploitation et du matériel.

Tout logiciel de cryptage peut toujours comporter une porte dérobée

Tout logiciel de cryptage peut comporter une porte dérobée. Ces vulnérabilités peuvent être utilisées pour divers objectifs gouvernementaux, tels que la récupération de données ou d’autres objectifs administratifs. Outre la menace d’un accès gouvernemental, il existe un danger plus grave. La réalité est que des acteurs hostiles peuvent simplement identifier ces faiblesses. Et, alors que la plupart du temps, lorsque nous parlons d’agences gouvernementales, nous parlons de quelque chose de grave et de secret qui n’affecterait jamais un utilisateur ordinaire dans la vie réelle, avec un envahisseur, c’est généralement le contraire.

Le cryptage ne protège pas un PC infecté

Les logiciels malveillants constituent un autre danger potentiel. Si vous accédez à vos données via un ordinateur infecté par un logiciel espion, vos données peuvent se retrouver entre les mains d’un envahisseur. Dans cette situation, le cryptage n’est pas en cause et ne sert à rien. La sécurité de votre ordinateur, ou son absence, vous fait défaut.

Le cloud est une fausse bonne idée

La recherche peut être dirigée vers votre ordinateur et/ou votre dispositif de stockage. Il est peut-être préférable que vos données sensibles ne soient presque jamais à proximité de vous. Par exemple, elles peuvent être cryptées et conservées dans le cloud, et leur accès nécessite l’utilisation d’un VPN.

Toutefois, il s’agit d’un piège à double sens. Le cloud est composé des mêmes machines, mais elles sont stockées dans un endroit différent. De plus, elles ont toujours un point d’entrée reconnu.

Supposons que vous possédiez une forme d’artefact. Si son transport est risqué, tout coffre-fort peut être pillé.

Les choses à prendre en compte lors du choix d’un programme de cryptage

En gardant ces faits à l’esprit, voici quelques éléments à prendre en compte lors du choix d’un programme de cryptage :

  1. Les programmes ne doivent pas être en mesure de chiffrer les données à l’aide de leur propre algorithme. Cet algorithme doit faire l’objet d’une évaluation approfondie au fil du temps. La communauté des cryptographes doit avoir mené des études approfondies à son sujet. Bien qu’il soit théoriquement concevable qu’un nouvel algorithme soit beaucoup plus fort que tous les algorithmes actuels, la possibilité que cela se produise est très faible.
  2. Les programmes de cryptage présentés par certains auteurs et exécutés comme « un logiciel étonnant de plus » doivent être considérés avec méfiance. Bien sûr, le cryptage est fascinant, et il existe plusieurs méthodes robustes bien connues. Cependant, une mise en œuvre non maîtrisée est presque certaine de tout endommager. En général, ces logiciels comportent un avertissement indiquant que le programme ne sera pas sûr pour tout le monde, etc.
  3. Faites attention aux logiciels qui ont fait leurs preuves. Idéalement, il ne devrait y avoir aucun incident de piratage sur une période de plusieurs années (causé par le programme lui-même, et non par l’irresponsabilité de l’utilisateur). Même si le nouveau logiciel utilise les méthodes de cryptage les plus avancées et passe une batterie de tests complexes, il est toujours préférable d’utiliser l’ancienne version. Après tout, la nouvelle application n’a pas réussi à passer le test le plus ardu de tous : l’épreuve du temps.
  4. Les logiciels libres sont supérieurs aux logiciels propriétaires. En particulier lorsque les entreprises adoptent activement les logiciels à code source ouvert. L’utilisation continue des logiciels à code source ouvert par les entreprises commerciales démontre la résilience du logiciel. En outre, le code source est accessible pour examen. D’un côté, cela peut sembler peu sûr, mais de l’autre, beaucoup plus de personnes seront à l’affût des failles. Et, s’ils ne parviennent pas à découvrir de faiblesses, vous conviendrez que ce code est beaucoup plus digne de confiance.
  5. Le programme est-il équipé d’une porte dérobée ? Une faille est toujours une faille, et elle sera découverte tôt ou tard.

Le piège pernicieux de la sauvegarde lors du cryptage

En général, les applications de chiffrement qui produisent des conteneurs chiffrés (fichiers contenant des données chiffrées) ne modifient pas la taille du fichier conteneur. Et elles omettent souvent de mettre à jour la propriété « date de modification » malgré le fait que les fichiers qu’il contient ont été mis à jour ou ajoutés. Ceci est fait afin de réfuter le fait que les données ont été modifiées.

D’un côté, ce comportement est raisonnable. Ils tentent de sauvegarder les données. D’un autre côté, ce comportement peut être problématique si vous utilisez une application de sauvegarde. Après tout, l’outil de sauvegarde sera incapable de reconnaître que le fichier conteneur a été modifié et qu’une sauvegarde est nécessaire. Dans le cas d’une sauvegarde incrémentielle, par exemple, un tel fichier conteneur serait dupliqué une seule fois.

TrueCrypt est un exemple de logiciel qui ne modifie pas la date (cela peut être modifié dans les paramètres). Cependant, plusieurs services de sauvegarde dans le nuage, tels que Dropbox, vérifient la valeur de hachage du fichier plutôt que sa date. De plus, si la somme de hachage change, une nouvelle copie est conservée. Il est toutefois important de noter que toutes les applications et tous les services n’utilisent pas les sommes de hachage et d’autres fonctions comparables.