Journal Chiffrement : on est vraiment des petits joueurs

Posté par  (Mastodon) . Licence CC By‑SA.
52
2
sept.
2024

Salut les moule·e·s,

Je suis en train de relire le super livre de Simon Singh "Histoire des Codes Secrets" (de l'Égypte des pharaons à l'ordinateur quantique).

Le 4e de couverture dit que "il se lit comme un polar" et c'est vrai, c'est clairement l'Histoire qui est mise en avant, et on se détourne par la technique de chiffrement et surtout de décryptage. La guerre à distance des cryptanalystes est passionnante, et ce à toutes les époques. À chaque étape de la complication des méthodes de chiffrement, on nous explique qui a mis au point la méthode, et dans quelles circonstances, qques années… ou parfois même qques siècles plus tard on a réussi à la casser et comment (il y a des exercices).

Mais revenons à nos "on est vraiment des petits joueurs".

En le relisant je me suis rendu compte qu'il y a un aspect qui m'avait complètement échappé jusqu'ici. En effet, on se doute que "de tous temps les hommes" ont voulu garder secret leur correspondance blablabla, et que surtout pour des fins stratégiques (la guerre quoi) on a rapidement chiffré des informations. Mais il y a eu plusieurs périodes où les gens "normaux" avaient pour habitude de chiffrer une partie de leur correspondance. Et ça… bin c'est complètement perdu comme culture en fait.

Par exemple au XVIIe siècle, quand un gentil-homme faisait la cour à une gente-dame via des mots transférés par leurs servants, ils chiffraient. Alors certes c'était un chiffre assez simple (le chiffre de César, où l'on décale l'alphabet d'un certain nombre de lettres) mais largement suffisant pour que le servant en question ne soit pas trop indiscret.

Beaucoup plus récemment, quand le télégraphe a été popularisé, on s'est vite rendu compte que le message à transmettre était lu par une demi-douzaine d'employés du service. Entre les guichetiers et les opérateurs, tout le monde avait un œil sur le message envoyé. Là encore, très vite les entreprises et même certains particuliers ont commencé à chiffrer leur correspondance afin de garder un minimum de confidentialité dans leur correspondance. Selon le besoin le chiffre était plus ou moins fort.

Enfin, mais là on est dans le militaire, la TSF a rendu le chiffrement strictement obligatoire : en effet c'est pratique de communiquer à distance avec n'importe quelle troupe sur le champ de bataille, mais l'ennemi capte tout autant que vous la communication. La mauvaise qualité du chiffre Allemand est en partie la raison de leur défaite lors de la première guerre mondiale.

Mais oui, les "gens normaux" ont pas mal chiffré dans l'Histoire. Certes, peut-être pas le paysan à peine lettré, mais ce qu'on considère aujourd'hui presque comme un signe de malfaisance a été quasiment la norme autrefois. La technique nous aide grandement aujourd'hui avec des outils qui chiffrent "dans notre dos", mais je pense que nous avons clairement perdu cette notion toute simple de communiquer discrètement.

Voilà c'était une réflexion générale, mais surtout au passage une mise en lumière d'un bouquin vraiment sympa à lire que je recommande chaudement à tout le monde (pas besoin d'être féru de crypto, c'est vraiment super didactique et surtout quelle fabuleuse histoire de l'humanité on nous raconte !).

Bonne semaines à toutes zé à tous.

  • # et déjà les métadonnées

    Posté par  . Évalué à 10 (+17/-1).

    mais largement suffisant pour que le servant en question ne soit pas trop indiscret.

    Le contenu importe peu, c'est qui envoi des message chiffré à qui qui est important ! Cela suffit amplement pour les commérage.

    Il ne faut pas décorner les boeufs avant d'avoir semé le vent

  • # Le chiffre Allemand

    Posté par  (site web personnel, Mastodon) . Évalué à 3 (+3/-2).

    La mauvaise qualité du chiffre Allemand est en partie la raison de leur défaite.

    On parle de la seconde guerre mondiale et des machines Enigma, là?

    Parce qu'il a quand même fallu faire pas mal de progrès en informatique (qui n'existait presque pas avant la guerre) pour venir à bout de ce chiffrement.

    Il était suffisant pour son époque, tout comme les algorithmes utilisés aujourd'hui ne survivront peut-être pas au développement de l'informatique quantique ou à d'autres innovations.

    • [^] # Re: Le chiffre Allemand

      Posté par  (Mastodon) . Évalué à 10 (+9/-0). Dernière modification le 02 septembre 2024 à 09:39.

      On parle de la seconde guerre mondiale et des machines Enigma, là?

      Pas du tout, j'ai d'ailleurs corrigé mon texte, je parle de la première guerre mondiale (la TSF est arrivée juste avant). Non, Enigma c'est clairement autre chose ! Et d'ailleurs quand on a lu le livre jusqu'à ce moment là, on peut aisément comprendre comment fonctionne Enigma, et à quel point c'est un truc inviolable avec les techniques de décryptage disponibles jusque-là.

      En théorie, la théorie et la pratique c'est pareil. En pratique c'est pas vrai.

      • [^] # Re: Le chiffre Allemand

        Posté par  . Évalué à 2 (+0/-0).

        D'ailleurs la page sur la cryptanalyse d'Enigma est déjà tout un roman.

        Je crois que encore aujourd'hui, le niveau de difficulté pour décrypter un message sans avoir d'indice au départ reste élevé (autour de 87 bits pour la version à 4 rotors).

    • [^] # Re: Le chiffre Allemand

      Posté par  (site web personnel) . Évalué à 5 (+3/-0).

      Non, on parle bien de la 1ère GM. Les Français étaient très bons dans le domaine (cf. le télégramme dit de la victoire, permettant de savoir avec suffisamment d’avance la prochaine offensive allemande en mars 1918 et de la contrecarrer), mais on a su très longtemps garder le secret sur nos interceptions et décryptements
      et ça a donc été oublié.

      • [^] # Re: Le chiffre Allemand

        Posté par  . Évalué à 1 (+1/-0).

        Bonjour,
        Pour le chiffre pendant la guerre de 14 il y a un excellent documentaire sur ARTE concernant Elizebeth Friedman la cryptanaliste qui a craqué les codes allemands. Son travail n'a pas été reconnu car "femme", travail que s'est approprié J Edgar Hoover qui en a été décoré.

  • # C'est pas un peu l'inverse ?

    Posté par  . Évalué à 3 (+1/-0).

    Aujourd'hui une grande partie des conversations se fait via Whatsapp (ou autre application du même genre) et ce sont justement des conversations chiffrées. Du coup énormément de correspondances sont aujourd'hui chiffrées et permettent des conversations qui sont uniquement lisible par les 2 interlocuteurs.

    • [^] # Re: C'est pas un peu l'inverse ?

      Posté par  . Évalué à 2 (+1/-0).

      Et pareil pour HTTPS désormais

      • [^] # Re: C'est pas un peu l'inverse ?

        Posté par  (site web personnel) . Évalué à 10 (+11/-0). Dernière modification le 02 septembre 2024 à 10:55.

        Il y a

        • le trafic en clair (genre cartes postales)
        • le trafic chiffré de pourvoyeur à pourvoyeur (genre TLS entre deux serveurs de courriel, un client et un serveur web, etc., bref lisible par les intermédiaires techniques, la source et la destination mais pas les autres). Exemple: je donne à mon postier mon message à télégraphier, il le chiffre pour l'envoyer au postier de mon destinataire, qui le déchiffre et va le donner au destinataire.
        • le trafic chiffré bout en bout (lisible uniquement par la source et la destination). Exemple : j'écris ma carte postale avec GPG, chaque postier n'y comprend rien mais peut l'envoyer au suivant (mais saura qui parle à qui), seul le destinataire peut déchiffrer.
    • [^] # Re: C'est pas un peu l'inverse ?

      Posté par  (Mastodon) . Évalué à 6 (+3/-0).

      Aujourd'hui une grande partie des conversations se fait via Whatsapp [ ou HTTPS]

      Oui mais comme je dis dans le Journal, c'est un peu "dans notre dos". C'est pas nous qui chiffrons mais les outils qu'on utilise, et sans même s'en rendre compte. On les choisi justement parce qu'ils chiffrent, mais si un site s'affiche en HTTP que faire ? Ah mince… On est un peu dépourvus alors que justement il y a eu des siècles de HTTP si l'on peut dire, et c'est les gens eux-même qui chiffraient. Il ne faut pas oublier que les messages chiffrés à la main en amont ont un avantage énorme, ils ne sont jamais écris en clair !

      En gros imagine envoyer un message via le chat de l'entreprise à un collègue à toi, message qui se fout de la gueule du patron, tu fais comment ? Tu te dis "c'est bon, Slack chiffre, je suis tranquille", ou tu fais un petit ROT13 avant ? Le gros avantage de la 2e solution c'est que le message sera toujours chiffré, et même si ton RH passe par dessus ton épaule à cet instant, il ne le verra pas.

      En théorie, la théorie et la pratique c'est pareil. En pratique c'est pas vrai.

      • [^] # Re: C'est pas un peu l'inverse ?

        Posté par  . Évalué à 3 (+1/-0).

        A un moment il va falloir que tu écrives le message avant de faire ton ROT13, ou alors tu parles le ROT13 couramment ?

        • [^] # Re: C'est pas un peu l'inverse ?

          Posté par  (Mastodon) . Évalué à 3 (+0/-0). Dernière modification le 03 septembre 2024 à 16:07.

          T'as juste besoin d'une table de correspondance devant toi, et toi aussi tu le parleras couramment.

          pne rkncyr wr iraf qr gncrpn ra yvir

          Mais tu viens de me donne rune idée : un clavier en ROT13 ! T'as même plus à réfléchir :) Voire une appli qui te fait la traduction en direct (et tu peux faire autre chose que du ROT13). Mais dans ces 2 cas un keylogger chopperai le message original, alors que ci-dessus, non !

          EDIT : bon, je viens de me relire il y a des fautes… comme quoi on a bien perdu cette notion ^^

          En théorie, la théorie et la pratique c'est pareil. En pratique c'est pas vrai.

          • [^] # Re: C'est pas un peu l'inverse ?

            Posté par  . Évalué à 7 (+5/-0).

            Mais tu viens de me donne rune idée : un clavier en ROT13

            Bonne idée !

            Pour plus de sécurité, on pourrait y ajouter aussi des rotors mobiles qui tournent à chaque frappe au clavier pour gérer les lettres en sortir. Et on pourrait aller plus loin en proposant de choisir quelques rotors parmis ceux à notre disposition, et même leur ordre, tiens ! Ah, et si on ajoutait quelques substitutions pour compliquer encore les chose ?

            Mais, je me demande si ça n'a pas été déjà essayé ;)

          • [^] # Re: C'est pas un peu l'inverse ?

            Posté par  . Évalué à 3 (+3/-0).

  • # le chiffrement de ses petits courriels

    Posté par  . Évalué à 7 (+7/-0).

    à la lecture du dernier Guide relatif aux mesures techniques et organisationnelles
    de la protection des données (TOM) du Préposé fédéral à la protection des données et à la transparence sur la Loi sur la protection des données en Suisse ainsi que du guide de la Commission nationale de l'informatique et des libertés sur le Règlement général sur la protection des données, je me suis dit qu'il serait bien que ses petits e-mails soient chiffrés.

    avant tout, présentation du type d’algorithme utilisé:
    https://fr.wikipedia.org/wiki/Cryptographie_asym%C3%A9trique
    ce qui n'est pas tout à fait vrai au sujet du courriel, nos deux amis ci-après utilisant également une clé de session.

    les principaux animaux en question sont:
    libre: https://fr.wikipedia.org/wiki/OpenPGP
    commercial: https://fr.wikipedia.org/wiki/S/MIME

    quelques logiciels:
    un client e-mail libre: https://www.thunderbird.net/fr/
    un greffon pour navigateur Web: https://mailvelope.com
    un greffon pour Outlook (PC): https://www.gpg4win.de
    pour iOS et iPadOS: https://pgpro.app
    pour Android: https://email.faircode.eu

    deux Webmails permettent d'utiliser le PGP nativement:
    https://proton.me/fr/mail
    https://accounts.swisscows.com/products/email?locale=fr

    et deux exemples de fournisseurs de certificats S/MIME:
    https://www.swisssign.com/fr/fachartikel/sicherheitsrisiko-e-mail.html
    https://www.digicert.com/fr/tls-ssl/client-certificates

    enfin, deux exemples d'une page donnant accès à une (ou deux) clé(s) publique(s):
    https://tails.net/about/contact/index.en.html#private-email-addresses
    https://www.ncsc.admin.ch/ncsc/fr/home/infos-fuer/infos-it-spezialisten/themen/schwachstelle-melden.html

  • # Une histoire du courrier postal

    Posté par  . Évalué à 8 (+6/-0).

    Il manque un élément central dans ton journal (peut-être est-il dans le livre ?) : l'impact de la généralisation du courrier postal.

    Napoléon impose en 1085 la numérotation des immeubles de Paris, ce qui s'étendra rapidement à toute la France puis à l'Europe. Avec ce système, les adresses postales deviennent standardisées, ce qui réduit drastiquement le coût d'acheminement du dernier kilomètre (identifier la bonne adresse était auparavant un casse-tête). Le dernier kilomètre devenant peu cher, le transport du courrier peut dorénavant réaliser d'importantes économies d'échelle, ce qui permet la réforme postale qui naît en Angleterre cette fois, puis se généralise rapidement au monde entier.

    L'on dispose alors d'un système économique, efficace et capable de transporter de grandes quantités de courrier. Surtout, une nouveauté est que l'on peut distribuer un courrier en ne connaissant que son destinataire et sans avoir besoin de le voir en personne puisque le timbre-poste atteste du paiement des frais d'envoi. Ceci permettra une envolée sans précédent du nombre de courriers et une sécurisation par la masse : au vu des moyens techniques de l'époque, identifier le courrier d'un individu donné est illusoire. De plus, la distribution rapide impose un temps de trajet très court en chaque point du circuit, complexifiant encore la tâche du man in the middle (qui travaille à la main, rappelons-le).

    Ajoutez à cela le fait que, le courrier ne coûtant plus grand chose, les courriers d'agrément, sans intérêt stratégique, se multiplient : on peut écrire à la grand-mère pour lui souhaiter un bon anniversaire.

    Du coup, il devient inutile de chiffrer le courrier, tâche chronophage, propice à l'erreur, et peu efficace face à un adversaire déterminé (les chiffres de César étaient quand même cassés depuis les Arabes et on disposait d'algorithmes pour casser un chiffre de César quelconque en temps constant).

    C'est donc assez logique que Simon Singh fasse remonter l'habitude du chiffrement au XVIIe siècle. Elle est devenue obsolète au XIXe.

    Le mail n'a fait que copier le fonctionnement du courrier postal, sans se poser la question de la pertinence de ce choix (encore que là-dessus, je vais peut-être un peu vite. D'autres problèmes se posent, comme l'échange sécurisé de clefs cryptographiques).

    Ça, ce sont les sources. Le mouton que tu veux est dedans.

  • # C’était mieux avant ma pov’ dame !

    Posté par  . Évalué à 0 (+0/-1).

    nous avons clairement perdu cette notion toute simple de communiquer discrètement.

    Et c’est pas prêt de s’améliorer avec cette génération Tiktok qui fait caca en live sur Twitch pour faire des vues…
    Le concept même de vie privée est en train de disparaître. Seul les dinosaures du siècles dernier (comme moi) se soucient de leur données.

Envoyer un commentaire

Suivre le flux des commentaires

Note : les commentaires appartiennent à celles et ceux qui les ont postés. Nous n’en sommes pas responsables.