Chiffrement et vie privée

, par MiKaël Navarro   submit to reddit

Fin de moi dernier, j’ai eu un petit échange avec Gilbert sur le sujet de l’espionnage et du chiffrement, dans le même temps on m’a prêté le roman de Dan Brawn « Forteresse Digitale », j’ai donc pensé que ça pourrait interesser du monde et j’essaye donc de vous retranscrire ici ma reflexion…

Forteresse Digitale

Voilà d’où tout est parti : « Forteresse Digitale ».

C’est une fiction (ou pas) qui parle de cryptologie au sein de la NSA, assez visionnaire lorsque l’on considère qu’il a été publié en 1998
(il faut savoir qu’à l’époque la NSA était très peu connue du grand public) !

Le sujet principal de l’histoire est un super-ordinateur “TRANSLTR” à trois millions de microprocesseurs capable de casser tous les codes qui chiffrent les communications mondiales (mails, ...).
On parle ici de clefs RSA qui sont cassées par “force brute” par ce super-ordinateur (c’est-à-dire que l’on cherche toutes les combinaisons possibles du produit de 2 nombres premiers très grands jusqu’à obtenir le message au clair et cela en moins d’1h).

Toute l’intrigue de l’histoire tourne autour du fait que ce super-ordinateur n’arrive pas à déchiffer le dernier message qu’on lui a donné ; Il s’agirait d’un nouvel algorithme de chiffrement révolutionnaire. Les héros cherchent donc à récupérer la clef de dechiffrement afin d’insérer dans l’alogorithme une porte dérobée pour la NSA.

Autre sujet évoqué "Skipjack", un algorithme secret de chiffrement conçu par la NSA durant les années 1980.
Cet algorithme était destiné à la Clipper chip qui devait être installé dans tout les appareils éléctroniques destinés au grand public (la clef de chiffrement devait de plus être fournie au gouvernement, capable ainsi d’écouter les communications si necessaire).
De plus, du fait qu’il soit secret, des suspicions de portes dérobées ont longtemps persistées jusqu’à ce qu’il soit déclassifié en 1998.
P.I. l’apparition de logiciels comme PGP, en dehors du contrôle du gouvernement, ont rendu obsolète la puce Clipper et Skipjack.

Chiffrement

Retour sur quelques notions concernant le chiffrement :

PGP se base sur un chiffrage hybride symetrique / asymetrique de Philip Zimmermann. PGP permet de plus la signature (authentification) des messages. Une implémentation libre (au sens logiciel libre) de PGP est GnuPG :)

C’est encore aujourd’hui la base des systèmes de chiffrement.

Or en 2010 l’INRIA cassait, par force brute, une clef RSA de 768 bits (https://www.inria.fr/actualite/mediacenter/securite-des-systemes-cryptographiques) mais au prix de 2 ans et demi de calcul (équivalent de 1700 cœurs utilisés pendant un an et 5 tera-octets de stockage).

Avec l’augmentation exponentielle des moyens de calcul on peut légitimement s’inquiéter des clefs 1024 ou 2048 bits.

Mais, selon les calculs de http://bibmath.net/forums/viewtopic.php?id=6389, casser par force brute une clef de 2048 bits demanderait, dans le meilleur des cas, plus de 2^1670 années sur un processeur cadancé à 4GHz !

A noter que l’on parle ici de clefs asymetriques RSA, normalement elles sont conjointement utilisé avec PGP afin de communiquer une clef symétrique (type AES par exemple) qui elle est fortement plus difficile à casser (clés dont la taille est au moins de 128 bits, soit 2^128 = 3,4×10^38 clés possibles, l’âge de l’univers étant de 10^10 années même avec 1 000 milliards de clés testées par seconde il faudra encore plus d’un milliard de fois l’âge de l’univers) !

Aujourd’hui une attaque par force brute d’une clef RSA 2048 bits ou plus n’est donc plus envisageable même avec des centaines de milliers d’ordinateurs.

Par-contre il y a d’autres techniques :
- écouter les bruits (ou consommation électrique) des ordinateurs utilisant la clef (http://www.futura-sciences.com/magazines/high-tech/infos/actu/d/informatique-cryptage-cle-rsa-dechiffree-grace-bruit-ordinateur-51150/),
- utilisation d’un calculateur quantique (pas très fiable pour l’instant mais dont la NSA est contributeur),
- ...

Surveillance

Revenons-en à ce qui nous préoccupe aujourd’hui, à savoir la confidentialité de nos communications, la sauvegarde de notre vie privée.

Les révélations de Wikileaks et de Snowden ont jetées un gros pavé dans la mare et créé un véritable raz de maré et une prise de conscience de la part des internautes.

Bien que l’on s’en doutait fortement (mais on avait aucune idée de son ampleur), on ne peut plus ignorer aujourd’hui le fait que nos gouvernements nous surveillent. Internet n’est plus aujourd’hui un média sure pour nos communications privées.

De plus, de part nos comportements, nous recentralisons nos données (ex. sur les clouds Google, FaceBook, Amazon, Apple, Microsoft, ...), d’autant plus facile à surveiller : 95% des données sont au même endroit et la plupart du temps sur le sol Américain (dont les sociétées sont soumises au Patriot Act) !
Vous trouvez ça normal d’heberger ses photos, vidéos, mails, ... sur des serveurs à l’autre bout de la planète ?

On en vient à la loi Renseignement proposé par le gouvernement, un Patriot Act à la française...
L’actualité est foisonnante en ce moment : cf. Loi Renseignement, Cloud, Surveillance, Vie privée, Anonymat, Confidentialité, Chiffrement, Espionnage, Réseaux sociaux

Cela pose aussi un problème éthique. Reprenons un extrait de Forteresse Digitale :
« 
- Tu sais ce que cela signifie : l’accès total et planétaire pour la NSA !
- Tu crois vraiment que nous pouvons assumer une telle responsabilité
 ? Que quelqu’un le peut ? Comment est-il possible raisonner à si court
terme ? Tu dis que notre gouvernement ne songe qu’à protéger les
intérêts du peuple ? Parfait ! Mais si un gouvernement futur n’a pas
les mêmes ambitions ? Qu’arrivera-t-il ? On ne pourra par revenir en
arrière !
- Comment les gens pourront-ils se défendre contre un État policier si
cet État a accès à toutes leurs communications ? Toute révolte sera
tuée dans l’œuf !
 »

Et comme le disait C. Pasqua, déjà à son époque : « La démocratie s’arrête là où commence l’interêt de l’État ».

Si nous acceptons une loi qui donne tout pouvoir aux authoritées de surveiller qui bon lui semble (et par défaut systématiquement tout le monde, au cas où) nous tombons pile dans le cas évoqué ! Que nous réservera l’avenir, personne n’en sait rien ?

Que fera-t-on de l’article 11 de la Déclaration des Droits de l’Homme et du Citoyen de 1789 ? Si on se sent surveillé, de fait, une auto-censure s’installera (même inconsciemment) !

Confidentialité

Comment alors reprendre le contrôle sur ses données ?

Tout d’abord pas le chiffrement systématiques de nos communications, pour cela des outils comme GnuPG, ... peuvent vous être utiles.

Puis quelques autres pistes :
- Réseaux sociaux, Cloud computing
- Auto-hébergement Web
- Tor
- ...

P.-S.

Après ces dernières remarques :
- êtes-vous prêt à installer SIMP (http://korben.info/nsa-simp-backdoo...) ? C’est fourni par la NSA, on peut avoir confiance en eux :)
- êtes-vous prêt à donner tout de votre vie à FaceBook ? Google ? Apple ?
- avez-vous confiance dans vos communications téléphoniques ? Sur votre smartphone Android, Apple, Microsoft ?
- A lire "Pourquoi j’ai écrit PGP de Phil Zimmermann
- Do No Track