Beaucoup d’entre vous répondront très certainement par l’affirmative à cette question. L’idée est que l’utilisation de logiciels cryptographiques sécurise vos données. Les personnes peu sensibilisées à la cybersécurité pensent parfois que si un adversaire de taille, tel qu’une agence gouvernementale, a besoin de vos informations, il craquera tout cryptage. Ceux qui ont un peu plus de connaissances en matière de SI rient souvent de cette supposition. Cependant, analysons qui a raison.

Je vais tenter d’exposer les dangers du cryptage dans cet article, ainsi que la manière de décrypter les données cryptées. Bien que ce billet soit basé sur des informations courantes et ne contienne aucun secret, il est facile de comprendre comment votre sécurité peut être mise en péril et à quelle vitesse des choses que l’on croit indestructibles peuvent voler en éclats. Par conséquent, examinons rapidement les nombreuses méthodes d’attaque des données cryptées.

Le piratage des systèmes de cryptage ou une attaque directe contre les algorithmes de cryptage

Tout le monde sait qu’il n’existe pas de crypto-algorithmes totalement sûrs, à l’exception du one-time pad. Toutes les techniques cryptographiques connues à ce jour sont basées sur l’ignorance et non sur la connaissance. Bien que personne n’ait été en mesure de vérifier mathématiquement la force d’un chiffre, la majorité des chiffres jamais développés ont pu démontrer leur inviolabilité. Un chiffre fort est un chiffre qui n’a pas encore été craqué de manière pratique.

Toutefois, l’absence de technique ne signifie pas qu’une technique ne sera jamais trouvée, bien que les chances de craquage au cours de la prochaine décennie soient faibles pour les chiffres bien étudiés. Il existe certaines spéculations selon lesquelles la NSA dispose d’outils de cryptanalyse qui ne sont pas largement reconnus, mais ce n’est qu’un ouï-dire. Il n’existe aucune preuve à l’appui de cette affirmation. Il ne faut cependant pas présumer que les données cryptées maintenant ne seront jamais décryptées. Je pense que les données peuvent être catégorisées pour un maximum de 10-20 ans. Vous devez comprendre et vous souvenir de cela.

À l’heure actuelle, la seule façon d’attaquer des crypto-algorithmes puissants est de tester toutes les variations de clés imaginables. Dans l’état actuel de la technologie, une clé de 64 bits est théoriquement réalisable, tout comme une clé de 70 bits. La longueur minimale d’une clé sécurisée est de 80 bits. Pour obtenir le même degré de sécurité avec un ordinateur quantique, la longueur de la clé pour les chiffres symétriques doit être doublée. En outre, vous devez garantir que votre mot de passe est au moins aussi sûr que l’espace clé de la technique de cryptage que vous utilisez, sinon les données peuvent être divulguées par force brute.

En conclusion, bien que les attaques par force brute soient peu probables, elles ne doivent pas être exclues. Les crypto-algorithmes dont les clés sont inférieures à 256 bits ne sont pas non plus adaptés à l’utilisation, et les clés plus longues n’ont guère de sens.

Applications cryptographiques incorrectement mises en œuvre

Même la technique cryptographique la plus robuste peut être rendue inefficace si elle est construite ou utilisée de manière incorrecte.

Les erreurs et les mauvais usages cryptographiques sont une maladie des logiciels privés. Microsoft est particulièrement célèbre pour cela. Presque toutes les solutions cryptographiques qu’elle a développées étaient truffées de défauts majeurs et étaient souvent trivialement piratables.

En dehors des défauts, les produits cryptographiques matériels et logiciels propriétaires peuvent présenter des défauts délibérés ou leur fabricant peut carrément déformer leurs caractéristiques.

Nous pouvons en déduire que vous ne devez jamais croire un fabricant sur parole. Exigez toujours une vérification de ses déclarations et vérifiez-les par vous-même, ou demandez l’avis d’un professionnel si vous n’avez pas les qualifications nécessaires.

L’un des risques les plus graves est l’infection par un logiciel malveillant

Si vous utilisez un logiciel de cryptographie approprié, vous pouvez éviter les problèmes indiqués ci-dessus, mais pas totalement. L’un des risques les plus graves est l’infection par un logiciel malveillant, qui peut s’emparer des mots de passe, des clés de chiffrement, voire des données elles-mêmes. La défense contre les logiciels malveillants est un vaste sujet, et je ne l’aborderai pas en détail ici.

Gardez cependant à l’esprit que vous devez empêcher tout logiciel non fiable de pénétrer dans votre système. Sinon, le cryptage est complètement illogique. Si vous traitez des données très sensibles, il est recommandé de le faire sur une machine qui n’est pas reliée à Internet et de n’y conserver que le strict minimum de logiciels.

Attaques sur le système physique ou accès direct au système

Les agressions physiques nécessitent toujours un accès physique direct au système ou une surveillance de celui-ci. La mise sur écoute est envisageable, notamment dans le cas de l’observation à distance. Il existe une technologie qui permet de lire une image de votre écran à des centaines de mètres de distance. Il est possible de lire votre saisie au clavier en écoutant le son de vos frappes, qui peut être capté par un mouchard ou un microphone laser.

En outre, une personne malveillante ayant un accès physique à votre machine peut installer un mouchard logiciel ou un enregistreur de frappe matériel. Les clés de chiffrement et les données sensibles peuvent être lues à partir de la mémoire d’un ordinateur selon diverses méthodes, notamment en gelant et en déplaçant les modules de mémoire ou en attachant un lecteur aux bus de l’ordinateur. Il est également possible d’accéder au contenu de la mémoire par le biais de certaines interfaces externes, telles que Firewire, en utilisant un ordinateur portable classique.

Un conseil important lié à votre appareil contenant les données cryptées

Un intrus ne doit jamais avoir physiquement accès à une machine sous tension qui contient des données sensibles. Sinon, tout type de cryptage pourrait être facilement piraté. La sécurité physique doit toujours être prise en compte lors de l’organisation de données sensibles. Il est souhaitable de disposer d’une pièce dédiée, exempte de fuites électromagnétiques, sans fenêtres, insonorisée, équipée de dispositifs de brouillage radioélectrique et garantie par des portes en fer solides. Cette pièce doit être gardée, et son accès contrôlé par un système de contrôle d’accès.

Le contrôle d’accès doit être redondant, ce qui signifie que des serrures mécaniques et électroniques doivent être utilisées simultanément, et qu’un gardien doit être installé. Si cela n’est pas possible, il faut au moins envisager un système de détection des accès non autorisés et une méthode permettant de découvrir les compartiments cachés. Il ne s’agit pas de paranoïa irrationnelle, mais de la nécessité de protéger vos données contre un adversaire redoutable. Je vous recommande de réfléchir sérieusement à ce qui précède.

Conclusion

Comme vous pouvez le constater, il existe plusieurs techniques viables pour décrypter des données. La liste n’est en aucun cas exhaustive. J’ai spécifiquement évité de mentionner la populaire technique de « cryptanalyse thermorectale », ainsi que les nombreux risques liés à l’erreur humaine. Plus nous en apprenons sur les SI, plus notre impuissance devient évidente.

Par conséquent, n’oubliez pas que la sécurisation des données sensibles ne doit pas se limiter au cryptage ; il est essentiel de ne pas négliger la sécurité physique et les mesures de protection organisationnelles. Néanmoins, ce qui précède n’élimine pas la nécessité du cryptage, car son utilisation augmente le coût pour l’attaquant dans tous les scénarios.