Navigation

Inscrivez-vous gratuitement
pour pouvoir participer, suivre les réponses en temps réel, voter pour les messages, poser vos propres questions et recevoir la newsletter

  1. #1
    Chroniqueur Actualités
    Avatar de Michael Guilloux
    Homme Profil pro
    Consultant
    Inscrit en
    juillet 2013
    Messages
    2 073
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Âge : 28
    Localisation : Côte d'Ivoire

    Informations professionnelles :
    Activité : Consultant
    Secteur : High Tech - Éditeur de logiciels

    Informations forums :
    Inscription : juillet 2013
    Messages : 2 073
    Points : 66 681
    Points
    66 681
    Billets dans le blog
    2

    Par défaut France : les hackers de la gendarmerie auraient une arme secrète contre le chiffrement

    France : les hackers de la gendarmerie auraient une arme secrète contre le chiffrement
    qui serait en service depuis environ un an

    Ces dernières années, le bureau fédéral d'investigation des États-Unis (FBI) n'a cessé de rabâcher haut et fort que le chiffrement est un problème majeur pour les enquêtes criminelles et la sécurité publique, profitant du débat qui est né après l'attaque terroriste de San Bernardino en décembre 2015.

    En début d'année, son directeur, Christopher Wray a soutenu ses déclarations avec le chiffre 7800, qui correspondrait au nombre d'appareils électroniques auxquels les agents du FBI n'ont pas réussi à accéder entre septembre 2016 et septembre 2017, malgré leurs outils informatiques et les autorisations légales qu'ils ont reçues. La solution qu'il a donc proposée est l'introduction de portes dérobées qui pourraient être exploitées, si besoin est, par les forces de l'ordre lors de leurs enquêtes.

    Bien qu'elle soit critiquée, cette idée gagne du terrain et a des partisans, notamment chez les Five Eyes, l'alliance des services de renseignement de l'Australie, du Canada, de la Nouvelle-Zélande, du Royaume-Uni et des États-Unis. Récemment, ces derniers ont d'ailleurs pris position en faveur de l'installation obligatoire de portes dérobées dans les services de messagerie utilisant le chiffrement.

    En France, il y a également un débat latent sur le chiffrement, surtout après les attentats terroristes qu'il y a eu ces dernières années dans le pays. Avec l'Allemagne, la France réfléchissait donc à une solution européenne à ce problème, mais l'ANSSI, le CNNum et la CNIL ont mis en garde. Depuis lors, il y a un silence radio apparent, mais cela ne veut pas dire que la France ne travaille pas pour résoudre le problème que pose le chiffrement dans les enquêtes criminelles. Au contraire, il semble que la France a sa petite arme, d'après les échos d'une visite du ministre de l’Intérieur au pôle judiciaire de la Gendarmerie nationale, le mardi 28 août 2018.


    L'un des outils du département Informatique électronique de l’Institut de recherche criminelle de la gendarmerie nationale

    D'après L'Essor de la gendarmerie nationale, le journal des gendarmes, lors de la visite du ministre, il lui a été brièvement présenté le savoir-faire de l’Institut de recherche criminelle de la gendarmerie nationale (IRCGN) face au chiffrement des données. Les gendarmes disposeraient d'une nouvelle arme qu’ils désignent sous l'appellation de « plateforme de déchiffrement centralisée ». Cette plateforme, qui serait en service depuis environ un an, a été développée par le département INL (Informatique électronique).

    Avec cette plateforme, les enquêteurs de la Gendarmerie peuvent saisir les experts en vue de déchiffrer un fichier chiffré, comme celui d’un téléphone. Mais la Gendarmerie n’en dira pas plus au sujet de sa plateforme de déchiffrement décentralisée. Notons que dans son dernier rapport d'activités publié en mars 2018, elle évoquait également une capacité de déchiffrer les téléphones.


    Source : L'Essor de la gendarmerie nationale

    Et vous ?

    Qu'en pensez-vous ?
    Faut-il encourager les outils de déchiffrement personnalisés au lieu des portes dérobées ?

    Voir aussi :

    Les Five Eyes seraient désormais favorables à l'installation obligatoire de portes dérobées, dans les services de messagerie utilisant le chiffrement
    Apple va améliorer le chiffrement des données sur iPhone, une mesure qui ne plait pas aux forces de l'ordre qui le traitent de complice des criminels
    Limitation du chiffrement : le CNNum et la CNIL invitent à ne pas céder à des solutions de facilité, qui pourraient avoir des conséquences graves
    L'alliance franco-allemande contre le chiffrement appelle à une législation européenne, l'Europe va-t-elle affaiblir le chiffrement ?
    France : l'ANSSI se dit en faveur du chiffrement et contre l'installation de portes dérobées, dans une missive adressée à plusieurs ministères
    Contribuez au club : Corrections, suggestions, critiques, ... : Contactez le service news et Rédigez des actualités

  2. #2
    Nouveau Candidat au Club
    Homme Profil pro
    Historien
    Inscrit en
    mai 2018
    Messages
    404
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Âge : 28
    Localisation : Algérie

    Informations professionnelles :
    Activité : Historien

    Informations forums :
    Inscription : mai 2018
    Messages : 404
    Points : 0
    Points
    0

    Par défaut

    cela ne m'étonne guère de la Nouvelle-Zélande, depuis l'affaire du Rainbow Warrior ou la France ces ridiculisé devant ce pays insignifiant ils ont beaucoup progressé en défense stratégique et ce sont alliées avec leurs alliées naturels

  3. #3
    Membre actif
    Homme Profil pro
    Ingénieur sécurité
    Inscrit en
    avril 2014
    Messages
    124
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Âge : 33
    Localisation : France, Hauts de Seine (Île de France)

    Informations professionnelles :
    Activité : Ingénieur sécurité
    Secteur : Industrie

    Informations forums :
    Inscription : avril 2014
    Messages : 124
    Points : 213
    Points
    213

    Par défaut

    Mon prof de sécurité utilise des clefs de 16 Kbits pour des échanges critiques.
    Franchement cette plateforme de déchiffrement centralisée doit bien lui faire peur

    Tout ça pour dire que tous ces outils (portes dérobées, plateformes de déchiffrement...) sont complètements inutile face à des experts, mais c'est sympa pour choper le dealer de shit du coin.

  4. #4
    Expert éminent
    Avatar de transgohan
    Homme Profil pro
    Développeur Temps réel Embarqué
    Inscrit en
    janvier 2011
    Messages
    2 609
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Localisation : France, Maine et Loire (Pays de la Loire)

    Informations professionnelles :
    Activité : Développeur Temps réel Embarqué

    Informations forums :
    Inscription : janvier 2011
    Messages : 2 609
    Points : 7 394
    Points
    7 394

    Par défaut

    Je ne suis pas trop étonné qu'ils aient ce genre de chose en gendarmerie quand on imagine ce qu'ils doivent avoir à la DGSE ou dans les autres services.
    La gendarmerie doit être bien pauvre par rapport à eux.

    Après la philosophie reste la bonne, mettre des portes dérobées est la porte ouverte à la non sécurité...

    Citation Envoyé par tabouret Voir le message
    Mon prof de sécurité utilise des clefs de 16 Kbits pour des échanges critiques.
    Franchement cette plateforme de déchiffrement centralisée doit bien lui faire peur

    Tout ça pour dire que tous ces outils (portes dérobées, plateformes de déchiffrement...) sont complètements inutile face à des experts, mais c'est sympa pour choper le dealer de shit du coin.
    S'il ne se vante de cela je ne lui ferrai pas confiance en terme de sécurité...
    Ce n'est pas celui qui a la plus grosse clé qui est le mieux protégé.
    D'autant plus que s'il met des temps astronomique pour déchiffrer ses données c'est pas très rentable sauf s'il a du temps à perdre.
    Il ne suffit pas de télécharger l'outil de crytpo le plus hype du moment et de prendre sa conf la plus costaud pour faire du bon travail...

    Dans bon nombre de contexte un RSA1024 a autant de protection qu'un RSA256.
    Après si on parle d'un disque dur chiffré qui se serrait perdu il faut savoir que même avec le chiffrement le plus puissant du monde il ne restera indéfiniment noirci.
    Cela décourage tout au plus le voleur de base ou celui qui n'a pas le temps ou le matériel.
    Toujours se souvenir que la majorité des ennuis viennent de l'espace occupé entre la chaise et l'écran de l'ordinateur.

  5. #5
    Membre du Club Avatar de sitexw
    Homme Profil pro
    Développeur Web
    Inscrit en
    février 2015
    Messages
    29
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Localisation : France

    Informations professionnelles :
    Activité : Développeur Web

    Informations forums :
    Inscription : février 2015
    Messages : 29
    Points : 67
    Points
    67

    Par défaut

    Après, on vas pas se mentir, ce n'est qu'une question de temps avant que l'AES ou le RSA se fasse cassé par un ordinateur quantique avec suffisamment de qbit.. La clé de ton prof restera juste quelques années de plus en vie, le temps que les ordinateurs avec assez de qbit sortent.

    Pour ce qui est du RSA-1024 vs RSA-256, je ne suis pas trop d'accord, on est déjà en capacité (depuis 2010 je crois) de craquer un RSA-768, donc je ne vois pas comment un RSA-256 à une chance de résister..

    Pour ce qui est de nos gendarmes, j'ai bien peur que l'outil exposé soi un simple boîtier exploitant une faille de sécurité sur certains téléphones, avec certaines versions d'OS.. Je pense que l'on est bien loin d'un système généralisé avec un taux de réussite élevé.

  6. #6
    Membre éprouvé
    Homme Profil pro
    Noob
    Inscrit en
    octobre 2009
    Messages
    295
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Localisation : Nouvelle-Zélande

    Informations professionnelles :
    Activité : Noob

    Informations forums :
    Inscription : octobre 2009
    Messages : 295
    Points : 932
    Points
    932

    Par défaut

    Citation Envoyé par ShigruM Voir le message
    cela ne m'étonne guère de la Nouvelle-Zélande, depuis l'affaire du Rainbow Warrior ou la France ces ridiculisé devant ce pays insignifiant ils ont beaucoup progressé en défense stratégique et ce sont alliées avec leurs alliées naturels
    La nouvelle zélande fait parti du commonwealth qui est bien plus ancien que l'affaire du Rainbow Warrior, et même l'alliance sur le renseignement entre les 5 pays du Five Eyes date d'après la seconde guerre mondiale.
    Désolé pour les rétines, clavier QWERTY

  7. #7
    Membre actif
    Homme Profil pro
    Développeur informatique
    Inscrit en
    octobre 2006
    Messages
    123
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Localisation : France

    Informations professionnelles :
    Activité : Développeur informatique

    Informations forums :
    Inscription : octobre 2006
    Messages : 123
    Points : 294
    Points
    294

    Par défaut

    Humm des clefs de cryptages générés avec des informations accessibles probablement, si la date fait partie de l'équation suffit de tester un intervalle d'envoi du fameux message, pour le reste on imagine le numéro IME ou autres, déjà si tu sais comment est généré la clef tu fais un grand pas, l'aléatoire n'existe pas en informatique.

  8. #8
    Membre averti
    Homme Profil pro
    Ingénieur sécurité
    Inscrit en
    mars 2014
    Messages
    149
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Âge : 23
    Localisation : France

    Informations professionnelles :
    Activité : Ingénieur sécurité

    Informations forums :
    Inscription : mars 2014
    Messages : 149
    Points : 363
    Points
    363

    Par défaut

    Ca fait du bien de rire de bon matin ^^

    pour la photo il s'agit de deux intel NUC pour ceux qui se demande ^^
    Citation Envoyé par sitexw
    Pour ce qui est de nos gendarmes, j'ai bien peur que l'outil exposé soi un simple boîtier exploitant une faille de sécurité sur certains téléphones, avec certaines versions d'OS.. Je pense que l'on est bien loin d'un système généralisé avec un taux de réussite élevé.
    je pense que tu as raison l'utilisation d'un NUC plus adaptateur micro-usb semble être fortement lié as un outil qui exploite un faille ADB

    « plateforme de déchiffrement centralisée »
    oui c'est juste un supercalculateur dédié aux bruteforce (bon ils doivent pas être con et ils utilisent sûrement des attaques hybrides (ataque par dico + rules)). Et pour info il y as quatre ans j'avais vue un post sur comment casser pas mal de mot de passe en utilisant les serveurs d'amazon qui sont payé à l'utilisation, ce qui permettait à l’époque de casser des pass à 12 caractère en 30 min pour une 50€ environ. Donc de nos jours je laisse imaginer

    par contre le titre est magique
    si on veux un vrai titre non-putaclic ça donnerais "les agents de la gendarmerie disposent d'outils pour casser le chiffrement"
    on peut potentiellement rajouter "dont des exploits et un serveur centralisé de déchiffrement" mais il n'y as pas de preuves juste des intuitions.

  9. #9
    Membre habitué Avatar de pascaldm
    Profil pro
    Expert sécurité informatique
    Inscrit en
    février 2013
    Messages
    36
    Détails du profil
    Informations personnelles :
    Localisation : France, Paris (Île de France)

    Informations professionnelles :
    Activité : Expert sécurité informatique
    Secteur : High Tech - Opérateur de télécommunications

    Informations forums :
    Inscription : février 2013
    Messages : 36
    Points : 150
    Points
    150

    Par défaut

    Pour ce qui est de l'usage d'un ordinateur quantique pour casser la crypto, voici un post qui fait un statut sur la cryptanalyse quantique https://www.developpez.net/forums/d1...s/#post9595692

    Sinon, effectivement, aujourd'hui une clef RSA de 256-bit se casse avec un peu de ressource ou du temps par simple recherche des facteurs premiers du module RSA. Bernstein (https://cr.yp.to) propose une implémentation en C appelé Fastgcd très efficace pour calculer le PGCD d'un produit de facteurs premiers. Une clef RSA doit être de 2048-bit minimum aujourd'hui.

    Par contre casser des mots de passe de 12 caractères en 30 minutes en force brute me fait sourire , à moins d'avoir des mots de passe vraiment faibles, mais dans ce cas on a pas besoin de recourir au cloud AWS d'Amazon pour du cluster de GPU à la demande, un simple PC suffit et une attaque par dictionnaire. Avec une politique de mots de passe associée à un alphabet de symboles incluant majuscules, minuscules, chiffres et caractères spéciaux cela devient irréalisable actuellement pour des mots de passe de plus de 8 caractères. Les méthodes utilisées dans une attaque par dictionnaire requiert un bon dico et des règles de mutation des mots de passe candidats pertinentes. Cela se constitue avec le temps et de l'expérience. Sinon, les compromis temps/mémoire (tables Rainbow) ont eu leurs succès jusqu'au cassage du chiffrement GSM (A5/1). Les meilleures techniques aujourd'hui s'appuient sur une approche probabiliste, comme par exemple les chaînes de Markov. Elles deviennent des alternatives à considérer mais cela aussi ne s'improvise pas. Pour la robustesse, ce qui compte le plus n'est pas la complexité mais la taille du mot de passe.

    Enfin, pour ce qui concerne le savoir faire de l'IRCGN, comme ils l'expliquent eux-mêmes, il s'agit de rétro-ingénierie matérielle et logicielle qui permettent d'obtenir des angles attaques réduisant la complexité initiale. De nombreux utilisateurs de smartphone utilisent peu de caractères/mouvements (parfois seulement 4). Un des premiers problèmes est de contourner les protections retardant ou verrouillant les smartphones en cas de nombreux essais infructueux. Ensuite, plusieurs stratégies sont envisageables selon les avancées réalisées en reverse engineering. A titre d'exemple, lire mon post au sujet du travail de Sergei Skorobogatov relatif à l'iPhone de San Bernadino ayant opposé le FBI et Apple https://www.developpez.net/forums/d1...o/#post8749357

    En conclusion, l'IRCGN dispose de chercheurs compétents dans plusieurs domaines scientifiques, ils publient des articles et participent à des projets de recherche internationaux. Ayant eu des contacts avec eux, je sais que ce sont des passionnés compétents. Je les prends personnellement très au sérieux !

  10. #10
    Membre actif
    Homme Profil pro
    Ingénieur sécurité
    Inscrit en
    avril 2014
    Messages
    124
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Âge : 33
    Localisation : France, Hauts de Seine (Île de France)

    Informations professionnelles :
    Activité : Ingénieur sécurité
    Secteur : Industrie

    Informations forums :
    Inscription : avril 2014
    Messages : 124
    Points : 213
    Points
    213

    Par défaut

    Citation Envoyé par transgohan Voir le message
    S'il ne se vante de cela je ne lui ferrai pas confiance en terme de sécurité...
    Ce n'est pas celui qui a la plus grosse clé qui est le mieux protégé.
    D'autant plus que s'il met des temps astronomique pour déchiffrer ses données c'est pas très rentable sauf s'il a du temps à perdre.
    Il ne suffit pas de télécharger l'outil de crytpo le plus hype du moment et de prendre sa conf la plus costaud pour faire du bon travail...

    Dans bon nombre de contexte un RSA1024 a autant de protection qu'un RSA256.
    Avec une clef de 16 k c'est sur que tu ne vas pas faire du streaming mais pour des échanges textes ça ne prend pas masse de temps non plus à déchiffrer.
    Une plus grosse clef te protège bien plus c'est un fait mathématique et tu te doute bien que s'il utilise ce genre de clef, il fait très attention aussi au reste de la sécurité (double authentification, SE Linux, IDS/SIEM, des bons algos de hash/chiffrement etc..)

    Je compare souvent une infiltration de hacker (ou exfiltration de données) à une salle de bain : normalement si tu as bien jointoyer chaque millimètre carré, tu n'aura aucune fuite.

    Ha oui et dans quel contexte un RSA 1024 offre autant de protection qu'un RSA 256 par curiosité?

  11. #11
    Membre du Club Avatar de sitexw
    Homme Profil pro
    Développeur Web
    Inscrit en
    février 2015
    Messages
    29
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Localisation : France

    Informations professionnelles :
    Activité : Développeur Web

    Informations forums :
    Inscription : février 2015
    Messages : 29
    Points : 67
    Points
    67

    Par défaut

    Citation Envoyé par tabouret Voir le message
    Ha oui et dans quel contexte un RSA 1024 offre autant de protection qu'un RSA 256 par curiosité?
    Dans le cas où la 1024 bits est stocké sur une clé usb sur ton bureau avec écrit dessus "clé de chiffrement pour compte bancaire" et la 256 bits qui est aussi stocké sur une usb, mais dans un tiroir sous clé et avec écrit "saison 4 des télétubbies" ^^

  12. #12
    Membre actif
    Homme Profil pro
    Ingénieur sécurité
    Inscrit en
    avril 2014
    Messages
    124
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Âge : 33
    Localisation : France, Hauts de Seine (Île de France)

    Informations professionnelles :
    Activité : Ingénieur sécurité
    Secteur : Industrie

    Informations forums :
    Inscription : avril 2014
    Messages : 124
    Points : 213
    Points
    213

    Par défaut

    Dans le cas où la 1024 bits est stocké sur une clé usb sur ton bureau avec écrit dessus "clé de chiffrement pour compte bancaire" et la 256 bits qui est aussi stocké sur une usb, mais dans un tiroir sous clé et avec écrit "saison 4 des télétubbies" ^^
    Oui bon.... ni l'un ni l'autre ne sont le genre de la maison quand même.

  13. #13
    Expert éminent
    Avatar de transgohan
    Homme Profil pro
    Développeur Temps réel Embarqué
    Inscrit en
    janvier 2011
    Messages
    2 609
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Localisation : France, Maine et Loire (Pays de la Loire)

    Informations professionnelles :
    Activité : Développeur Temps réel Embarqué

    Informations forums :
    Inscription : janvier 2011
    Messages : 2 609
    Points : 7 394
    Points
    7 394

    Par défaut

    Citation Envoyé par tabouret Voir le message
    Je compare souvent une infiltration de hacker (ou exfiltration de données) à une salle de bain : normalement si tu as bien jointoyer chaque millimètre carré, tu n'aura aucune fuite.
    S'il utilise sa clé 16k pour dialoguer avec un ami du prochain weekend barbecue c'est comparable à passer trois mois à réparer ta baignoire qui a un trou de 2cm de diamètre.
    Ou si tu préfères une autre analogie : utiliser un bulldozer pour enfoncer un clou dans un mur.

    La sécurité on l'utilise de façon mesurée.
    Faire de la sur-sécurité est une faille en soit, surtout dans les échanges humains car il y en a toujours un qui va finir par en avoir marre de devoir mettre en œuvre autant de protection pour des absurdités.

    C'est un peu comme si ta soeur te disait que désormais si tu voulais lui envoyer des SMS pour avoir des nouvelles de ton neveu elle ne te répondrait que si tu passait par une application chiffrée comme Signal ou autre. J'ai envie de dire... Faut vraiment rien comprendre à la sécurité pour être dans ce genre de situation...

    C'est dans ce sens que je remettais en question les compétences de ton professeur.
    Toujours se souvenir que la majorité des ennuis viennent de l'espace occupé entre la chaise et l'écran de l'ordinateur.

  14. #14
    Membre actif
    Homme Profil pro
    Ingénieur sécurité
    Inscrit en
    avril 2014
    Messages
    124
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Âge : 33
    Localisation : France, Hauts de Seine (Île de France)

    Informations professionnelles :
    Activité : Ingénieur sécurité
    Secteur : Industrie

    Informations forums :
    Inscription : avril 2014
    Messages : 124
    Points : 213
    Points
    213

    Par défaut

    S'il utilise sa clé 16k pour dialoguer avec un ami du prochain weekend barbecue c'est comparable à passer trois mois à réparer ta baignoire qui a un trou de 2cm de diamètre.
    Ou si tu préfères une autre analogie : utiliser un bulldozer pour enfoncer un clou dans un mur.
    C'est surtout comparable à bétonner ce trou mettre une ou deux couches d'imperméabilisant et jointoyer à l'epoxy.

    La sécurité on l'utilise de façon mesurée.
    Faire de la sur-sécurité est une faille en soit, surtout dans les échanges humains car il y en a toujours un qui va finir par en avoir marre de devoir mettre en œuvre autant de protection pour des absurdités.
    Oulala je ne sais pas ou tu bosses mais jamais de la vie je n'utiliserais la sécurité de manière mesurée.D'ailleurs c'est simple je pars du postulat que chaque employé est un traître en soi et j'adapte l'infrastructure en conséquence, c'est transparent pour l'utilisateur.
    Faire de la sur-sécurité n'a jamais été une faille en soit quand on sait ce que l'on fait, et ce n'est pas à l'utilisateur de mettre en oeuvre la protection mais à l'ingé sécurité/ administrateur système quand il s'y connait.

    C'est un peu comme si ta soeur te disait que désormais si tu voulais lui envoyer des SMS pour avoir des nouvelles de ton neveu elle ne te répondrait que si tu passait par une application chiffrée comme Signal ou autre. J'ai envie de dire... Faut vraiment rien comprendre à la sécurité pour être dans ce genre de situation...

    C'est dans ce sens que je remettais en question les compétences de ton professeur.
    Tu remet les compétences de mon professeur c'est mignon niveau compétence en sécurité je ne connais pas ton niveau mais j'espère que ta un gros bagage derrière toi pour affirmer ce genre de chose.

    D'ailleurs j'ajouterais que c'est pour cette raison que c'est aussi simple de pirater des serveurs en France : quand on parle sécurité avec des ingés systèmes et réseaux, ils ont à peu prêt le même discours que toi, me disent que je pousse beaucoup la sécurité à son maximum simplement quand ils reviennent me voir pour une fuite de données la forcément on obtient plus le même discours...

    [Edit]
    Après je comprends que la sécurité demande un certain niveau d'expertise et que les ingés ne veulent pas forcément prendre le temps de se former à ce genre de pratiques contraignantes.
    Tout est une question de compromis je ne prendrais jamais des clefs de 16 k en entreprise il faut rester réaliste par contre pour des échanges sur certain sujets avec mon ex prof, forcément des clefs de 16 k seront de mise.

  15. #15
    Membre du Club Avatar de sitexw
    Homme Profil pro
    Développeur Web
    Inscrit en
    février 2015
    Messages
    29
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Localisation : France

    Informations professionnelles :
    Activité : Développeur Web

    Informations forums :
    Inscription : février 2015
    Messages : 29
    Points : 67
    Points
    67

    Par défaut

    Tabouret, tu pense de façon trop binaire. Transgohan explique simplement que trop de sécurité tue la sécurité. Oui mathématiquement parlant, une clé 16k est plus résistante qu'une clé 2k, mais si les contraintes d'utilisation sont trop lourdes pour un utilisateur lambda, c'est bien toi, l'ingénieur en sécurité, qui va transformer ton utilisateur en traître.
    Pourquoi ? Car tu lui impose des complications trop importantes (ce n'est qu'un exemple) mais si à cause de la clé 16k, ton fichier est 8 fois plus long a crypté, 8 fois plus lourd à envoyer et enfin 8 fois plus long a décrypter, le risque est que l'utilisateur se dise : ho, c'est qu'un petit truc, je vais l'envoyer par mail rapidement puis l'effacer... Bim, tu viens toi même de l'inciter à ce transformer en traître.
    Et au final, qui est le vrai traître ? Celui qui a dérogé à la règle pour se rendre la vie plus simple ? Ou celui qui met en place des systèmes trop complexes et peut pratique pour augmenter le risque que l'utilisateur déroge à la règle ?
    Tous ce que je raconte est un peut tiré par les cheveux, mais l'idée est quand même là. Dans les 2 cas, t'es données ne peuvent être décrypté dans les 20 prochaines années, mais dans l'un, il y a eu une faille.

    (Transgohan, on est très synchrone sur les posts ^^ 20s de décalage)

  16. #16
    Expert éminent
    Avatar de transgohan
    Homme Profil pro
    Développeur Temps réel Embarqué
    Inscrit en
    janvier 2011
    Messages
    2 609
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Localisation : France, Maine et Loire (Pays de la Loire)

    Informations professionnelles :
    Activité : Développeur Temps réel Embarqué

    Informations forums :
    Inscription : janvier 2011
    Messages : 2 609
    Points : 7 394
    Points
    7 394

    Par défaut

    Je suis d'accord avec toi et en même temps pas d'accord.
    La sécurité mesurée c'est de ne pas livrer une usine à gaz de sécurité (je ne dis pas qu'elle fait n'importe quoi, je dis qu'elle n'est pas adaptée) à un client qui n'en a pas besoin.

    J'utilise par exemple un ordinateur qui met presque 7 minutes à s'éteindre à cause des effacements sécurisés de la mémoire et du chiffrement des partitions auquel j'ajoute 3 minutes pour aller ranger le disque dur extractible dans un double coffre, mais parce que mon métier le nécessite.
    Par contre... Tu te vois livrer cela à un client qui demande un PC pour sa secrétaire de projet ?
    Tu vas certes lui livrer un PC avec de la sécurité, mais c'est pas du tout du même niveau.

    Faire de la sécurité par l'excès c'est de la paranoïa qui laisserait à penser qu'on ne connait pas très bien le domaine.
    Quand tu travailles sur des choses très confidentielles c'est normal d'avoir de la sécurité dans tous les coins de cercle, mais pour un autre métier cela n'est pas forcément nécessaire.
    C'est une question de risque par rapport au coût de la solution de sécurité. Plus le risque est grand plus le coût adéquat augmente.
    Mais tu ne sécurises pas un risque qui coûterait 10 000€ à une entreprise par une solution de sécurité à 500k€... C'est du vol et de l'incompétence (bon sauf pour le commercial ! ) pur et simple.
    Toujours se souvenir que la majorité des ennuis viennent de l'espace occupé entre la chaise et l'écran de l'ordinateur.

  17. #17
    Membre actif
    Homme Profil pro
    Ingénieur sécurité
    Inscrit en
    avril 2014
    Messages
    124
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Âge : 33
    Localisation : France, Hauts de Seine (Île de France)

    Informations professionnelles :
    Activité : Ingénieur sécurité
    Secteur : Industrie

    Informations forums :
    Inscription : avril 2014
    Messages : 124
    Points : 213
    Points
    213

    Par défaut

    Faire de la sécurité par l'excès c'est de la paranoïa qui laisserait à penser qu'on ne connait pas très bien le domaine.
    Quand tu travailles sur des choses très confidentielles c'est normal d'avoir de la sécurité dans tous les coins de cercle, mais pour un autre métier cela n'est pas forcément nécessaire.
    C'est une question de risque par rapport au coût de la solution de sécurité. Plus le risque est grand plus le coût adéquat augmente.
    Mais tu ne sécurises pas un risque qui coûterait 10 000€ à une entreprise par une solution de sécurité à 500k€... C'est du vol et de l'incompétence (bon sauf pour le commercial ! ) pur et simple.
    Je te rejoins totalement j'ai certainement du mal m'exprimer : le PC de la secrétaire ou ce qui se passe en DMZ (bon même si je laisse le couple IDS/Firewall) techniquement je m'en fiche royalement, mon raisonnement est valable uniquement pour la partie sensible de l'infrastructure et encore quand ils en ont l'envie et un peu de moyens.
    Par exemple mettre en place un VPN, activer la double authentification, mettre un bastion SSH ou désactiver le root login en SSH ils vont te dire pas de problème mais quand tu leur parle SE Linux ou autre la ça devient vite assez contraignant pour eux.

    Dans la sécurité tout est un compromis entre la sécurité et les coûts et la partie contraignante pour les ingés.

    En fait pour en revenir au sujet je disais juste que du brute force (que ce soit brut ou par dicos, pattern, tables rainbow..) sur du chiffrement assez fort ou des portes dérobées ne serviront à rien si ce n'est à chopper le dealer de shit du coin

Discussions similaires

  1. Les cinq pays membres des Five Eyes s'allient contre le chiffrement
    Par Christian Olivier dans le forum Sécurité
    Réponses: 24
    Dernier message: 09/09/2018, 00h42
  2. Les médias, une cible de choix pour les hackers ?
    Par Stéphane le calme dans le forum Sécurité
    Réponses: 0
    Dernier message: 30/03/2014, 17h03
  3. Réponses: 16
    Dernier message: 05/07/2013, 01h38
  4. Réponses: 8
    Dernier message: 05/10/2009, 16h06
  5. Réponses: 5
    Dernier message: 25/09/2009, 18h32

Partager

Partager
  • Envoyer la discussion sur Viadeo
  • Envoyer la discussion sur Twitter
  • Envoyer la discussion sur Google
  • Envoyer la discussion sur Facebook
  • Envoyer la discussion sur Digg
  • Envoyer la discussion sur Delicious
  • Envoyer la discussion sur MySpace
  • Envoyer la discussion sur Yahoo