écéucruIrTIT SS
FI spécialécétiaél 2ét0é026006 FI sp
Sommaire Jacqueline.Dousson@epfl.ch, Domaine IT, EPFL
En 2000
un numéro spécial été du Flash informatique avait déjà été consacré à
la sécurité informatique. Pourquoi recommencer six ans plus tard? Entre temps, beaucoup de choses ont changé. Le monde qui nous entoure semble de plus en plus inquiet, le 11 septembre est passé par là. Les mesures sécuritaires qui se déploient de toutes parts s’accompagnent de questions légitimes des citoyens de tous pays vis-à-vis de la protection de leurs données personnelles. Sécurité contre protection des données, éternel débat.
Editorial
2 Editorial Jacqueline Dousson ormatique à l’EPFL 3 Dix ans de sécurité inf Martin Ouwehand tre interdisciplinaire 5 ISIS, un nouveau cen et des systèmes à de sécurité d’information l’EPFL Arjen Lenstra RA (Ordinateur Piraté 6 Le fantôme de l’OPE En Rémission Annoncée) Christian Raemy vation – Baisse de la 8 Accélération de l’inno Hack compréhension – Google Laurent Kling iser le risque 12 Pourquoi faut-il modél informatique? Patrick Amon surveillance ? La 15 Vers une société sous au numéro AVS problématique du nouve Jean-Philippe Walter privée et vidéo 17 Protection de la sphère surveillance Virginie Carniel Internet est-elle 20 Pourquoi l’attaque sur rentable? Mauro Vignati it à la sécurité des 22 La contribution du dro systèmes d’information Bertrand Warusfel e de WEP 27 WPA, le fils illégitim Martin Vuagnoux
Quel que soit le domaine concerné (sécurité des locaux, santé, protection des personnes …), l’informatique est au cœur des processus et la diversité des applications ou matériels concernés ne fait qu’augmenter la complexité du problème. Autre changement notoire, il y a de moins en moins de barrières entre l’environnement informatique professionnel et domestique; et si, dans le premier, les institutions et entreprises s’emploient à maintenir un niveau satisfaisant de sécurité, sur ce qui se passe à la maison elles n’ont que peu d’influence: inculquer de bons comportements à leurs utilisateurs et fournir (comme c’est le cas à l’EPFL) un anti-virus pour les machines privées, c’est à peu près tout ce que l’on peut faire. Nous vivons de moins en moins dans un monde informatique serein: en 2005, plus de 780 000 mails entrant à l’EPFL ont été détectés comme infectés et plus d’un million d’alertes virales provenant des postes de travail du campus ont été recensées! Le sans-fil se déploie partout, les puces RFID (identification par radiofréquence) se multiplient, cette immatérialité n’est pas faite pour nous rassurer. De nouveaux outils nous sont proposés, qui sait ce qui se cache derrière? Comment être sûr que les protocoles utilisés méritent notre confiance, que les communications ne seront ni interceptées ni stockées en vue d’être analysées par un Big Brother quelconque! Il y aurait de quoi devenir paranoïaque et revenir au bon vieux courrier papier, mais le facteur… peut-on faire confiance au facteur? Evidemment, de mauvaises langues pourraient soupçonner que l’industrie de la sécurité informatique (qui affiche des taux de croissance impressionnants) a tout intérêt à maintenir cette ambiance de crainte et à multiplier les alertes (voire à les provoquer?). Ultime paranoïa? Merci aux auteurs qui ont bien voulu traiter quelques aspects de la sécurité informatique et de la sécurité de l’information dans de ce numéro SécurIT. Bonne lecture et surtout, ne laissez pas traîner ce journal, il pourrait tomber entre des mains subversives qui utiliseraient à mauvais escient les informations qu’il contient! n FI-spécial été – sécurIT – 28 août 2006 – page
28 Mot-croisé: sécurité rtin Ouwehand Charlotte Cabasse, Ma & Esteban Rosales nte voleurs 30 La RFID et les quara Gildas Avoine d’un réseau de cartes 35 Plate-forme sécurisée de de carte à puce d’identité virtuelles à l’ai Tewfiq El Maliki matiques à la base de 39 Les problèmes mathé n la sécurité de l’informatio Arjen Lenstra s d’identité 45 Biométrie et document Andrzej Drygajlo graphie sont-ils 48 Les standards en crypto souhaitables? Arjen Lenstra t de cacher un 51 Stéganographie – l’ar message secret Touradj Ebrahimi 2006 53 Concours de nouvelles usé le gagnant : Accès ref rki Bu n rie Ad
Dix ans de sécurité informatique à l’EPFL
Martin.Ouwehand@epfl.ch, Domaine IT, EPFL
J’ai
succédé en 1996 à Didier Wagenknecht en tant que responsable de la sécurité informatique à l’EPFL et ce numéro spécial du FI est donc une bonne occasion de survoler ce qui s’est passé pendant ces dix ans, ce qui a changé en bien ou en mal et ce qui continue à préoccuper tous ceux qui à l’EPFL contribuent à la sécurité des ordinateurs et du réseau, parmi lesquels il serait impardonnable de ne pas mentionner Christian Raemy
non à tout Internet et il faudra tenir à jour le logiciel correspondand pour vous protéger même contre l’improbable pirate freedonien. De ce point de vue, la situation en 1996 était catastrophique et elle l’est restée au moins jusqu’en 2000: dans l’installation par défaut fournie par les constructeurs d’ordinateurs étaient inclus un grand nombre de services réseau installés au cas où, bien entendu ouverts à tout Internet, et les fournisseurs publiaient épisodiquement des mises à jour que chacun devait aller chercher et installer manuellement, ce qui n’était fait en général qu’après avoir été victime d’un piratage... C’est ainsi que plusieurs dizaines d’ordinateurs de l’EPFL furent piratés en 1998 à cause d’une vulnérabilité dans le logiciel serveur Imapd
Dix ans de sécurité L F P E l’ à e u iq t a m r o f in
l’usager au moment de l’installation du système. De même, pratiquement tous les systèmes offrent un contrôle d’accès réseau (firewall local), bien que ce soit un domaine où des améliorations sont encore possibles: à l’heure actuelle, ce contrôle est implémenté à un niveau trop bas dans le système d’exploitation, et basé sur la notion de port réseau difficile à saisir par le novice et inadapté dans le cas d’utilisation de ports éphémères (il serait préférable selon moi que ce contrôle se rapproche de l’applicatif ). Enfin, depuis peu on voit des restrictions également dans les accès réseau vers l’extérieur, ce qui contribue beaucoup à limiter la propagation de virus et de vers en cas d’infection: l’antivirus VirusScan 8.0i, largement déployé, à l’EPFL offre une telle fonctionnalité.
(qui a pris en charge à partir de 2002 tout ce qui touche à la sécurité de Windows, domaine bien sûr toujours plus prépondérant, où chacun a pu constater que ses talents et ses compétences étendues font merveille) et Richard Timsit (qui a mis au point le réseau de quarantaine, voir http://dit. epfl.ch/page59201.html).
Ce qui s’est amélioré L’expérience m’a vite montré que ces quatre mesures permettent d’éviter 99% des piratages: 1 ne laisser tourner que les services réseau nécessaires, 2 les protéger par un contrôle d’accès, 3 appliquer les correctifs (patch en jargon anglo-informatique), 4 et enfin avoir un antivirus à jour. Rien que de très raisonnable: un service réseau inutile que vous laissez actif ne servira qu’à un pirate qui pourra s’y connecter de l’autre bout d’Internet pour profiter d’un bug; mais si ce service est indispensable à votre collaboration avec les chercheurs de l’Université de Freedonia, il ne devra être accessible qu’à ces chercheurs et
Ce qui n’a pas changé
(voir http://www.cert.org/advisories/ CA-1998-09.html) qui n’était en fait utilisé sur aucun d’eux ou encore, en 2001, plusieurs utilisateurs de Frontpage découvrirent grâce au vers Code Red que ce logiciel d’édition de pages HTML transformait silencieusement leur station de travail en serveur Web. L’industrie informatique en a tiré les leçons et tout ceci appartient au passé: il n’y a aujourd’hui plus de systèmes d’exploitation ou d’antivirus qui ne soient capables de se tenir à jour automatiquement et les configurations par défaut sont nettement plus sûres, les services réseau encore actifs découlant de choix explicites de
Commençant par un point où la stabilité est une bonne chose, on peut se réjouir qu’il soit aussi rare aujourd’hui que ça ne l’était en 1996 qu’un membre de notre École ne s’adonne au piratage en utilisant son infrastructure informatique, le nombre de cas sur ces dix ans se comptant sur les doigts d’une main (ceci dément l’avis répandu que les problèmes de sécurité proviennent surtout de l’intérieur, même s’il est vrai qu’un insider aigri pourra faire beaucoup plus de dégâts que les milliers de pirates qui chaque année scannent un site, mais à l’aveugle). Ces quelques incidents m’ont permis de découvrir une autre constante: alors que beaucoup de spécialistes soulignent que l’aspect organisationnel et institutionnel de la sécurité informatique doit être pris en compte
ge à l’EPFL faisait les titres
Mai 1999 – quand le pirata
du Matin
FI-spécial été – sécurIT – 28 août 2006 – page
Dix ans de sécurité informatique à l’EPFL à un niveau élevé du management, elle semble être conçue à l’EPFL essentiellement comme un problème technique, à résoudre par des informaticiens. Dans les cas évoqués ci-dessus, il n’a donc jamais été très clair, qui devait les traiter, en déterminer la gravité ou définir les sanctions. Il est cependant possible que les solutions qui se sont dégagées, de même que plus généralement la gestion de la sécurité informatique à l’EPFL, faite de négociations et de concertations au coup par coup (la COSI - Coordination Opérationnelle des Services Informatiques - joue là un rôle important), soient plus adaptées à la structure hétérogène de notre site que des directives rigides qui resteraient lettre morte. Passant ensuite aux points où on peut regretter qu’aucun progrès n’ait été réalisé, on mentionnera en premier lieu que la qualité des logiciels reste extrêmement médiocre du point de vue de la sécurité informatique. On peut faire remonter en effet la plupart des incidents de piratage à des erreurs de conception ou d’implémentation commises par les programmeurs, telles que le célèbre dépassement de mémoire tampon (buffer overflow en jargon anglo-informatique) qui est encore de nos jours un des problèmes les plus répandus, alors qu’on sait depuis le ver de Morris en 1988 (environ 10% des 60’000 ordinateurs que comptait Internet à cette époque en furent victimes, voir http://www.ietf.org/rfc/rfc1135. txt) à quel point il est dangereux. Pour résumer, on peut dire qu’il s’agit simplement de naïveté de la part des programmeurs, qui par exemple prévoient un emplacement en mémoire de dix octets, bien assez selon eux pour stocker le username qu’ils demandent à l’usager, sans imaginer que le pirate essayera d’entrer un username beaucoup plus long et composé d’octets soigneusement conçus pour détourner à son profit la logique du programme. Il faut donc croire que le consommateur moyen se soucie assez peu de ces problèmes de sécurité pour que les éditeurs de logiciels ne trouvent pas d’intérêt économique à étoffer leurs équipes de programmeurs de spécialistes prenant en charge la sécurité et la robustesse des logiciels dès leur conception et qu’ils s’en remettent aux solutions génériques évoquées plus haut, firewall local et mises à jour automatiques.
Mais ces mesures restent inefficaces contre les vulnérabilités des scripts (contenu actif ) accessibles par le Web: il n’y a en général pas de contrôle d’accès réseau sur les sites Web, qui n’ont souvent de sens que s’ils sont ouverts à tout Internet et d’autre part ces scripts sont assez spécifiques pour qu’ils ne soient pas inclus dans le système de mise à jour automatique. C’est ce qui explique que le piratage passant par le Web (protocole HTTP) est resté un souci constant au cours de ces dix années, de la première vulnérabilité de 1996 dont je me souvienne, dans phf (voir http://www.cert.org/advisories/CA1996-06.html ) à toutes celles qu’on signale en 2006 dans divers logiciels écrits en PHP (à titre d’exemple, le dernier qui a attiré mon attention au moment où j’écris ces lignes concerne le Content Management System Joomla, voir http://www.joomla.org/content/ view/1510/74/ ). J’irai même jusqu’à dire que dans le monde Unix/Linux ce sont actuellement les seules vulnérabilités qui donnent encore lieu à des incidents de piratages.
Ce qui a empiré Les pirates de 1996 étaient essentiellement des étudiants, ou du moins leurs attaques provenaient des réseaux de diverses universités aux quatre coins de la planète, et ils paraissaient mus par le côté fun ou sport, visant avant tout à prendre le contrôle du plus grand nombre possible d’ordinateurs, mais ne les utilisaient guère que pour partir à la recherche d’autres ordinateurs à pirater pour augmenter leur score, ou dans le pire des cas, pour chahuter des groupes de discussion sur IRC (Internet Relay Chat). Par contre, les pirates d’aujourd’hui sont clairement passés aux activités criminelles et sont en premier lieu intéressés par les gains rendus possibles par le contrôle d’ordinateurs piratés, par exemple dans le soutien logistique aux spammers (récolte d’adresses e-mail à spammer sur les machines piratées ou utilisation de celles-ci pour l’envoi de spam), le phishing (escroquerie consistant à mettre en place un site Web ressemblant à celui d’une banque pour tromper ses clients et accéder ainsi à leur compte) ou le stockage et la dissémination de fichiers audio/vidéo enfreignant les
FI-spécial été – sécurIT – 28 août 2006 – page
droits d’auteur. De même, alors qu’il y a dix ans il pouvait se passer plusieurs jours, voire semaines, entre deux incidents de sécurité informatique, de nos jours les pirates sont à l’origine d’un bruit de fond permanent de scans (recherche d’ordinateurs vulnérables), de telle manière qu’il est devenu pratiquement impossible d’arriver au bout de l’installation de Windows sur un ordinateur connecté à l’Internet sans être piraté, à moins de se placer derrière un firewall. Un autre signe qui montre que les pirates sont de nos jours beaucoup plus hargneux est le raccourcissement du temps entre la publication d’une vulnérabilité (ou le simple fait qu’il en existe une, par exemple parce qu’un éditeur de logiciel publie un correctif ) et les premiers incidents où ils l’exploitent à leur profit; alors que cette durée se mesurait autrefois en semaines, voire en mois, en 2006 deux ou trois jours suffisent en général, avec même parfois des zero day exploits, c’est-à-dire des vulnérabilités connues et exploitées par les pirates avant que le fournisseur du logiciel ne soit au courant et ait pu mettre au point un correctif. Pour conclure je mentionnerai un phénomène assez récent qui a rendu plus difficile la gestion de la sécurité informatique à l’EPFL: la différence entre l’extérieur et l’intérieur de notre réseau s’atténue à mesure que le prix des ordinateurs portables baisse et que leur usage et celui du Wi-Fi se répand. Cela entraîne en effet que beaucoup de membres de l’EPFL utilisent le même laptop à la maison ou en voyage et se connectent par la suite sur un point d’accès de notre réseau pour leur travail ou leurs études, avec le risque de laisser des virus ou des vers attrapés à l’extérieur se propager dans notre réseau. Dans le cas du vers Blaster de l’été 2003, nous sommes même sûrs que c’est de cette manière qu’il s’y est faufilé, puisque nous avions fermé au niveau du routeur nous reliant à l’Internet les ports réseau qu’il utilisait pour se propager. Ceci rend nos défenses à ce niveau (projet DIODE, voir http://dit. epfl.ch/page51041.html ) moins efficaces qu’on ne pouvait l’espérer, bien qu’elles restent indispensables. Dans un proche avenir, on se prémunira contre ce nouveau problème en effectuant un contrôle plus poussé des ordinateurs portables au moment où ils se connectent à notre réseau.n
ISIS, un nouveau centre interdisciplinaire de sécurité d’information et des systèmes à l’EPFL et directives, doivent compléter les mesures techniques, et cela peut à terme se montrer plus efficace.
Que fait ISIS ? Arjen.Lenstra@epfl.ch, Professeur au Laboratoire de cryptologie algorithmique, EPFL-IC
Les
insuffisances dans le domaine de la sécurité de l’information apparaissent partout. Quiconque utilise Internet ou stocke ses données numériques personnelles est concerné: utilisateur ordinaire, industrie, gouvernement, tout le monde. Les coûts induits – pour prévenir ou réparer – sont étonnants. Les logiciels sont en permanence mis à jour et de nouvelles couches de logiciel, réclamant plus de mises à jour, viennent en permanence recouvrir les précédentes, en vue de corriger les vulnérabilités et d’atténuer les conséquences des menaces. On commence à s’interroger sur le retour sur investissement de nouvelles mesures en matière de sécurité. Combien de temps avant que cette explosion dans le domaine du logiciel devienne économiquement insupportable?
La sécurité de l’information n’est-elle qu’un problème technique?
Le problème est que la plupart du temps, on considère que réaliser la sécurité de l’information est un problème technique qui peut être résolu par les mêmes experts qui ont construit la nouvelle infrastructure de communication. Cependant, l’idée commence lentement à poindre qu’Internet n’est pas différent des autres développements techniques qui sont en train de pénétrer dans la société. À un certain stade de maturation d’une technologie, son développement n’est plus guidé par les avancées techniques – ou par ses inventeurs – mais par les intérêts sociétaux habituels, tels que problèmes humains et psychologiques, considérations industrielles et économiques, évaluation des risques, et contraintes législatives et réglementaires. Identifier et éliminer les incitations économiques de l’insécurité informatique, supprimer des comportements irresponsables et criminels sur Internet par l’éducation et par un renforcement des législations
Le nouveau centre sur la sécurité de l’information que l’EPFL vient de créer met en avant l’aspect interdisciplinaire de la sécurité de l’information. Son but est d’associer les connaissances techniques bien établies de l’EPFL avec des disciplines moins techniques qui ne sont pas enseignées ou étudiées dans l’environnement EPFL, mais qui sont essentielles pour mettre la main sur le problème de la sécurité de l’information. Des collaborations avec d’autres écoles ou universités qui auraient les expertises complémentaires nécessaires seront encouragées. Les composantes d’enseignement et de recherche du centre seront for-
tière de sécurité (comme la résistance aux attaques par canal auxiliaire) dans la conception des systèmes embarqués. Si les intérêts et les investissements industriels le permettent, d’autres projets du même type seront menés dans le futur, avec le sentiment explicite que beaucoup de solutions seront de nature plus sociétale que technique. Les plans de formation à plus long terme prévoient une spécialisation en sécurité de l’information pour un Master Scientifique. Les étudiants de ce programme seront formés à un savoir technique combiné à une appréciation approfondie et une bonne compréhension de la myriade des aspects non-techniques de la sécurité de l’information. Ainsi seront-ils capables d’assumer des responsabilités
e r t n e c u a e v u o n n u , S I S I interdisciplinaire de t e n io t a m r o f n ’i d é it r u c sé des systèmes à l’EPFL
tement corrélées. Dans le court terme, l’accent sera mis, en tenant compte de la demande, sur des cours de postformation sur des sujets concernant la sécurité de l’information, donnés à la fois par des spécialistes externes, des partenaires industriels qualifiés et des enseignants de l’EPFL, en collaboration avec l’École de la Formation Continue de l’EPFL. Un cours d’une semaine sur les Fondamentaux de la Sécurité a été donné en juin dernier, des cours sur le cyber-risque et la biométrie auront lieu en septembre et octobre. La recherche se focalisera sur des projets qui associent matière académique et intérêt industriel. Jusqu’à présent, deux projets de ce type ont été identifiés et seront poursuivis: une étude comparative des approches existantes du cyber-risque associé à un développement d’un modèle pratique du cyber-risque qui permette une évaluation des risques, une quantification et une agrégation satisfaisantes, et un projet qui intègre les exigences en ma-
de haut niveau dans le domaine de la sécurité de l’information, sans les longs délais de démarrage que l’on connaît actuellement, ou faire de la recherche qui puisse effectivement résoudre des problèmes actuels de la sécurité de l’information, au lieu au contraire, d’y contribuer. À la fin, le centre devrait évoluer dans le sens d’un centre de gravité international pour la formation et la recherche en matière de sécurité de l’information, où de vraies idées innovatrices seront développées, étudiées, enseignées et, si opportun, mises sur le marché. La réputation d’excellence de l’EPFL devrait permettre d’attirer non seulement les meilleurs spécialistes et étudiants, mais aussi les fonds nécessaires pour mener à bien le projet du centre. Les avantages peuvent être considérables pour l’EPFL, pour toute la région et pour une manière plus évoluée de s’attaquer aux problèmes de la sécurité de l’information. n
FI-spécial été – sécurIT – 28 août 2006 – page
Le fantôme de l’OPERA
Christian.Raemy@epfl.ch, Domaine IT-EPFL
Mais
que se passe-t-il ? Il vous semble bien que quelque chose ne tourne pas rond dans cette machine! Vous avez pourtant installé, comme conseillé, un anti-virus, agrémenté d’un zeste d’anti-spyware. Le pare-feu est en fonction. Vous venez d’y installer les derniers patches manquants, mais pourtant, votre machine se comporte bizarrement; votre connexion haut débit peine à vous afficher la moindre page Web et néanmoins, l’affichage du trafic de
taient de remplacer les commandes usuelles telles que ls, par une version masquant les fichiers que le pirate voulait cacher. La parade fût vite découverte et il suffisait alors d’utiliser d’autres programmes pour lister les fichiers et ainsi voir réapparaître les fichiers que l’on voulait vous cacher. Les générations suivantes de rootkit s’attaquèrent aux API, des interfaces entre les drivers et le système appelées par les différents programmes pour effectuer des tâches comme lister les fichiers, processus, ports TCP et autres clés de registre. Le rootkit s’intercale alors entre le programme et l’API utilisée, en remplaçant l’adressemémoire d’appel de cette API. Les requêtes sont alors envoyées au travers du rootkit, qui interroge lui-même l’API et falsifie les résultats retournés
réseau,…). z Ils ne se servent pas de votre naïveté pour vous piéger au travers d’emails infectés. z Ils ne détournent pas vos accès Internet pour essayer de vous vendre quelque chose (spyware, …). Mais… pour installer un rootkit, il faut un niveau de droit élevé (administrateur) et cet accès est obtenu au moyen d’attaques traditionnelles via les vecteurs connus comme failles, mots de passe trop simples, e-mails piégés, faux messages systèmes, etc. Le rootkit est installé après une première attaque traditionnelle, en pierre de voûte, pour ainsi rendre totalement imperceptible tous les indices de la présence de programmes compromettant votre ordinateur, telle la cape d’invisibilité d’Harry PotterJ.
Le fantôme de l’OPERA e é c n o n n A n o si is m é R n E Ordinateur Piraté votre modem lui semble indiquer une activité importante même lorsque vous ne faites rien?!? Alors, vous avez lancé une analyse en profondeur de votre machine, et tout indique que celle-ci est exempte d’une quelconque infection. Tous les indicateurs sont au vert, mais pourtant, rien ne va… aïe, vous êtes peut-être sans le savoir la victime de ce que l’on nomme un rootkit. Sous ce nom se cache l’une des menaces les plus pernicieuses pour le monde des PC à l’heure actuelle. Bien que les rootkits sévissent sur toutes les plates-formes, nous allons nous attarder plus spécifiquement sur la plus répandue, Windows.
Historique Les premiers rootkits proviennent du monde UNIX, aux alentours des années 90 et n’avaient pas un niveau de sophistication élevé. Ils se conten-
au programme initiateur de la requête. Comme il existe plusieurs niveaux d’API le rootkit cible un ou plusieurs niveaux selon sa sophistication. Les derniers rootkit mélangent habilement les différentes approches et bien que leurs niveaux de technicité soient très évolués, leur mise en œuvre est d’une facilité déconcertante.
Mais alors c’est quoi un rootkit? Les rootkits ne sont pas à proprement parler des vers ou des virus. L’essence même du rootkit tient en sa discrétion et sa capacité à masquer tous les indices de la présence de programmes malveillants. z Ils ne s’installent pas automatiquement au travers de failles de sécurité. z Ils n’ont aucune capacité intrinsèque de propagation de quelque manière que ce soit (e-mail, ports
FI-spécial été – sécurIT – 28 août 2006 – page
Il donne ensuite tout loisir aux pirates de s’adonner furtivement à des activités illicites à votre insu. Installation de portes dérobées permettant d’avoir le contrôle distant de l’ordinateur, de keylogger interceptant toutes les frappes clavier, de robots envoyant des spams, d’utilisation de votre espace disque ou votre bande passante Internet pour des échanges peer-to-peer, etc. Votre ordinateur passe alors totalement sous contrôle du pirate et devient un pion dans un réseau de machines compromises exécutant bon nombre de tâches illégales.
Détection Mais alors, comment vérifier la présence d’un rootkit sur son ordinateur si celui-ci est invisible? Il existe quelques voies dont voici les principes: 1. Énumération d’informations au moyen de deux types d’accès puis comparaison. C’est ce que réalise,
Le fantôme de l’OPERA par exemple, l’outil Rootkit Revealer de Sysinternals. Ce programme effectue deux balayages complets du système (fichiers et base de registre) en utilisant une fois les API Windows, puis une autre fois le niveau le plus bas du système. Il compare ensuite les deux résultats et affiche les différences. Ainsi, si un rootkit est présent, les informations cachées via l’API apparaîtront. Ce programme souffre malheureusement de limitations. Il risque d’afficher un certain nombre d’informations parasites dû au fait que certains processus écrivent continuellement dans la base de registre et engendrent donc des différences entre les deux balayages. En outre, il doit être démarré de manière manuelle et ne peut donc pas protéger en continu l’ordinateur. Finalement, il faut un certain niveau d’expertise pour interpréter les résultats. 2. Analyse de la machine à froid. En utilisant un CD qui démarre avec un autre système d’exploitation (Linux, Win PE,…), il est ainsi possible de lancer une analyse en profondeur du système suspect, sans que le rootkit puisse intercepter les outils utilisés. Il faut néanmoins que le rootkit soit connu dans les différentes bibliothèques des outils utilisés pour la traque. 3. Analyse de l’ordinateur de manière distante. Sur un réseau local, il suffit d’utiliser une machine ayant un outil d’analyse évolué (par ex VirusScan 8.0i, Kaspersky,…), de connecter le disque système de la machine que l’on soupçonne infecté, puis d’effectuer un balayage distant de cette machine. Si un rootkit est présent, il ne pourra pas influencer les API utilisées sur la machine effectuant l’analyse distante. Mais comme dans l’approche précédente, il faut que le rootkit soit dans les bibliothèques.
Éradication C’est là le point le plus critique, il est presque impossible de nettoyer complètement une machine ayant été compromise avec un rootkit. La meilleure méthode consiste donc en une réinstallation complète du système.
Si néanmoins vos connaissances informatiques sont élevées, vous pouvez tenter la méthode que j’expose ici. Une fois le rootkit démasqué par une des méthodes décrites précédemment: z Relevez tous les détails des fichiers détectés comme suspects. z Faites une recherche, distante ou à froid, de tous les fichiers ayant la même date et heure de modification/création. z Faites une recherche dans la base de registre en recherchant les entrées comportant le nom des fichiers trouvés. z Parmi tous les fichiers découverts, repérez celui qui est le fichier de configuration du rootkit. Il s’agit très souvent d’un fichier de type texte, énumérant les paramètres de fonctionnement du rootkit. Si vous avez trouvé le fichier de configuration, le plus difficile est fait. Ce fichier est le plus important, car il indique au rootkit quelles sont les choses que l’on veut cacher. C’est donc grâce à celui-ci que l’on va savoir ce qu’il faut supprimer. z renommez ou déplacez ce fichier; z déconnectez votre machine du réseau (pour ne pas laisser le pirate réagir) et ensuite redémarrez la machine compromise. Comme le rootkit ne trouvera plus son fichier de configuration, il ne cachera alors plus les éléments précédemment masqués. Il sera alors bien plus facile d’effectuer le nettoyage. En parcourant méticuleusement le fichier de configuration du rootkit, effectuez les opérations suivantes: z supprimez scrupuleusement tous les fichiers désignés comme devant être cachés; z supprimez également les entrées de la base de registre; z supprimez les services qui s’y trouvent. Votre machine, même si elle n’est pas aussi propre que si elle avait été réinstallée, devrait être maintenant débarrassée de la quasi totalité des programmes malveillants qui l’empoisonnait.
suffit de voir que même les plus grandes compagnies (SONY/BMG) ont parfois recours aux rootkits pour cacher leur système de protection de copie de CD. Aujourd’hui, un rootkit est encore déposé de manière manuelle suite à une intrusion sur une machine, mais on peut aisément imaginer les risques si un processus associait la vitesse et la capacité de propagation d’un vers/virus à la furtivité d’un rootkit ! Même si certains éditeurs de solutions de sécurité annoncent des fonctionnalités anti-rootkit dans leurs différents produits de protection, nous sommes en présence d’une réelle menace latente. Tous les outils de protection ne seront jamais aussi efficaces qu’un utilisateur prudent et bien informé. Il ne tient donc qu’à vous de ne pas croire en la totale immunité de votre système informatique et d’être vigilant lorsque vous utilisez un ordinateur.
Références z Le scandale du rootkit de Sony: http://www.sysinternals.com/ blog/2005/10/sony-rootkits-anddigital-rights.html z Un nouveau type de rootkit: http://www.pcinpact.com/actu/ news/30107-Decouverte-dun-nouveau-type-de-rootkit.htm z Rootkit Revealer de Sysinternals: http://www.sysinternals.com/Utilities/RootkitRevealer.html n
Et après… L’actualité est assez riche sur ce sujet et ne risque pas de se tarir. Il FI-spécial été – sécurIT – 28 août 2006 – page
Accélération de l’innovation – Baisse de la compréhension – Google Hack
L’utilisateur L’arrivée du Web a profondément changé les habitudes des usagers dans leurs approches de la sécurité des données. La profusion de sites, blogs et autres outils d’échanges engendre une progression exponentielle des données disponibles.
Laurent.Kling@epfl.ch, EPFL - STI
La
Cette évolution s’est également produite dans l’EPFL, car maintenant, notre moteur de recherche est une boîte noire (peinte en jaune), Google Appliance, qui permet de rechercher rapidement l’information. Devant cette avalanche de solutions, l’individu ne peut plus vrai-
n io t a v o n in l’ e d n io t a r lé é Acc n io s n e h é r p m o c la e d e s Bais Google Hack
vitesse de l’utilisation des technologies augmente. Sur le graphique ci-dessous, on voit que le temps nécessaire pour qu’une innovation devienne incontournable diminue radicalement. Peut-être que cette accélération entraîne une perte de repères pour les usagers de ces nouvelles technologies. Par exemple, confondre dans ce même graphique Internet, inventé au début des années 1970 avec le Web apparu début 1993.
ment séparer les contenus privés des contenus publics. En conséquence, la limite entre l’internet privé, Intranet, et l’internet public, Extranet, devient de plus en plus perméable.
La recherche sur Internet s’est transformée, de Yahoo (outil de référencement) au moteur de recherche Google, outil quotidien des internautes.
N HOUSEHOLDS CTS INTO AMERICA U D O R P F O D A E R P THE S Airplane
Percent ownership*
Television
100
Telephone
Radio
90
Microwave
80
Electricity
Automobile
VCR
70
60
50
PC
40
30
Internet
Cell phone
20
10
0 1
5
10
15
20
25
30
35
40
45
Years since product invented
50
55
60
65
70
product,
85
90
95
100
105
110
115
120
on, 6, Annual Report on Innovati Federal Reserve of Dallas 199 df 6.p /ar9 99p l/19 nua http://www.dallasfed.org/fed/an
hnologies
Utilisation des nouvelles tec
FI-spécial été – sécurIT – 28 août 2006 – page
80
s); Census (1970 and various year SOURCES: U.S. Bureau of the ; 96) (19 ion Industry Associat Cellular Telecommunications k of Facts (1997). The World Almanac and Boo
that enjoy each to the fraction of households of air * Percent ownershipefers lane refers to the percentage Airp ne. pho automobile and cell except for the airplane, 6; tive to miles traveled in 199 miles traveled per capita rela to persons age 16 and older; tive rela cles vehi or mot ber of automobile refers to the num stered passenger automobile. regi per nes of cellular pho cell phone refers to the number
75
Accélération de l’innovation – Baisse de la compréhension – Google Hack
Google Contrairement à un être humain, Google est un processus informatique. Il ne sépare pas le bon grain de l’ivraie
contenu de la page Web; link: – pour retrouver les pages qui pointent sur une URL info: – pour afficher les informations que Google connaît.
z rechercher sur le site de l’EPFL: site:epfl.ch
z rechercher les dossiers dont le contenu est visible. Cette requête n’existe pas; par la petite porte, on recherche un contenu identifiant cette propriété, le titre de la page Web: intitle:"index of" z rechercher les dossiers privés, pour un public anglophone, il doit comprendre: private. La ligne de commande complète: intitle:"index of" private site: epfl.ch.
Une variante sur ce thème, les dossiers de sauvegarde, backup pour les anglophones: intitle:"index of" backup site:epfl.ch.
Cet exemple est relativement anodin, cela prouve que le contenu d’un serveur Web est réellement disponible pour l’humanité.
Google avancé dans sa quête frénétique d’information. La lecture de l’article paru dans le FI6/06 (http://ditwww.epfl.ch/SIC/SA/ SPIP/Publications/article.php3?id_article=1107) permet de comprendre le processus d’indexation utilisé par Google. Si le résultat fourni par Google est relativement neutre, la clé du processus de recherche consiste à définir, les critères de celle-ci, comme aurait dit La Palice. La majorité des internautes utilise le moteur de recherche sous son aspect le plus simple, avec parfois une incursion dans le mode de recherche avancée. Comme souvent, il est parfois plus efficace d’écrire directement sa recherche sous la forme la plus proche du noyau informatique, la ligne de commande.
Abécédaire de commande Google
site:epfl.ch – la commande la plus utile, pour restreindre la recherche à un ensemble DNS, en l’occurrence, l’ensemble des sites du domaine epfl.ch; intitle:"index of" – une combinaison plus subtile, utiliser le titre de la page Web, puis définir un contenu exact, celui qui est entre guillemets; filetype:doc – pour restreindre la recherche à un type de document; cache: – pour rechercher un contenu qui n’existe plus; intext: – pour rechercher dans le
Google Hack Par définition, le Web sert à mettre à disposition des informations. Le problème arrive quand l’information n’est plus publique, mais réservée à un groupe restreint d’usagers. Normalement, ces informations devraient résider dans un espace sécurisé avec un accès authentifié. Ainsi, seuls les usagers ayant montré patte blanche peuvent accéder aux données. À l’EPFL, le NAS avec CIFS et my.epfl.ch, sont deux exemples d’espace de données sécurisé. Malheureusement, l’apparition du Web a vite entraîné l’idée de conserver des données non publiques dans l’espace de stockage que représente un serveur Web. L’accès le plus simple sur un serveur Web est l’affichage du contenu d’un dossier. Le principe de l’utilisation d’un Google Hack est de restreindre la recherche pour obtenir directement les éléments intéressants. Voici cinq exemples de recherche.
Les dossiers privés ou de
sauvegarde Je désire rechercher sur les sites Web référencés pour l’EPFL, les dossiers dont le contenu est visible, mais privé. Formuler en français, cette requête a peu de chance d’être un succès, en mode ligne de commande, le résultat est plus simple:
Un site trop visible
Après le succès des premières recherches, un cas plus complexe. Je désire rechercher les dossiers de scripts visibles: intitle:"index of" cgi-bin site: epfl.ch.
Google intitle:"index
of" private
site:epfl.ch
Trop de résultats, supprimer les références de “scala...” cgi-bin "intitle:index of " -scala site: epfl.ch.
Bien, pas de trou de sécurité, je suis presque tranquille. Étant un lecteur assidu du Flash informatique, j’ai lu qu’une boîte jaune Google est maintenant en service dans l’EPFL, http://search.epfl.ch/.
FI-spécial été – sécurIT – 28 août 2006 – page
Accélération de l’innovation – Baisse de la compréhension – Google Hack gée, ce qui me permet de récupérer certains codes sources. Par acquit de conscience, je me promène sur l’ensemble du site, en étant identifié uniquement par mon adresse IP que je n’ai pas pris la précaution de cacher. Il est utile d’approfondir la notion Proxie Web. Comme le site est organisé logiquement, je me retrouve dans le dossier: /DDG/documents/administrator/security/, et j’obtiens la
" "intitle:index of h .c scala site:epfl
Google cgi-bin
Essayons la même recherche en omettant le site, car je suppute qu’uniquement le site EPFL est indexé: intitle:"index of " cgi-bin. Bingo, un site est accessible! /DDG/ cgi-bin/cgi-bin-administrator/
chaîne de hachage d’un mot de passe administrateur. Évidemment, cette situation est corrigée, mais elle démontre le risque potentiel de mettre un contenu sur le Web!
ery" site:epfl.ch "Powered by Gall
Nota bene, ces recherches sont réalisées depuis une connexion extérieure à l’EPFL sans VPN! Heureusement, le contenu des fichiers cgi ne m’est pas accessible! Par contre, l’extension pl n’est pas proté-
la sécurité du site accessible l’extérieur
depuis
On peut être surpris qu’un contenu inaccessible depuis Google.ch soit accessible par le site de l’EPFL. La raison est simple, le ver est dans le fruit, simplement la boîte jaune connectée au réseau interne de l’EPFL lui permet d’indexer les contenus. Mais cette indexation entraîne sa visibilité depuis l’extérieur! Les aficionados de la notion d’Intranet/Extranet vont encore s’arracher les cheveux...
Trous potentiels de sécurité, une
attaque croisée Un objectif des Google Hacks est de rechercher des vulnérabilités. Le côté magique réside dans leurs présentations sur un plateau. Par exemple un logiciel d’organisation de photos: "Powered by Gallery" site:epfl.ch. Bien, ce logiciel semble populaire, 56’600 pages uniquement dans l’EPFL!
n ndex of " cgi-bi
Google EPFL intitle:"i
Sur le serveur Web
Google:
Une brève recherche sur les failles de sécurité pour ce logiciel avec Google nous permet de découvrir une faille: http://www.securityfocus.com/ bid/14668/info.
FI-spécial été – sécurIT – 28 août 2006 – page 10
Cette attaque utilise un moyen détourné: utilisant la capacité d’inclure des données descriptives supplémentaires dans une image, on inclut un code écrit en javascript. Ainsi, une action malveillante pourrait être encapsulée dans une simple image. Ce problème est connu depuis plus d’une année, et probablement les versions utilisées ne devraient plus être sensibles à cette vulnérabilité.
Scories révélatrices du
passé Le transfert de données entre un poste client et le serveur doit utiliser un protocole sécurisé. Un programme largement répandu dans le monde Windows, WS_FTP, possède l’inconvénient de déposer dans le répertoire de destination, un fichier énumérant l’ensemble des modifications réalisées. Ce fichier fournit des informations importantes: z la date de modification z les répertoires et fichiers d’origine z la machine, répertoire et fichier de destination. La recherche est particulièrement simple, http://search.epfl.ch/ws_ftp. log. Le côté amusant est que ce fichier suit les pérégrinations de l’hébergement du site, une fois créé, jamais supprimé! On peut également vérifier les sites qui recommandent ce programme par la suppression de "log" dans les résultats. "log" ws_ftp -log.
Accélération de l’innovation – Baisse de la compréhension – Google Hack immédiatement et elles peuvent être rapidement corrigées. Par exemple, ne pas rendre public le contenu des dossiers sur un serveur Web, évitant l’utilisation du hack Google: intitle:"index of" site: epfl.ch
Sur un serveur Apache, la solution est simple: <Directory /usr/local/ apache/htdocs> Options -Indexes </Directory.
Par acquit de conscience, j’ai été sur le site répertoriant ce genre d’exploit, et surpris, ce site avait déjà été piraté sur deux autres serveurs. La chute de l’histoire est que c’était le responsable de ces serveurs qui m’avaient demandé d’héberger ce site! n
Lectures d’été
Séparer clairement
Google EPFL: "log"
ws_ftp -log
Rechercher la première,
ou la dernière photo Si la recherche de vulnérabilité est l’objectif principal, on peut cependant utiliser le moteur de recherche pour des activités plus ludiques. Utiliser ces principes pour rechercher la première photo. Les appareils photographiques SONY nomment automatiquement les photos prises par celui-ci avec le format: DSCxxxxx.jpg. La première photo est: DSC00001.jpg Comme Google existe également pour la recherche d’image, voici la chaîne de recherche limitée aux serveurs domiciliés en Suisse: DSC00001 site:.ch. Pour la dernière une recherche par date dans l’ordinateur révèle que la dernière photo enregistrée est la 7717e, prise par mon fils de 5 ans!
les contenus Si une chaîne de hachage est conservée, elle ne doit jamais être située dans la hiérarchie du site Web, mais référencée par un chemin absolu sur le serveur. On doit respecter la résolution qu’un contenu sécurisé doit être conservé dans un espace sécurisé, pas sur un site Web!
Ne pas se faire indexer
Tout contenu sensible ne doit pas être indexé, dans une logique absolue, il ne devrait même pas être visible, on tend vers le paradoxe du chat de Schrödinger, http://fr.wikipedia.org/ wiki/Chat_de_Schrödinger.
Pour un site Créer un fichier robots.txt à la racine du site, ne pas oublier le s..., indiquer dans ce fichier les répertoires protégés contre l’indexation User-agent: * Disallow: /cgi-bin/ Disallow: /tmp/ Disallow: /private/
sujet, Si on désire approfondir le vers nt me ide rap e Google m’orient la de ur ate cré du l’adresse du site /jo p:/ htt ck: Ha e notion de Googl it écr e livr Le . m/ hnny.ihackstuff.co sente une par l’auteur du site pré inépuisaasi qu n source d’inspiratio Penetrafor ng cki ble. Google Ha , ISBN ng Lo y nn tion Testers, Joh . Un dia Me ss gre 1931836361, Syn s cet dan rit déc nt élément importa utod’a ité bil ssi po ouvrage est la lle s fai de es rch he ma tis er les rec de nce issa pu la si, de sécurité. Ain ent item tra un c ave Google combinée ultat iminformatique, offre un rés pressionnant.
Pour une page Web Utiliser le meta tag de l’indexation, à inclure dans l’en-tête de la page Web: <meta name="robots" content="no index,nofollow">.
Garder à jour l’environnement
Les remèdes La première automédication est d’utiliser des Google Hack sur son propre site. Ainsi, les failles apparaissent
L’analyse des vulnérabilités des systèmes et outils est une activité de base d’un ingénieur système, particulièrement avec des ajouts non standards. Dans le rôle de l’arroseur arrosé, il m’est arrivé la mésaventure d’héberger un site qui a été piraté, entraînant l’affichage modifié de la page de garde.
ent la Je vous recommande vivem s Esrea nd d’A éo, vid lecture de Jésus 7241 2-8 N ISB e, ant chbach, L’Atal e-fiction 167-1. L’auteur de scienc ent plus rem aut ion propose une vis ission des séduisante de la transm e le livre qu e sm ani isti idéaux du chr Da Vinci à succès de Dan Brown, Code.
FI-spécial été – sécurIT – 28 août 2006 – page 11
Pourquoi faut-il modéliser le risque informatique?
Patrick.Amon@epfl.ch. ISIS Centre interdisciplinaire de sécurité d’information et des systèmes, EPFL-IV
C’est
un lieu commun que d’affirmer que notre monde est de plus en plus interconnecté. Et cette interconnexion ne date pas d’hier. À l’époque coloniale, déjà, les colonies et la Métropole étaient étroitement liées économiquement, et ce, sur des échelles considérables – on disait au début du XXe siècle que le soleil ne se couchait jamais sur l’empire britannique. Mais le développement des moyens de communication modernes a considérablement intensifié cette tendance, en particulier par la diminution des délais de transmission de l’information. La production Justin-time a globalisé la chaîne de production, avec les conséquences logiques qu’un ralentissement d’un seul maillon de la chaîne peut entraîner des dérangements, voire un arrêt de l’ensemble de celle-ci L’intégration des moyens de production a donc pour effet d’affaiblir la redondance qui aurait pu exister dans un système dans lequel les moyens de production étaient plus distants. Il est inutile d’extrapoler et d’affirmer que le processus de production intégré est une nouveauté, des systèmes comparables existent depuis la plus haute Antiquité, en passant par les débuts de l’ère industrielle sur le continent américain. A titre d’exemple pendant la grande dépresssion une chaîne de production globale avait été créée entre Pittsburgh en Pennsylvanie et New York de façon à ce que l’acier nécessité pour la construction de l’Empire State Building ne doive jamais être entreprosé et arrive encore relativement chaud à New York après avoir transité par l’Hudson et avoir été produit à Pittsburgh. Cependant, l’ampleur de ce processus tel qu’il existe aujourd’hui est relativement nouvelle et a été rendue possible par l’émergence de technologies nouvelles, dont l’Internet. Cette interconnexion nous rappelle avec insistance qu’il est impératif de
comprendre le risque qui en dérive, puisqu’un dérangement même localisé peut avoir des conséquences globales. Ce type d’analyse du risque s’appelle en jargon financier le risque opérationnel, c’est-à-dire qu’il sort du cadre peut-être mieux défini et compris du risque lié aux risques de crédit, de marché et éventuellement de liquidité. Le risque de crédit est concerné par la capacité financière des contreparties à honorer un engagement (= le risque de défaut); le risque de liquidité adresse l’échec d’une transaction par manque de contrepartie (et non pas l’incapacité de la contrepartie à honorer son engagement) et le risque de marché prend en considération les changements d’évaluation, ou de valorisation, des marchés. Telle qu’elle a été mise sur pied, la technologie Internet est conçue pour offrir des redondances. Chaque point d’un réseau est généralement accessible
dance et son emplacement le long du réseau n’est pas clair du tout et c’est un des problèmes fondamentaux qu’ISIS (Centre interdisciplinaire de sécurité d’information et des systèmes) s’efforce d’éclaircir (lire article du Professeur Lenstra dans ce numéro). Cette redondance relative de l’infrastructure informatique est toutefois limitée par la prédominance d’un petit nombre de vendeurs et de technologies (monoculture), ce qui facilite la propagation à l’ensemble du réseau d’un seul défaut ou type de défaut. La nature de ce type de risque est assez différente de celle qui affecterait un autre réseau à large portée, tel le réseau électrique, où les coûts tant financiers qu’environnementaux empêchent la construction de structures redondantes, provoquant immédiatement un effet de dominos en cas de problème (ex. une panne électrique dans l’État de l’Ohio l’année
Pourquoi faut-il modéliser le risque informatique? via plus d’une route, du moins jusqu’à un certain niveau. Une redondance peut s’établir au simple niveau de la machine, si par exemple un certain fichier sur une certaine machine devient inaccessible en cas de panne de celleci. En revanche, les voies conduisant à cette machine passeront généralement par un fournisseur de services qui sera relié à d’autres segments de l’Internet à travers un enchevêtrement de réseaux, accessibles à plusieurs niveaux. Il est toutefois intéressant de noter que la machine individuelle est généralement connectée à un seul câble Ethernet, ce qui rend le niveau de redondance inconstant le long du réseau reliant une machine à une autre. Si on tire un trait entre deux machines, les points les plus proches du milieu du trait ont toutes les chances d’avoir une connectivité et une redondance différentes de ceux proches de la fin de la ligne. Le degré exact d’interdépendance entre cette redon-
FI-spécial été – sécurIT – 28 août 2006 – page 12
passée s’est étendue à toute la côte Est des États-Unis). Le problème ici est l’homogénéité des infrastructures existantes, et pas le manque de redondance. Sur l’Internet, tandis qu’un nombre limité de systèmes (ex. les serveurs DNS) est au centre d’un système global, il existe un nombre significatif de redondances (un nombre limité, et pas aussi grand que l’on serait porté à le croire) construites dans la structure même du système. Cependant, cette redondance tombe si un certain nombre de causes deviennent capables de déranger rapidement un grand nombre d’agents également vulnérables ou dépourvus de protection contre ces causes. En d’autres termes, une fois que quelqu’un a découvert comment interrompre une seule machine, il devient un jeu d’enfant d’étendre ce procédé à toutes les machines du même genre, ce qui peut finir par représenter un pourcentage significatif de la technologie requise pour aller d’un point à l’autre. C’est
Pourquoi faut-il modéliser le risque informatique? comme lorsque dans le cas d’une pandémie, un seul virus se propage à tous les hôtes également vulnérables à ce type d’infection. Une population plus diversifiée augmente la possibilité que certains segments de celle-ci aient déjà été confrontés à ce germe et développé les anticorps nécessaires. Donc, la redondance ne suffit pas. La diversité est également essentielle. Mais tant la redondance que la diversité vont directement à l’encontre des économies d’échelles, qui ont tendance à consolider et à pousser les infrastructures en direction de la plus grande uniformité possible, au moins aussi longtemps que le coût de mitigation du risque informatique n’est pas pris en considération dans l’équation. Un autre obstacle à la redondance est le souci de confidentialité et de traçabilité des données. Il est évident que plus il existe de copies d’une pièce d’information donnée, plus il devient difficile de sécuriser correctement cette information. Finalement, les données les plus sûres sont celles qui sont verrouillées dans un endroit secret et inaccessible. Cette approche, en revanche, interfère avec la facilité d’utilisation de l’information: elle est là, mais personne ne peut y accéder. Une meilleure facilité d’utilisation de l’information augmente son accessibilité donc sa visibilité. La seule solution possible à ce conundrum est la cryptographie, qui restreint l’accès à l’intelligibilité des données sans enfreindre l’accès aux données elles-mêmes. En résumé, donc, la sécurité et l’accessibilité de l’information doivent être mesurées en considérant quatre mesures: 1 la confidentialité: il est nécessaire que l’information ne soit accessible qu’aux personnes autorisées; 2 l’accessibilité: la capacité d’accéder à l’information; 3 la traçabilité: la capacité de savoir qui a eu accès à l’information; 4 l’intégrité: la capacité d’avoir la certitude que l’information n’a pas été altérée. Bien entendu, comme nous l’avons mentionné plus haut, ces mesures ne sont pas forcément indépendantes et des concessions sont en pratique nécessaires. Ainsi l’accessibilité de l’information peut être difficile à concilier avec la confidentialité de celle-ci. L’art du contrôle du risque informatique consis-
te largement à obtenir un conjonction optimale de ces quatre dimensions dans un but donné. La multiplicité de ces dimensions d’évaluation rend la gestion du risque informatique particulièrement ardue tant d’un point de vue technique qu’organisationnel.
Pourquoi le risque informatique est-il différent? Le contrôle du risque est devenu un instrument standardisé en gestion d’entreprise, enseigné à tous les analystes quantitatifs et aujourd’hui largement formaté en un ensemble d’outils standards et acceptés. Ce qui a rendu possible cet état de fait a été l’émergence d’une méthodologie proposée, RiskMetrics, au milieu des années 1990, inspirée, mais pas copiée, par ce qu’utilisait la banque J.P Morgan. RiskMetrics était basé sur des données facilement accessibles, les prix et la corrélation existant entre les variations de ces prix. En outre, la méthodologie est librement publiée, tout comme les ensembles de données de base qui permettaient d’effectuer de nombreux calculs de risque d’une manière simple et peu onéreuse. Ce fut une révolution. Soudain, la notion de risque était définie, et on proposait un moyen systématique, formel et réaliste de l’évaluer. La méthodologie, ou plutôt la famille de méthodologies, proposée fut si largement adoptée qu’elle fut plus tard formalisée sous forme de loi à travers le mécanisme du Comité de Bâle pour les Transactions Internationales, qui règlemente l’activité bancaire dans les pays membres (dont font partie la plupart des grandes puissances). À partir de là, il devint obligatoire pour les banques de calculer et d’établir leurs rapports de risques sur la base du framework accepté, tout comme d’établir leurs standards de solvabilité sur la base de ces risques calculés. On aurait pu s’attendre à un phénomène comparable dans le cadre du risque informatique, mais cela n’a pas encore été le cas, et ce pour plusieurs raisons: La première, qui est peut-être aussi la plus compliquée, est que les données relatives à l’opération du réseau ont été, par le passé, généralement très
difficiles à obtenir. Vu qu’il n’existe pas de modèle accepté relatif à l’évaluation du risque informatique, personne ne sait précisément quelles sortes de données il s’agit de collecter, et quand bien même des données seraient collectées, cela est effectué d’une manière propriétaire, fermée, parfois grossière, qui rend l’interprétation de celles-ci difficile. Et lorsque l’information n’est pas standardisée, il devient très difficile de la partager et de l’analyser de manière efficace. L’accessibilité et la facilité d’utilisation limitées des données pénalisent également leur analyse, empêchant l’émergence de modèles acceptables qui permettraient de savoir ce qu’il faut rechercher dans les données collectées, et par conséquent l’acquisition de données utiles supplémentaires. Outre les barrières techniques, le manque de cadre réglementaire permettant de faire respecter l’existence du risque informatique a freiné la dissémination de données ponctuelles (rapports d’intrusions ou autres anomalies informatiques) liées à ce dernier, avec pour conséquence une sous-estimation de l’ampleur de ce risque. Peu d’évènements témoignant de la fragilité de l’informatique sont rendus publics, et les cas lors desquels de l’information a purement et simplement été perdue ne le sont généralement pas. Un autre obstacle au contrôle du risque informatique est la difficulté d’évaluation du bien dont la perte est mesurée: l’information. Tandis que les marchés financiers n’ont aucun problème à évaluer les actifs et les passifs, la nature pluridimensionnelle de l’information la rend justement difficile à apprécier. La valeur d’une information peut découler de sa confidentialité (l’accès à un compte bancaire permettant un libre accès à celui-ci), ou au contraire de sa publicité (un numéro de téléphone). Il en résulte ainsi qu’il est plus difficile de valoriser une information qu’un actif traité sur un marché ouvert et dont le prix est facilement observable. Peut-être donc le moyen le plus facile d’évaluer une information serait-il de mesurer les pertes découlant de la compromission de celle-ci. Le problème reste toutefois le manque de publicité donné aux pertes informatiques, ce qui rend difficile d’inclure la composante de cette perte dont la valeur de sa compo-
FI-spécial été – sécurIT – 28 août 2006 – page 13
Pourquoi faut-il modéliser le risque informatique? sition. En d’autres termes, l’évaluation de l’informatique, et par extension de toute l’infrastructure qui la soutient, est un phénomène complexe dont la poursuite requiert le développement de nouveaux paradigmes nécessitant de comprendre les processus d’utilisation des données et non seulement les données elles-mêmes.
Où allons-nous? Nous avons donc établi que le risque informatique est élevé. Ce que nous ignorons encore, c’est si nous pouvons y faire quelque chose. La réponse est oui! Il y a des choses que nous pouvons et devons faire. La première est de proposer un modèle réaliste décrivant l’émergence du risque et sa propagation. Ce modèle doit résulter de l’effort commun de plusieurs intervenants: 1 les juristes et preneurs de décisions doivent trouver les motivations adéquates pour s’assurer de la collaboration des principaux acteurs et déterminer les mesures légales appropriées;
2 les experts techniques doivent comprendre l’infrastructure et ses connexions, et générer les données nécessaires à ces mesures d’évaluation; 3 les économistes, économètres et ingénieurs financiers doivent construire le cadre d’évaluation de cette information; 4 les organisations publiques doivent soutenir et promouvoir cette méthodologie. Nous devons ensuite proposer, en accord avec les différents intervenants concernés, un cadre de modélisation de ce risque, et avec l’appui des experts techniques, obtenir le flux de données et l’information économique en découlant. Nous devons ensuite faire jouer le modèle avec les données jusqu’à ce que les deux s’accordent. Puis nous devons créer les motivations permettant d’étendre ce contrôle du risque à l’ensemble de la société. C’est à cette mission que s’emploie ISIS. Il s’agit d’un forum réunissant les experts rattachés à toutes
FI-spécial été – sécurIT – 28 août 2006 – page 14
les divisions du processus afin de comprendre les questions critiques affectant le risque informatique et comment le gérer. Notre objectif est d’encourager les discussions interdisciplinaires afin d’établir un cadre de travail commun, le mettre sur pied et le tester en regard de données expérimentales réelles, dans un esprit de science et d’ingénierie. Nous avons la chance à l’EPFL de disposer d’experts dans nombre de matières nécessaires à l’accomplissement de cette ambitieuse mission, et la capacité de nous appuyer sur des ressources considérables, relevant tant du public que du privé, pour aller de l’avant. Nous sommes impatients de nous attaquer à la montagne de travail nécessaire à la résolution des problèmes énoncés ci-dessus.n
Vers une société sous surveillance ?
Jean-Philippe.Walter@edoeb.admin.ch, Préposé fédéral suppléant à la Protection des données et à la transparence, Berne http://www.edoeb.admin.ch
matique, nos libertés se restreignent au nom de la sécurité et de l’efficacité, mettant en péril le fondement même de notre démocratie. Pour compléter ce tableau peu réjouissant, la Suisse va se doter d’un nouveau numéro AVS ou numéro d’assuré social. Par rapport à l’actuel numéro AVS qui renferme des données personnelles des assurés (nom de famille, date de naissance, sexe et
que cette révolution administrative se fasse au détriment du droit à la protection des données et de la souveraineté de l’individu sur ses propres données. Des modèles permettant d’atteindre les mêmes objectifs et notamment d’améliorer l’efficacité administrative tout en préservant mieux les libertés individuelles existent. Ils n’ont malheureusement pas été pris en considération et n’ont pas fait l’objet d’un examen
Vers une société sous surveillance ? méro AVS nu u ea uv no u d ue iq at m lé La prob
À
l’instar de l’ensemble des États de la planète terre, la Suisse se voit aussi confrontée à de nombreux défis qui ont pour nom: globalisation, restrictions budgétaires nécessitant des mesures de rationalisation et d’économie, maîtrise des coûts de la santé, lutte contre la criminalité ou sentiment croissant d’insécurité, etc. Le recours aux technologies de l’information et au traitement de données personnelles paraît une réponse adéquate. Un tel recours, même s’il peut être justifié, ne doit pas se faire au détriment de nos droits fondamentaux. Il faut trouver le bon équilibre entre mesures et restrictions. Or la systématisation de la vidéosurveillance, le recours accru à la biométrie, le développement de technologies invasives et intrusives, le traçage des déplacements de personnes et de leurs habitudes de consommation, la conservation des données de trafics de nos communications téléphoniques et électroniques ou de nos transactions commerciales sont des réalités qui tendent à se normaliser et qui peuvent remettre en cause cet équilibre. Ces mesures sont le plus souvent prises sans débat public et sans que les citoyennes et citoyens de ce pays ne s’en émeuvent, pensant à tort qu’ils ne courent aucun danger dès le moment où ils n’ont rien à se reprocher! Ils ne réalisent ainsi pas que petit à petit et de manière systé-
nationalité), ce nouveau numéro est non parlant, ce qui est préférable en regard des exigences de la protection des données. Toutefois, la révision de la loi sur l’assurance vieillesse qui permet ce changement et l’adoption d’une loi fédérale sur l’harmonisation des registres de personnes ne sont pas anodines. Elles créent les conditions favorables à l’introduction d’un numéro d’identification unique et universel (numéro d’assuré) qui ne sera pas réservé au seul domaine de l’AVS ou des assurances sociales, mais qui pourra être utilisé à d’autres fins administratives. Il pourrait ultérieurement être étendu au secteur privé, par exemple pour faciliter le recouvrement de créance, l’octroi de crédit ou la surveillance de notre consommation médicale. Ce numéro servira en particulier de base à l’harmonisation des registres de personnes et figurera dans les registres du contrôle de l’habitant afin de garantir une identification sans équivoque des individus. Il servira de référence commune dans plusieurs registres de personnes au niveau fédéral, cantonal et communal. L’objectif à atteindre (notamment, rationalisation de l’activité administrative, développement de statistiques basées sur les registres en lieu et place du recensement traditionnel de la population, etc.) est compréhensible. Il est cependant regrettable
approfondi. Alors que la Commission nationale de l’informatique et libertés en France (CNIL) a récemment interdit l’extension de l’utilisation du numéro de la sécurité sociale en dehors de la sphère de la santé et de la sphère sociale, nous emboîtons ainsi le pas aux systèmes de pays nordiques qui favorisent l’administration électronique des sujets numérotés (P. Bessard, L’Agefi du 7 juin 2006). L’introduction d’un numéro d’identification unique et universel est en mesure de faciliter l’accès à de nombreuses données personnelles provenant de différentes sources. Il permet de comparer ces données, de les coupler et de les utiliser pour des finalités différentes ou incompatibles de celles pour lesquelles elles ont été collectées. Il est ainsi possible de mettre en relation des informations qui ont été collectées à des fins spécifiques et qui sont conservées dans des fichiers relatifs à des domaines d’activités de la vie qui n’ont pas forcément de lien entre eux. Ainsi, on ne peut exclure que des données de santé se retrouvent en de fausses mains du fait d’une interconnexion non souhaitable. Comme le rappelle la CNIL dans un avis du 23 février 2006, l’utilisation généralisée d’un identifiant unique dans tous les registres permettrait de tracer les individus dans tous les actes de la vie courante.
FI-spécial été – sécurIT – 28 août 2006 – page 15
Vers une société sous surveillance ? Ces potentialités offertes par le nouveau numéro AVS entraînent un risque élevé d’atteinte au droit à la protection des données inscrit à l’article 13 de la Constitution fédérale. Or ce droit implique que tout traitement de données personnelles doit être légitime, proportionné et prévisible. En particulier, seules les données indispensables à atteindre une finalité spécifique et déterminée doivent être collectées et traitées. Il interdit de traiter des données personnelles lorsque cela n’est pas nécessaire. À l’heure de l’Internet, du développement de l’administration en ligne et d’un recours croissant aux technologies de l’information, les risques de dérapage ne doivent pas être négligés. La protection des données ne peut dès lors se résumer à la seule création de bases légales légitimant le traitement de données personnelles. Le respect des principes de la protection des données (notamment finalité, proportionnalité, exactitude) implique que des mesures techniques et organisationnelles soient mises en place et prises en compte dans le développement des systèmes d’information. Dans le cas de l’introduction du nouveau numéro d’assuré social et de l’harmonisation des registres des personnes, il ne suffisait pas de prévoir dans la loi l’utilisation d’un numéro non parlant pour garantir le respect de la protection des données1. Il était indispensable de prévoir un modèle qui empêchait techniquement des interconnexions et des utilisations de données non autorisées et non nécessaires. Un tel modèle excluait de recourir au numéro d’assuré social comme clé d’accès à d’autres registres. Ce numéro devait ainsi être réservé au secteur des assurances sociales uniquement. L’objectif légitime et non contesté de l’harmonisation des registres, l’amélioration de l’outil statistique ou le développement de l’administration électronique pouvaient être réalisés sans recours au numéro d’assuré social en tant qu’identifiant unique. À l’instar de notre voisin autrichien, il convenait d’étudier la mise en place d’un modèle basé sur des numéros sectoriels et une série de transformations cryptographiques à partir d’un numéro de référence
unique attribué à chaque individu. Par ce biais, il eut été par exemple possible à un office de statistique d’avoir accès aux données provenant de différents registres sans connaître l’identité des personnes concernées et de garantir le respect du secret statistique en évitant que les données détenues par la statistique ne soient utilisées pour des mesures ou des décisions individuelles affectant les personnes concernées. En outre, un tel système pouvait être compatible avec le système statistique européen. Appliqué au secteur de la santé, ce modèle permettrait un contrôle des coûts sans nécessairement avoir accès aux données d’identification des patients. L’individu pourrait communiquer avec l’administration en recourant à un pseudonyme lorsque son identification n’est pas indispensable. Un tiers de confiance par exemple pourrait jouer le rôle d’interface entre le patient, les prestataires de soin et les assurances. Ainsi en France, on teste actuellement un dossier électronique du patient avec un numéro identifiant santé spécifique qui identifie le patient concerné et évite les doublons et les risques de collision.
1
Le Parlement a opté pour un numéro d’assuré social pouvant servir d’identifiant unique. Dans la mise en vigueur, il devra veiller à ce que l’individu ne devienne pas totalement transparent et notamment, comme cela a été relevé par la porte-parole du groupe socialiste lors du débat au Conseil national du 6 juin 2006, doter les autorités de protection des données des moyens suffisants pour exercer leurs tâches d’accompagnement et de surveillance. n
Un numéro non parlant redevient parlant dès le moment où il est associé à un nom, notamment s’il figure sur une carte d’assuré.
FI-spécial été – sécurIT – 28 août 2006 – page 16
Protection de la sphère privée et vidéo surveillance
Virginie.Carniel@emitall.com, CEO EMITALL Surveillance SA
anAu cours de ces dernières t on s lisé ria ust nées, les pays ind cd’a ant iss cro subi un nombre taux tes terroristes et ont vu le es zon rs leu de criminalité de on faç de ter urbaines augmen à ces conséquente. En réponse uass ur po et menaces diverses cicon rs leu rer la sécurité de ques toyens, les autorités publi des é loy dép ont massivement ce llan vei sur éo systèmes de vid e qu ues giq até dans les points str les s, ort op aér cela soit dans les blics banques, les transports pu es. ain urb es ou da ns les zon e lèv sou es sur Or, ce type de me de ion est qu la immédiatement privée la protection de la sphère s une ver ce ian et le risque de dév Ceci er. oth Br société à la Big ées nn do les e qu d’autant plus de es tèm sys les récoltées par nt aie urr po nce vidéo surveilla ma de es lisé uti être et ont été rs teu éra op des nière abusive par , de à des fins de voyeurisme ion. nat mi cri dis chantage ou de nt isse pu s du ivi Pour que les ind e ru acc ité ur séc jou ir d’u ne de tie an gar la tout en ayant ère la protection de leur sph nce illa rve Su LL privée, EMITA un e SA (w ww.em ita ll.c om ), x, eu ntr Mo de jeune start-up gie olo hn tec e un a développé vidéo dans le domaine de la qu i nte ige ell int sur vei lla nc e x deu ces à dre on permet de rép s. préoccupation
Contexte politique Les gouvernements du monde entier sont concernés par le risque accru d’insécurité. Afin d’anticiper les actions terroristes et dans le but de permettre l’identification de suspects, les autorités investissent des montants toujours plus élevés dans la sécurité avec un fort accent sur les moyens de
vidéo surveillance. Or, certains pays, à l’instar de la Suisse, de la France, du Danemark, de l’Allemagne et du Canada, sont sensibles par tradition aux questions de la protection des données et recherchent des solutions pour garantir la préservation de l’anonymat de leurs citoyens. En Suisse, le préposé fédéral à la protection des données a émis des recommandations sur l’utilisation de la vidéo surveillance (www.edsb.ch). z La vidéosurveillance ne peut être effectuée que si cette atteinte à la personnalité est justifiée par le consentement des personnes concernées, par un intérêt prépondérant public ou privé ou par la loi (principe de licéité). z La vidéosurveillance doit être un moyen adéquat et nécessaire à la réalisation de l’objectif poursuivi,
En Suisse comme dans bon nombre d’autres pays, le débat sur la vidéo surveillance est au cœur de l’actualité politique et les autorités cantonales et communales sont de plus en plus souvent amenées à légiférer sur le sujet.
Une solution pour
la protection de la sphère privée Pour répondre à la préoccupation des autorités politiques de garantir une sécurité accrue tout en préservant la sphère privée, EMITALL Surveillance SA, une jeune société montreusienne spécialisée dans les technologies de la vidéo surveillance intelligente, a développé un logiciel spécifiquement conçu pour être intégré dans les plates-formes
Protection de la sphère privée et vidéo surveillance à savoir la sécurité, notamment la protection contre les atteintes aux biens et/ou aux personnes. Elle ne peut être retenue que si d’autres mesures moins attentatoires à la vie privée telles que verrouillages complémentaires, renforcement des portes d’entrée, systèmes d’alarme, s’avèrent insuffisantes ou impraticables (principe de proportionnalité). Toujours selon ce principe de proportionnalité, les données personnelles enregistrées par une caméra doivent être effacées dans un délai particulièrement bref. En effet, la constatation d’une infraction aux biens ou aux personnes aura lieu dans la plupart des cas dans les heures qui suivent sa perpétration. Un délai de 24 heures apparaît donc suffisant au regard de la finalité poursuivie dans la mesure où aucune atteinte aux biens ou aux personnes n’est constatée dans ce délai. Ce délai peut être plus long dans certains cas de vidéo surveillance.
de vidéo surveillance. Cette technologie logicielle permet la détection automatique d’événements (personnes ou objets en mouvement par exemple) tout en brouillant automatiquement et sélectivement les régions correspondantes (lesdits personnes ou objets ne peuvent donc plus être identifiés), garantissant ainsi l’anonymat des personnes filmées par les caméras de vidéo surveillance. La force novatrice de cette technologie réside dans le module d’analyse vidéo qui identifie les régions d’intérêt sensibles, telles que personnes ou plaques d’immatriculation par exemple, qui les brouille ensuite et surtout qui permet la réversibilité de l’opération, à savoir une ouverture de l’image grâce à une clé d’encryptage. La technologie de brouillage est compatible avec la plupart des techniques de compression vidéo telles que Motion JPEG, Motion JPEG 2000, MPEG-4 ou AVC/H.264���������� . D’autre part, le niveau de distorsion introduit peut aller d’un flou léger à un bruit
FI-spécial été – sécurIT – 28 août 2006 – page 17
Protection de la sphère privée et vidéo surveillance
ées et brouillées. z La caméra capte l’image. sont automatiquement détect nes son per les us, ess ci-d z Dans la scène uillé. e. ées et stockées en mode bro enue par l’autorité compétent z Les images sont enregistr les objets brouillés et est dét es données cryptées. tèg les pro ir age uvr ypt d’o n ncr isio d’e e déc z Une clé secrèt e peut prendre la ent pét com ité tor l’au , eux délictu z En cas de suspicion d’acte une clé spécifique par é suspect sans perte de qualité tég pro est et z Chaque obj et permet l’identification du ert ouv est é ign dés jet l’ob rs clés, z En utilisant une ou plusieu es. cké sto des données
complet, ceci ayant pour conséquence que seules les informations sensibles sont brouillées alors que le reste de la scène demeure compréhensible. Le brouillage est contrôlé par une clé secrète d’encryptage qui permet aux personnes autorisées d’inverser le processus et d’ouvrir les images brouillées. La possession de la clé étant dépendante du système juridique en place, elle sera en général détenue par une autorité compétente à l’instar d’un juge d’instruction ou de toute autre force légale. En revanche, toute personne non autorisée et ne possédant pas la clé, ne pourra pas accéder aux données en clair et ne pourra reconnaître les individus filmés ou autres informations sensibles puisque non identifiables. La technologie d’EMITALL Surveillance a été spécifiquement développée pour pouvoir être intégrée dans les plates-formes de vidéo surveillance publique existantes ou futures.
Différentes intensités de
brouillage peuvent être appliquées sur la scène Dans la scène 1, l’illustration en page suivante montre une scène urbaine avec un brouillage de forte intensité qui permet de reconnaître les silhouettes des individus et les contours des voitures sans permettre l’identification. Dans ce cas, le système a détecté tous les objets en mouvement et les a brouillés. Dans la scène 2, on voit cette fois un brouillage de moyenne intensité qui permet de voir plus de détails sans toutefois pouvoir identifier les personnes filmées.
Technologie L’approche utilisée consiste à détecter des régions d’intérêt, les brouiller et les protéger par une clé de cryptage en travaillant dans le domaine transformé (transform domain). Cette approche est générique et peut être appliquée à toute
FI-spécial été – sécurIT – 28 août 2006 – page 18
technique de codage par transformée (transform-coding) telles que celles basées sur la transformée en cosinus (Discrete Cosine Transform -DCT) ou transformée en ondelettes (Discrete Wavelet Transform -DWT). La décision d’effectuer le brouillage dans le domaine transformé est justifiée par l’efficacité optimale des taux de compression obtenus. En effet si l’on appliquait le brouillage avant la compression, on risquerait de perdre de l’efficacité dans le processus de compression, de même que si l’on appliquait le brouillage après la compression, on rencontrerait des difficultés à garder la syntaxe du codestream conforme. Le brouillage est obtenu en inversant les signes des cœfficients durant la compression. Cette technique est flexible et permet d’ajuster le niveau de distorsion introduit, en passant d’un flou léger à un bruit complet. Les régions d’intérêt peuvent correspondre soit à des zones prédéfinies dans la scène ou être automatiquement estimées en utilisant l’analyse vidéo. La segmentation automatique d’objets
Protection de la sphère privée et vidéo surveillance identifier dans le cadre d’une enquête officielle donne un moyen performant et un outil efficace aux autorités pour éviter les abus de la vidéo surveillance et surtout leur permet d’augmenter l’acceptation de telles installations auprès des citoyens. Le fait que les images soient enregistrées et stockées brouillées permet aussi de garder les données plus longtemps avec l’assurance d’un anonymat garanti. Ceci démontre que les technologies peuvent apporter des solutions pour la protection de la sphère privée et même influencer les législateurs. En effet, la Commune du Grand-Saconnex a voté récemment un texte qui stipule que des installations de vidéo surveillance pourront être installées à la condition expresse que celles-ci comporte une technologie de brouillage réversible.
Scène 1
Références
Scène 2
dans la vidéo peut poser problème, or en utilisant des techniques telles que la détection de visage, la détection de changements, la détection de peau ou le tracking, ou encore une combinaison de ces diverses méthodes, le résultat sera probant. Ces techniques de brouillage offrent bon nombre d’avantages. En effet, la sortie du système consiste en un flux de données uniques protégé. Ce même flux de données est transmis à tous les clients indifféremment de leur contrôle d’accès et d’identification. D’une part, les clients autorisés, en possession de la clé d’encryptage, peuvent dé-brouiller
le flux de données et retrouver l’image d’origine sans distorsion et d’autre part, les personnes non autorisées ne verront que l’image brouillée. La technique développée est ainsi très flexible. Elle a peu d’impact sur les performances d’encodage et requiert peu de puissance de calcul alors qu’elle s’adapte à la plupart des standards de compression vidéo existants.
Conclusion Protéger l’anonymat des individus tout en offrant la possibilité de les
scrambled codestream
input frames DWT
z F. Dufaux and T. Ebrahimi, Scrambling for Video Surveillance with Privacy, Proc. of IEEE Workshop on Privacy Research In Vision, New York, NY, June 2006. http://www. emitall.com/template/fs/documents/ scambing.pdf z F. Dufaux, M. Ouaret Y. Abdeljaoued, A. Navarro, F. Vergnenegre and T. Ebrahimi, Privacy Enabling Technology for Video Surveillance, in SPIE Proc. Mobile Multimedia / Image Processing for Military and Security Applications, Orlando, FL, April 2006. http:// www.emitall.com/template/fs/documents/privecy.pdf. n
Q
selective scramble
arith. coder scrambled codestream
Encoder 2000 – Discrete Illustration de Motion JPEG
arith. decode
inverse scramble
Q-1
only available to autorized users
DWT-1 decoded frames
Decoder Wavelet Transform (DWT)
– Intra-frame coding
FI-spécial été – sécurIT – 28 août 2006 – page 19
Pourquoi l’attaque sur Internet est-elle rentable?
De la naïveté régnant dans un monde nouveau encore innocent
Mauro.Vignati@fedpol.admin.ch, MELANI (Centrale d’analyse pour la sûreté de l’information) – SCOCI (Service de coordination de la lutte à la criminalité sur Internet) – Office fédéral de police, Berne
Introduction Quoique l’Internet soit un phénomène relativement nouveau, la plate-forme qu’il met actuellement à disposition permet d’échanger des informations, d’effectuer des opérations commerciales et d’assurer une communication dans des conditions toujours plus rapides et efficaces. Un nombre croissant d’utilisateurs profitent des possibilités offertes aujourd’hui par la Toile. Environ 60 % de la population dispose d’une connexion Internet en Suisse. Souvent considéré comme un espace virtuel mondial offrant des possibilités illimitées, Internet n’est en fait qu’un modèle simple du monde réel, avec ses bons et ses mauvais aspects. Comme tous les avantages et les inconvénients se retrouvent indistinctement sur un terrain de jeux qui englobe la planète entière, Internet est soumis aux mêmes règles, parfois sous une forme encore plus évidente, que celles régissant le monde réel. Il n’est donc guère difficile d’apporter une réponse à la question posée en titre: pourquoi l’attaque sur Internet est-elle rentable? Les agressions qui visent en principe le porte-monnaie de tout un chacun, les données d’une personne ou la productivité d’une entreprise sont tout aussi profitables que celles commises dans le monde physique. Il convient donc d’aborder le problème sous un autre angle et de chercher à comprendre à quoi ressemblent ces attaques et pourquoi certaines d’entre elles sont nettement plus rentables que d’autres lorsqu’elles sont menées sur Internet ou par le biais d’Internet.
À l’instar de la grande métropole ou du petit village alpestre, Internet a ses ombres et ses lumières. Il offre un espace de rencontre ouvert qui permet à tout un chacun non seulement de musarder dans un environnement sérieux et juridiquement correct et d’en profiter, mais aussi de s’engager dans des ruelles sombres. Or bon nombre d’internautes font preuve d’une grande naïveté lorsqu’ils fréquentent ces quar-
simples règles de bon sens et de saine méfiance ne se sont pas encore imposées dans le monde virtuel.
C’est la masse qui
conduit au succès Il est plus facile de soustraire, en usant d’astuces perfides, l’argent d’un quidam par le biais d’Internet que dans le monde réel. L’espace virtuel permet également d’accéder à un énorme vivier de clients potentiels et de mettre la main sur des montagnes
Pourquoi l’attaque sur Internet est-elle rentable? tiers inquiétants, et il s’agit là d’un véritable problème. Alors qu’aucun de nous n’aurait l’idée de remettre une copie de son passeport au premier venu croisé dans la rue, une telle situation semble se présenter tous les jours sur Internet. C’est ainsi que le trafic d’identités volées, de numéros de carte de crédits et d’identifiants commis aux portails de ventes aux enchères ou aux sites de services bancaires en ligne fait florès. Nous ne pensons ici qu’aux principales formes de fraudes que sont le phishing, l’escroquerie aux enchères en ligne, l’arnaque des lettres nigérianes, ainsi que le grooming auquel ont recours certains pédophiles pour entrer en contact avec des enfants par le biais de chats. Ne nous laissons pas leurrer, l’anonymat que fait miroiter le monde virtuel n’offre pas forcément la sécurité. Bien au contraire, il est très difficile d’identifier un avatar virtuel comme une véritable représentation d’une personne ou d’une institution physique sérieuse telle que cela serait le cas dans le monde réel. Malgré cela, les internautes restent très naïfs face aux questions de sécurité sur la Toile: les
FI-spécial été – sécurIT – 28 août 2006 – page 20
d’informations dont l’enregistrement est centralisé. Les attaques sur Internet s’appuient sur la loi des grands chiffres. Ainsi, même si le taux de réaction est faible, les gains n’en restent pas moins significatifs. Prenons l’exemple du phishing, une escroquerie classique qui menace notamment les utilisateurs des services bancaires en ligne: seule une infime partie des millions de clients réagit au message piégé qui leur a été adressé, mais le gain réalisé par l’agresseur lui permet d’acheter une, voire plusieurs voitures neuves. La Toile, qui est en fait une banque de données, offre de bonnes chances de succès à l’agresseur lorsqu’il attaque de manière ciblée plusieurs millions de blocs de données exploitables. Aux États-Unis, des vétérans de l’armée bénéficiant d’une rente invalidité se trouvent d’un jour à l’autre, sans le savoir, dépourvus de l’usage de leur carte de crédit, ce à l’avantage de l’escroc qui est parvenu à obtenir les données les concernant. L’internaute se laisse également prendre au jeu de l’agresseur, car les systèmes ayant été infectés et ayant subi
Pourquoi l’attaque sur Internet est-elle rentable? des intrusions permettent à merveille de dissimuler le véritable lieu d’origine d’une attaque. Plusieurs millions d’ordinateurs continuent certes d’être utilisés par leurs propriétaires, mais sont en fait contrôlés par d’autres. Les entreprises Internet faisant du commerce en ligne par exemple se prêtent bien au chantage fondé sur les attaques de déni de service distribué (DDoS). Or le versement d’une fraction du chiffre d’affaires mensuel suffit en général à écarter quelques jours durant le risque d’être rayé du réseau.
Conclusions Que ce soit sur Internet ou dans le monde réel, les actions criminelles sont payantes chaque fois que se rencontre, ici ou là, un grand nombre de
personnes qu’il est possible de filouter ou dont on peut tirer des informations personnelles. Les activités transfrontalières exercées dans un réseau planétaire ne sont en fait que jeux d’enfant et les victimes potentielles n’opposent pour l’instant guère de résistance face à de tels agissements. Le commerce lié au vol d’identités, au phishing et aux escroqueries en ligne est en pleine prospérité. Ainsi, la personne qui s’intéresse uniquement aux côtés techniques et non à l’acte illégal en soi, met, moyennant un prix respectable, son savoir-faire ou ses innovations techniques à la disposition de tout individu voulant utiliser des maliciels ou des programmes similaires à des fins lucratives. Le principe de la pondération des risques est celui qui prévaut sur la Toile. Autrement dit, tant que les pers-
pectives de gains dépassent les risques d’un échec, les attaques sur Internet resteront un champ d’activité attractif pour les cybercriminels. C’est donc aux autorités de poursuite pénale des pays confrontés au phénomène qu’il revient principalement de faire en sorte que cela change et de consolider leur coopération. Enfin, comme Internet ne diffère guère du monde réel, tout un chacun doit être à même de protéger ses biens contre des attaques éventuelles, ne serait-ce qu’en faisant appel à son bon sens. n
t et trale d’enregistremention MELANI – Cenla sûreté de l’informa d’analyse pour w.melani.admin.ch ww
ur ce faire, MELANI offre: Protégez vos données! Po re ordinateur et de vos ves à la protection de vot z des informations relati données uels t les dangers et risques act z des messages concernan ies sub es les attaqu z la possibilité d’annoncer
FI-spécial été – sécurIT – 28 août 2006 – page 21
La contribution du droit à la sécurité des systèmes d’information
Bertrand.Warusfel@univ-lille2.fr, Professeur à l’Université de Lille 2 & Avocat au barreau de Paris (cabinet FWPA)
On
sait que la sécurité des systèmes d’information est un domaine très technique. On peut donc s’interroger sur la contribution que les outils juridiques peuvent néanmoins apporter à l’établissement et au maintien de cette sécurité. La première réponse qui vient généralement à l’esprit concerne l’apport du droit pénal, qui doit permettre de
conclue sous les auspices du Conseil de l’Europe (mais à laquelle ont adhéré les États-Unis, le Japon et le Canada notamment) qui fixe, en particulier, la typologie commune des atteintes malveillantes aux systèmes d’information et décrit les moyens judiciaires et les procédures favorisant leur répression. Cette Convention sur la cybercriminalité, adoptée à Budapest le 21 novembre 2001, établit notamment la liste des différents actes malveillants qui sont considérés comme une infraction et donc punis pénalement. Mais elle dote aussi les autorités judiciaires de nouveaux moyens d’enquête.
ou 432-9 CP (lorsqu’elle est commise par un agent public ou un fournisseur de services de communication). En droit suisse, s’appliquent à ces mêmes cas, l’article 179 bis du Code pénal ou l’article 321ter.
Les atteintes à l’intégrité
Les atteintes
malveillantes à la sécurité des systèmes Cinq catégories d’infractions ont été décrites par la Convention au titre
Les articles 4 et 5 de la Convention imposent de sanctionner pénalement le fait, intentionnel et sans droit, d’endommager, d’effacer, de détériorer, d’altérer ou de supprimer des données informatiques (atteinte à l’intégrité des données) ou l’entrave grave, intentionnelle et sans droit, au fonctionnement d’un système informatique, par l’introduction, la transmission, l’endommagement, l’effacement, la détérioration, l’al-
la à it o r d u d n io t u ib La contr n io t a m r o f n ’i d s e m è t s y s sécurité des sanctionner l’auteur d’une atteinte délibérée à un système d’information. En effet, lorsque la fiabilité des mesures techniques de protection n’a pas dissuadé ou empêché le fraudeur d’agir, il ne reste plus qu’à souhaiter que le droit et les moyens judiciaires puissent entrer en jeu. Mais l’attention croissante portée depuis quelques années à ces aspects de lutte contre la cybercriminalité ne doit pas cacher d’autres contributions essentielles du droit à la sécurité des systèmes, qu’il s’agisse de créer un cadre juridique pour l’utilisation des technologies de confiance ou des pratiques contractuelles de prévention des risques en amont d’un projet informatique.
des atteintes aux systèmes informatiques et à leur sécurité:
L’accès illégal
Nous disposons depuis novembre 2001 d’une convention internationale
La falsification informatique
L’interception illégale
Réprimer les
infractions informatiques
L’accès illégal se définit par l’accès intentionnel et sans droit à tout ou partie d’un système informatique (article 2). En droit français, l’accès illégal est réprimé par l’article 323-1 du Code pénal. En droit suisse, c’est l’article 143 bis du Code pénal fédéral qui punit également ce type d’infraction.
L’interception illégale se définit par l’interception intentionnelle et sans droit, effectuée par des moyens techniques, de données informatiques, lors de transmissions non publiques, à destination, en provenance ou à l’intérieur d’un système informatique (article 3). En droit français, l’interception illégale est réprimée par les articles 226-15 CP (lorsque l’interception est le fait d’une personne privée)
FI-spécial été – sécurIT – 28 août 2006 – page 22
tération et la suppression de données informatiques (atteinte à l’intégrité du système). Le Code pénal français sanctionne de tels agissements par ses articles 323-2 CP (atteinte au fonctionnement d’un système) et 323-3 CP (atteintes aux données). En Suisse, l’atteinte à l’intégrité des données paraît essentiellement punissable sur le fondement de l’article 321ter du Code pénal.
La falsification informatique se définit par l’introduction, l’altération, l’effacement ou la suppression intentionnels et sans droit de données informatiques, engendrant des données non authentiques, dans l’intention qu’elles soient prises en compte ou utilisées à des fins légales comme si elles étaient authentiques (article 7). Seule la finalité de cet acte le distingue des infractions précédentes: il y a falsification informatique – au sens de la Convention – lorsque l’atteinte à l’intégrité a pour but
La contribution du droit à la sécurité des systèmes d’information de favoriser la constitution d’une fausse preuve (en particulier, mais non exclusivement, dans tout le domaine des télé-procédures administratives dématérialisées). Tant le droit suisse que le droit français ne connaissent pas d’infractions particulières, préférant s’en rapporter à la sanction générale des faux en écriture privée ou publique (v. les articles 251 et 252 du Code pénal suisse et les articles 441-1 et suivants du Code pénal français).
La fraude informatique
La fraude informatique se définit par le fait de causer un préjudice patrimonial à autrui par:(a). l’introduction, l’altération, l’effacement ou la suppression de données informatiques, (b). toute forme d’atteinte au fonctionnement d’un système informatique, dans l’intention, frauduleuse ou délictueuse, d’obtenir sans droit un bénéfice économique pour soi-même ou pour autrui (article 8). Là encore, la matérialité de l’acte commis ne se différencie pas nettement de ceux susceptibles d’être considérés comme de simples atteintes à l’intégrité. C’est toujours la finalité de celui-ci qui caractérise l’infraction en tant que fraude informatique: il s’agit d’obtenir par le biais de cette manipulation du système, un avantage économique (par exemple, se faire verser une somme indue). Le Code pénal suisse sanctionne ainsi par son article 147 une utilisation frauduleuse d’un ordinateur. En revanche, le droit pénal français ne comporte pas de dispositions particulières, la répression de tels actes résultant de la combinaison possible entre les dispositions des articles 323-2 et 323-3 CP (sur les atteintes aux systèmes et aux données) et celles qui répriment, plus généralement, le vol ou l’escroquerie.
En complément, l’article 6 de la Convention de Budapest enjoint également aux États de sanctionner pénalement la production et la mise à disposition (vente, location ou par un
1
autre canal de diffusion) d’un dispositif (matériel ou logiciel) principalement conçu ou adapté pour permettre la réalisation de ces différentes infractions.
La création et la
diffusion numérique de certains contenus illicites La Convention de novembre 2001 oblige également à réprimer trois catégories d’infractions se rapportant aux contenus numériques1:
La production et la diffusion numérique de pornographie infantile
L’article 9 de la Convention définit la pornographie enfantine comme toute matière pornographique représentant de manière visuelle un mineur (ou une personne qui apparaît comme un mineur) se livrant à un comportement sexuellement explicite. Doit donc être sanctionnée pénalement le fait de se livrer, intentionnellement, à la production de tels contenus numériques ou de concourir à leur offre, leur diffusion, leur transmission, leur réception ou leur stockage par le biais d’un système de traitement de l’information.
La production et la diffusion numérique de contrefaçons
L’article 10 de la Convention impose de poursuivre tous les actes réalisés à l’aide d’un système informatique qui portent atteinte à un droit de propriété intellectuelle (à savoir principalement, les droits d’auteur et leurs droits voisins, les droits de brevet, de marque et de dessin ou modèle).
La production et la diffusion numérique de matériel raciste et xénophobe
Le protocole additionnel à la Convention de janvier 2003 concerne la diffusion par voie numérique de tout matériel raciste ou xénophobe. De même doivent être poursuivies les menaces, insultes et propos négationnistes tenus et diffusés au travers d’un système
de traitement de l’information, lorsqu’elles ont un objectif et une motivation raciste ou xénophobe.
Les nouveaux moyens d’enquête pénale
Pour favoriser la répression de tous ces actes commis à l’encontre des systèmes d’information ou par leur biais, la Convention sur la cybercriminalité dote les différents états signataires de nouveaux moyens d’enquête, supposés être adaptés aux particularités techniques des réseaux numériques qui sont à la fois très facilement délocalisables et très facilement réversibles (ce qui empêche souvent de retrouver a posteriori des preuves de certains agissements commis sur ces réseaux). Désormais, la justice de chaque pays (et donc les forces de police judiciaire travaillant sous le contrôle des juges) peut recourir aux moyens suivants: z la conservation rapide des données, c’est-à-dire enjoindre à toute personne concernée (et notamment aux fournisseurs de service) de sauvegarder provisoirement les données utiles (notamment les données de trafic) (article 16). z l’injonction à tout utilisateur de communiquer des données informatiques en sa possession (lorsqu’elles peuvent être utiles à l’établissement de la preuve d’une infraction) ainsi qu’à tout fournisseur de service (article 18). z la perquisition et l’accès à tout système informatique installé sur le territoire national, pour saisir ou copier toute information numérique stockée, y compris à distance sur un autre système situé sur le territoire national (article 19). z la collecte par les fournisseurs de service en temps réel des données de trafic (article 20). z enfin, dans les cas d’infractions graves, intercepter (ou faire intercepter) le contenu de certaines communications (article 21). Ces moyens d’enquête renforcée sont complétés par des engagements de coopération internationale permettant aux juridictions et aux services de police d’échanger leurs informations et de se prêter assistance en matière de cybercriminalité.
La troisième catégorie – concernant les contenus racistes et xénophobes – lui a été adjointe par un protocole additionnel en date du 28 janvier 2003.
FI-spécial été – sécurIT – 28 août 2006 – page 23
La contribution du droit à la sécurité des systèmes d’information Mais cette approche répressive ne doit pas (et ne peut pas) être la seule parade juridique aux différentes formes d’insécurité qui peuvent affecter les systèmes de traitement de l’information. Plutôt que réprimer a posteriori des abus, il vaut mieux favoriser a priori un usage juridiquement sécurisant des systèmes et des réseaux numériques. Et pour établir – comme le dit joliment le titre d’une récente loi française2 – la confiance dans l’économie numérique, il faut mettre en œuvre des outils techniques auxquels le droit peut accorder un certain niveau de confiance.
Mettre en œuvre des
moyens numériques de confiance Dans les échanges numériques sur les réseaux, la confiance commence par la nécessité de réaliser une authentification préalable des parties, ce qui va permettre juridiquement d’assurer l’imputabilité de leurs actes effectués par voie électronique (et de leur en attribuer les effets et la responsabilité). Il faut ensuite que soit garanti un niveau satisfaisant d’intégrité des contenus afin que chacun soit prémuni contre toute altération, accidentelle ou volontaire, de ce qui va être échangé. On rencontre là aussi une fonction technique bien connue en sécurité des systèmes. Et cette exigence d’intégrité se perpétue dans le temps puisqu’il est généralement indispensable de pouvoir en garantir la conservation à moyen ou long terme (notamment jusqu’aux délais de prescription légaux). Il ne suffit pas de recueillir à l’instant de l’échange la preuve de l’intégrité de celui-ci, encore faut-il pouvoir la stocker et pouvoir en assurer à nouveau la vérification plus tard en cas de litige. Enfin, il est souvent nécessaire à celui qui accède à une ressource
2
3
4
5
numérique d’identifier celui qui a la charge de cette ressource, mais également la nature des droits qu’il peut exercer sur celle-ci (droit de copie, d’utilisation, …). Là aussi, il faut donner force juridique à des mécanismes d’authentification susceptibles de fournir à l’utilisateur une information fiable sur les droits qu’il peut prétendre mettre en œuvre en ligne. Pour satisfaire à tous ces besoins indispensables à la sécurité juridique des échanges numériques, le droit doit fournir un cadre précis qui fixe les conditions de la reconnaissance et de l’utilisation de certaines technologies destinées à créer la confiance et la sécurité. C’est pour cette raison qu’ont été adoptées ces dernières années des réformes législatives concernant la signature électronique et la preuve numérique.
La reconnaissance des
signatures électroniques La directive communautaire du 13 décembre 1999 a défini dans l’Union européenne la notion juridique de signature électronique et les effets que l’emploi de celle-ci peut avoir en matière de preuve des échanges numériques. Selon l’article 2 de cette directive, une signature électronique est: «une donnée sous forme électronique, qui est jointe ou liée logiquement à d’autres données électroniques et qui sert de méthode d’authentification». En Suisse, la loi du 19 décembre 2003 a adopté une définition identique3. On retrouve dans cette définition les deux aspects qui sont communément retenus pour définir juridiquement une signature: d’un côté, authentifier; de l’autre, établir une relation avec le contenu du document signé4. Mais pour accorder un effet juridique fort à la signature électronique (notamment à titre de preuve des transactions numériques et des contrats conclus en ligne), celle-ci doit satisfaire
en sus à des conditions de fiabilité particulière. Les lois européennes ou suisses définissent dans des termes très proches ces caractéristiques techniques et organisationnelles auxquelles doivent satisfaire les différents éléments du système de signature employé (c’est-à-dire le procédé cryptographique, le logiciel qui le met en œuvre et les certificats qui permettent de vérifier les signatures). Ces conditions concernent: z d’une part, le niveau de sécurité du procédé cryptographique de signature et des moyens techniques (logiciels et éventuellement matériels associés – tels que carte à mémoire, par exemple) qui permettent de créer les signature5; z d’autre part, le niveau de fiabilité et de qualité des certificats et du processus de certification sur lesquels s’appuie le système de signature. Par exemple, le Code civil suisse –tel qu’il a été modifié à partir du 1er janvier 2005– prescrit désormais à son article 14.2bis que: la signature électronique qualifiée, basée sur un certificat qualifié émanant d’un fournisseur de services de certification reconnu au sens de la loi du 19 décembre 2003 sur la signature électronique est assimilée à la signature manuscrite.
L’admission des preuves
numériques Conséquence de la reconnaissance juridique de l’utilisation des techniques cryptographiques de signature (notamment, les techniques à clé publique), il devient aussi possible de prévoir que des écrits électroniques peuvent être admis juridiquement en tant que preuves, dès lors qu’ils présentent les qualités requises en matière d’authentification et de préservation de leur intégrité.
L’article 5.2 de la directive du 13 décembre 1999 a prescrit, en effet, que les états européens devaient veiller à ce
Loi n° 2004-575 du 21 juin 2004 pour la confiance dans l’économie numérique, Journal Officiel de la République Française, 22 juin 2004, p. 11168. Ce texte qui est en quelque sorte la loi-cadre du droit de l’Internet et du commerce électronique en France comporte d’ailleurs différentes dispositions relatives à la sécurité. Article 2a de la Loi fédérale sur les services de certification dans le domaine de la signature électronique (Loi sur la signature électronique, SCSE). Voir, par exemple, le nouvel article 1316-4 du Code civil français qui dispose – depuis la loi du 13 mars 2000 – que La signature nécessaire à la perfection d’un acte juridique identifie celui qui l’appose. Elle manifeste le consentement des parties aux obligations qui découlent de cet acte. Quand elle est apposée par un officier public, elle confère l’authenticité à l’acte. Voir, par exemple, la définition de la «signature avancée» donnée par l’article 2 de la directive du 13 décembre 1999, reprise à l’article de la loi suisse du 19 décembre 2003 ainsi que par l’article 1er du décret français du 30 mars 2001 (sous la dénomination de signature électronique sécurisée).
FI-spécial été – sécurIT – 28 août 2006 – page 24
La contribution du droit à la sécurité des systèmes d’information que l’efficacité juridique et la recevabilité comme preuve en justice ne soient pas refusées à une signature électronique au seul motif que cette signature se présente sous forme électronique. Allant plus loin dans ce sens, le Code civil français a même été modifié par la loi du 13 mars 2000 afin de transformer les règles relatives à la définition et aux conditions d’admission de toutes les preuves par écrit. Désormais, la preuve par écrit est définie en France par l’article 1316 CCiv comme simplement constituée d’une suite de lettres, de caractères, de chiffres ou de tout autre signe ou symbole doté d’une signification intelligible, quels que soient leur support et leurs modalités de transmission (ce qui couvre tout à la fois la preuve papier et la preuve sur support numérique). Et le nouvel article 1316-1 CCiv précise que l’écrit sous forme électronique est admis en preuve au même titre que l’écrit sur support papier, sous réserve que puisse être dûment identifiée la personne dont il émane et qu’il soit établi et conservé dans des conditions de nature à en garantir l’intégrité. À terme, cette large admissibilité des preuves numériques (et notamment des documents revêtus d’une signature électronique fiable) devrait largement contribuer à faire de l’espace numérique un espace régulé dans lequel chacun sera pleinement identifiable et devra assumer les conséquences juridiques de ses agissements. Et si cela peut susciter quelques inquiétudes, en cas d’abus, du point de vue de la protection de la vie privée, il est clair que cela devrait également améliorer sensiblement le niveau de sécurité des systèmes d’information. E n e f f e t , t o u s c e s m oy e n s d’authentification et de contrôle de l’intégrité des échanges et des données vont rendre tout à la fois la traçabilité et la preuve plus aisées, et la fraude plus difficile tout en donnant aux relations numériques un cadre juridique fiable. On voit bien ainsi que la contribution du droit à la sécurité des systèmes n’est pas seulement répressive, elle peut être aussi préventive. C’est également le cas s’agissant de la nécessaire utilisation des moyens contractuels pour encadrer et limiter à l’avance les risques d’insécurité qui peuvent apparaître dans tout projet de système d’information.
Contractualiser la sécurité d’un système Utiliser le contrat est, en effet, un complément indispensable en amont à la mise en œuvre des dispositions civiles relatives à la preuve et à la signature électronique ou des sanctions pénales réprimant les atteintes aux systèmes d’information. Avant même de requérir les moyens de la loi, il est important de négocier et de fixer, entre les partenaires techniques qui vont contribuer à la mise en œuvre du système, sa propre loi (car le contrat fait bien la loi des parties). La mise en place d’un système d’information nécessite différents préalables techniques relatifs au choix et au paramétrage des moyens matériels et logiciels destinés à constituer le système. Mais parallèlement cette mise en place s’accompagne, le plus souvent, de l’établissement de relations contractuelles entre l’opérateur du système d’information et les différents fournisseurs et prestataires auxquels il a recours pour sa mise en œuvre (société de services informatiques, hébergeur, prestataires de télécommunication, voire dans certains cas prestataire d’infogérance). Tous ces prestataires doivent à leur client le respect de différentes obligations, les unes sont des obligations générales (qui convient de respecter même en l’absence de clauses prévues dans le contrat: c’est le cas de l’obligation de conseil et de l’obligation de délivrance), les autres dépendent des stipulations contractuelles qui ont été négociées. Dans la mesure où les engagements relatifs à la sécurité du système d’information sont essentiels à la réussite d’un projet de système d’information, il est nécessaire que les différents contrats passés avec les prestataires comportent des dispositions particulières établissant et décrivant les obligations en la matière. Les exigences de sécurité sont à prendre en compte dans tous les cas de figure: qu’il s’agisse de simples contrats de fourniture de moyen (matériel ou logiciel) dans lesquels il faut s’assurer que ce qui est fourni présentera bien le niveau de fiabilité et de sécurité requis pour la fonction que doit remplir le système; ou qu’il s’agisse d’un cas où le prestataire assure un véritable service
d’hébergement (de données, de site Web, d’applications, voire d’infogérance du système d’information dans son ensemble) pour lequel il doit garantir à son client qu’il prendra toutes les mesures appropriées, tant sur le plan physique que logique, pour assurer la sécurité des données ou des applications qui vont lui être confiées. Ces dispositions spécifiques à la sécurité peuvent être, suivant les cas, de plusieurs natures: z soit un simple engagement général de chaque intervenant à mettre en œuvre tous les moyens de sécurité nécessaires et conformes à l’état de l’art pour préserver la sécurité globale du système concerné (affirmation d’une obligation générale de sécurité); z soit une description plus précise des responsabilités respectives du client et du (ou des) prestataire(s) dans les différents aspects de la sécurité du système (répartition des rôles et des responsabilités en matière de sécurité); z soit la fixation détaillée (souvent dans une annexe de sécurité spécifique) des moyens et des procédures à mettre en œuvre par les différents intervenants; z soit encore, la détermination des objectifs techniques à respecter (en termes de disponibilité, de confidentialité, …), par exemple dans le cadre de ce que l’on appelle (dans un contrat d’infogérance) un accord de Service Level Agreement; z voire même, pour un projet particulièrement important, la conclusion d’un véritable accord de sécurité (security agreement) qui va lier tous les intervenants quant aux moyens et aux résultats à atteindre en matière de sécurité du futur système d’information à mettre en place. Quel que soit le niveau de précision et d’engagement ou la forme retenue, ces clauses contractuelles relatives à la sécurité doivent être articulées entre elles. Si l’on a plusieurs prestataires ou fournisseurs (ce qui est le cas usuel), c’est bien une chaîne d’engagements contractuels relatifs à la sécurité qu’il faut organiser, de manière à éviter toute lacune, mais aussi tout recouvrement ou toute contrariété de responsabilité.
FI-spécial été – sécurIT – 28 août 2006 – page 25
La contribution du droit à la sécurité des systèmes d’information Bien évidemment, cette question de la contractualisation des engagements de sécurité conduit aussi à vérifier et à faire vérifier les aspects d’assurance qui doivent nécessairement sous-tendre lesdits engagements par les différents partenaires du projet de système d’information. Ainsi, lorsque la prise en compte juridique des risques d’insécurité dans un projet de système d’information se traduit, dès l’amont du projet, au niveau des arrangements contractuels initiaux, on cumule généralement deux avantages décisifs pour la bonne sécurité globale du projet: z d’une part, l’opérateur-client du système d’information prend les meilleures garanties pour inciter ses partenaires à veiller à la sécurité et pour suivre au quotidien le maintien ou la dégradation des engagements pris et des résultats obtenus;
6
z d’autre part, ce faisant, la sécurité du système et son encadrement juridique vont s’intégrer très étroitement dans la stratégie globale de conception et de mise en œuvre du système d’information concerné, ce qui est un gage certain d’efficacité sur le long terme. En effet, comme le rappelait (à propos des systèmes de commerce électronique) notre collègue Vincent Gautrais, de l’Université de Montréal, la sécurité globale de ces outils de traitement de l’information repose largement sur la fiabilité et la rigueur qui doivent être apportées à leur organisation et aux procédures de mise en œuvre: Alors que la gestion de l’information papier est chose connue, la gestion de l’information électronique balbutie et demeure en réalité une bien faible priorité. Au même titre que la vente
à distance exigea au début du vingtième siècle une structure relationnelle solide, une vitrine efficace de commerce électronique requiert un encadrement sécuritaire stable. (…) il n’y aura pas, demain davantage qu’aujourd’hui, de commerce électronique sérieux et durable sans la mise en place d’une véritable structure organisationnelle de sécurité 6. Les meilleurs instruments juridiques ne remplaceront jamais les moyens techniques nécessaires pour prémunir un système contre une tentative d’intrusion ou contre une manipulation frauduleuse de données. Mais en incitant chacun à définir son rôle, à assumer ses responsabilités et à utiliser des moyens dont la fiabilité est reconnue, le droit apporte une contribution modeste, mais indispensable, au processus global de sécurisation d’un système d’information.n
Vincent Gautrais, Les aspects relatifs à la sécurité, Le guide juridique du commerçant électronique, Université de Montréal, 2003, p. 75.
Flash informatique
eurs. Toute que l’opinion de leurs aut Les articles ne reflètent c l’accord ave qu’ sée tielle, n’est autori reproduction, même par eurs. de la rédaction et des aut envoyant
électronique du fi en Abonnement à la version @listes.epfl.ch un courrier à: fi-subscribe
epfl.ch Jacqueline Dousson, fi@ Rédacteur en chef: Mise en page bosa Appoline Raposo de Bar & graphisme: e Boisseau, stid Ari , Omar Abou Khaled Comité de rédaction: s Bouche, ola Nic ur, njo Bo el ani Jean-D Humair, ien am n-D Jea Milan Crvcanin, Maciej n, one Ku rre Pie ng, Kli t Lauren nie l Da d, ou Pec ëlle Ma cow icz , Ga , François ico zon Rez ia tor Vit , Rappo zm ann & Ro ule t, Ch ris top he Sal ux cha Vir s Jacque EPFL Atelier de Reprographie Impression: es lair mp exe 4000 Tirage: dit.epfl.ch/fi-spip/ Adresse Web: Domaine IT EPFL Adresse: ne 15 CP 121, CH-1015 Lausan 47 322 & 46 322 69 +4121 Téléphone:
FI-spécial été – sécurIT – 28 août 2006 – page 26
WPA, le fils illégitime de WEP
Martin.Vuagnoux@epfl.ch, Laboratoire de sécurité et de cryptographie, EPFL-IC
Ratifiée
en 1999, la norme 802.11b a pour objectif de fournir un accès sans fil à un réseau local de type Ethernet. Cette technologie soulève de nouvelles problématiques concernant la
est importante. Les concepteurs du standard WEP ont alors décidé de chiffrer chaque paquet de manière indépendante. Ainsi, le destinataire est toujours en mesure de déchiffrer l’information reçue. C’est précisément cette implémentation spécifique de RC4 qui en 2001, a tristement rendu célèbre le standard WEP: dans un article intitulé Weaknesses in the Key Scheduling Algorithm of RC4, Fluhrer, Mantin et Shamir mettent en évidence une faiblesse qui permet de recouvrer la clé de chiffrement. Notons qu’en 1995, David Wagner et Andrew Roos
802.11i est qu’il est rétro compatible avec WEP. C’est-à-dire qu’il n’est pas nécessaire de changer de carte réseau sans fil, une simple mise à jour du firmware suffit. Cette solution semble satisfaisante: l’EPFL ayant choisi de la proposer pour son réseau sans fil interne (il n’existe aujourd’hui aucune attaque praticable pour autant que la clé secrète soit correctement choisie). Toutefois, WPA reste extrêmement proche du standard WEP: en simplifiant, WPA est une version WEP améliorée où la clé secrète est régulièrement modifiée, de manière
WPA P E W e d e im it g lé il ls le fi sécurité: il n’est plus nécessaire d’être physiquement connecté à un réseau local pour mettre en œuvre une attaque de type écoute passive. Une antenne et un amplificateur permettent à un Genevois d’écouter le trafic d’un réseau sans fil lausannois. Le standard WEP (acronyme de Wired Equivalent Privacy) a comme son nom l’indique, l’objectif louable de fournir au moins autant de confidentialité dans l’échange des données que la version Ethernet filaire. La solution cryptographique retenue par les concepteurs du WEP est l’algorithme de chiffrement RC4. Il se heurte toutefois à une loi américaine limitant l’exportation de cryptosystèmes à clé solide, tout comme l’était le protocole SSL. WEP se voit contraint de limiter la taille de ses clés à 40 bits. Plus tard, une version sur 104 bits appelée WEP2 fût retenue. Le choix du cryptosystème, le stream cipher RC4 inventé par Ronald Rivest, ne pose pas de problème de sécurité s’il est correctement utilisé: de nos jours, ce cryptosystème sert également à chiffrer les paiements en ligne sur Internet. Dans le cadre d’une communication sans fil, la probabilité de perdre des paquets de données
avaient déjà souligné que RC4 pouvait facilement être cassé si on l’utilisait de cette manière. En pratique, l’attaque de Fluhrer Mantin et Shamir a besoin de capturer le trafic d’un réseau sans fil pendant environ deux semaines avant de pouvoir retrouver la clé. Des outils gratuits et disponibles permettent d’automatiser l’attaque. Plusieurs hackers dont le plus connu se nomme Korek ont mis en lumière de nouvelles faiblesses dans le standard WEP. De nos jours, le temps nécessaire à recouvrer une clé WEP ne dépasse pas trois minutes. Rafik Chaabouni, étudiant au LASEC a par ailleurs perfectionné cette attaque lors d’un projet de semestre. Puisque la sécurité du standard WEP n’est plus assurée, l’alliance Wi-Fi s’est penchée sur un nouveau standard: WPA (acronyme de Wi-Fi Protected Access) également basé sur le cryptosystème RC4. Publiée et disponible en 2003, cette norme est encore utilisée bien qu’elle ne soit qu’une transition vers un standard définitif disponible depuis 2004, le 802.11i. Ce dernier utilise un autre cryptosystème populaire: AES. WPA est donc une réaction précipitée des concepteurs de l’alliance Wi-Fi. Son avantage par rapport au standard
à ne jamais obtenir suffisamment de données chiffrées avec la même clé. Grâce à l’amélioration des attaques sur le standard WEP, le nombre de paquets nécessaires pour recouvrer une clé secrète ne cesse de diminuer. La limite fixée par WPA se rapproche dangereusement.
Références z Weaknesses in the Key Scheduling Algorithm of RC4. Fluhrer, Mantin, Shamir, SAC, 2001, http://www.crypto.com/papers/ others/rc4_ksaproc.ps n
FI-spécial été – sécurIT – 28 août 2006 – page 27
mot-croisé: sécurité
Un mot: sécurité, ormatique acesTemps.net, Flash inf deux publications: Esp e et dessin. qu ences sociales, informati et trois regards: sci Charlotte.Cabasse@epfl.ch, Laboratoire Chôros, EPFL - ENAC, Martin.Ouwehand@epfl.ch, DIT, EPFL &
Esteban.Rosales@sert.ch
Ndlr : Pour ce mot-croisé, Charlotte Cabasse et Martin Ouwehand nous proposent un texte écrit de concert et Esteban Rosales un dessin.
sécurité. Ou pas. On peut aussi être entre les deux: courir ou prendre un risque (contre lequel, le cas échéant, on cherchera à se défendre, s’assurer ou se prémunir) qui peut être défini et, parfois, évalué1.
L’espace En réfléchissant sur les points communs entre différentes formes d’incidents, on peut avancer que le contrôle d’accès aux ressources a un statut central dans les questions de sécurité. En informatique, les ressources sont
L’autre Parler de sécurité, requiert donc la présence de deux sujets et un système de référence. Elle nécessite l’apparition d’un facteur exogène, un ailleurs ou un autre, dont on peine à présupposer l’impact créateur ou destructeur sur un patrimoine. Elle est liée à l’idée de préservation et/ou à l’absence de rupture. En informatique, le système de référence prend la forme d’un contrôle d’identification et d’authentification des agents. Ce contrôle existe aussi dans le monde social: que l’on pense
sécurité En
informatique comme en sciences sociales, il est plus difficile de définir la notion de sécurité que de comprendre ce qui se passe lorsqu’elle est défaillante. Ainsi, nous savons ce qu’est un virus à partir de ses effets destructeurs. Quand un site a été piraté, nous comprenons ce que cela implique: un hacker est rentré par effraction dans le système. De la même manière, on sait qu’une catastrophe naturelle, une guerre, des attentats ou l’explosion d’une centrale nucléaire plongent des pays et leurs populations dans le trouble, la désorganisation, la peur. La sécurité est ici définie par défaut. En revanche, qu’est-ce qui nous amène à nous sentir en sécurité dans notre pays, notre travail, notre famille, devant notre ordinateur? On peut avancer que la sécurité est un état, en partie subjectif. On est, on se sent, en
1 2
les processeurs, le disque, les réseaux. Dans le cas d’un virus informatique, on dit que l’espace du PC est infecté : ses ressources passent sous le contrôle d’un malfrat qui n’aurait pas dû pouvoir s’infiltrer. D’autres notions se rattachent à ce domaine: la confidentialité et l’intégrité des données, par exemple. En sciences sociales, la sécurité renvoie également à la question du contrôle d’accès aux ressources, liée à la notion d’espace2. Les dispositifs de contrôle et de sécurité déterminent différentes typologies d’espaces: espaces privés ou publics, marchés communs ou pas, gated communities ou immeubles avec digicode. Dans ces espaces, les dispositifs permettent de sélectionner les lieux et les hommes dont on pense que la coprésence, voire la co-habitation sera harmonieuse et bénéfique.
aux douaniers ou aux gardiens d’immeubles, le dispositif de contrôle passe par des papiers. En informatique, on parle de login par mot de passe. Mais celui-ci n’est pas non plus à l’abri de détournements subtils: le phishing –ou détournement d’authentification– faux contrôle d’identité bancaire qui permet d’intercepter les coordonnées bancaires d’un usager en est un bon exemple.
Un choix La sécurité s’applique donc à un système complexe et organisé, naturel ou construit, sur plusieurs échelles dont la comparabilité est sujette à discussion: le système solaire, les villes, le corps humain, etc. À ce stade, la sécurité cesse d’être une notion objective et devient sentiment, croyance, passion: elle entre dans le champ des préoccupations
Anthony Giddens, Les Conséquences de la modernité, L’Harmattan, 1994. Michel Foucault, François Ewald, Alessandro Fontana, Michel Senellart, Sécurité, territoire, population. Cours au Collège de France (1977-1978), Edition du Seuil, 2004.
FI-spécial été – sécurIT – 28 août 2006 – page 28
mot-croisé: sécurité
politiques, de la littérature, des sciences sociales et humaines (psychologie, sciences cognitives). Il est ainsi difficile de concevoir des systèmes de contrôle sans bugs permettant de les contourner. Dans le monde informatique, le nombre important d’incidents s’explique par le fait que la sécurité n’est pas la priorité des développeurs qui favorisent la convivialité d’une application et rechignent à se mettre à la place du pirate. C’est aussi le cas dans le monde réel.
Une mise en œuvre La sécurité est donc un enjeu ou un jeu. Elle nécessite de la tactique et de la stratégie, de l’action, et parfois de la réflexion. En ce sens l’industrie du logiciel a souvent fait preuve d’angé-
3 4
lisme... C’est pourquoi l’usager cherche à se défendre en sollicitant des offres externalisées de sécurité relativement génériques - antivirus, IDS, IPS (Intrusion Detection/Prevention Systems) - dont le déploiement représente une part importante du travail des responsables de la sécurité et, surtout?, un marché. Le phénomène est une fois de plus le même dans de nombreuses agglomérations où la multiplication des agents privés de sécurité requiert une gestion municipale considérable. Enfin l’organisation des sauvegardes, informatiques et patrimoniales, et les opérations de retour à la normale après un incident/catastrophe relèvent également d’une pratique de sécurité. On pourra ici s’interroger sur les conditions de restauration d’un environnement de bien-être urbain ou bien-être informatique3.
La recherche d’un équilibre
La sécurité est donc un champ constitué d’activités secondaires et des enjeux qui lui sont liés. Elle apparaît à travers un échange. Si elle a un coût, elle entraîne aussi des gains individuels ou collectifs, matériels ou immatériels plus ou moins quantifiables. La sécurité est donc un équilibre entre des forces dont l’objectif serait de préserver la cohésion d’un ensemble en conservant l’intégrité du sujet en plaçant, au centre, l’individu4. On s’éloigne donc de la technique: chaque institution a des contraintes et des attentes propres et donc des exigences différentes en matière de sécurité. Cette complexité transforme, souvent, la sécurité en règle. n
Sébastien Fleuret, Colloque Bien être Espaces, Bien-Être et Qualité de vie, Presses Universitaires d’Angers, 2006. Human Development Report, United Nations of Development Programme, 1994, hdr.undp.org
FI-spécial été – sécurIT – 28 août 2006 – page 29
La RFID et les quarante voleurs
Gildas Avoine, Massachusetts Institute of Technology, Cambridge, MA, USA, avoine@mit.edu
La technologie en un clin d’oeil L’identification par radiofréquence (RFID) fait aujourd’hui couler beaucoup d’encre... et de salive. Cette technologie qui permet d’identifier à distance des objets sans contact physique ni visuel est relativement simple à mettre en œuvre. Elle nécessite des transpondeurs1, appelés tags, qui sont apposés sur les objets à identifier, des lecteurs qui permettent d’interroger
grand-chose à voir avec son ancêtre, car les progrès réalisés en électronique ont radicalement changé la donne: dans les cas extrêmes, le prix d’un tag peut atteindre une quinzaine de centimes d’euros et sa taille est parfois inférieure à un grain de riz. Il existe en fait un large éventail de tags. Ceux-ci peuvent se caractériser par leur prix, leur taille, leur capacité de calcul ou de stockage, leur distance de communication, ou tout autre critère plus ou moins corrélé aux précédents. Il n’y a cependant pas beaucoup de points communs entre un tag à 15 centimes d’euros (qui ne contient qu’une simple mémoire d’une centaine de bits) et un tag à plusieurs euros (qui peut éventuellement posséder sa propre source d’énergie, contenir plusieurs kilobits de mémoire réinscriptible et effectuer des calculs cryptographiques). L’engouement que connaît la RFID depuis quelques années concerne les tags passifs c’est-à-dire
La RFID et les quarante voleurs ces tags par radiofréquence et un système de traitement de données, qui peut être centralisé ou distribué dans chaque lecteur. On l’utilise pour la traçabilité dans les chaînes logistiques, pour remplacer les codes-barres dans les bibliothèques, pour le marquage du linge dans les blanchisseries, pour le tatouage des animaux domestiques et du bétail, pour les abonnements aux transports publics, pour les clefs de démarrage des voitures, pour les badges de contrôle d’accès, pour les passeports électroniques, etc. Les EPFLiens eux-mêmes possèdent généralement plusieurs tags – souvent sans le savoir, par exemple la Carte Camipro, la carte Europlex, un forfait de ski, une clef de voiture, etc. Déjà existante durant la Seconde Guerre mondiale, cette technologie est loin d’être nouvelle, mais la RFID que l’on connaît aujourd’hui n’a plus
1
ceux qui ne possèdent pas de batterie et qui doivent donc tirer leur énergie du champ électromagnétique du lecteur pour communiquer et éventuellement effectuer des calculs. Ces tags ont une distance de communication relativement faible: quelques décimètres en haute fréquence et jusqu’à quelques mètres en ultra haute fréquence. Du point de vue de la sécurité, il est important de distinguer la RFID dont l’objectif est uniquement d’apporter des fonctionnalités nouvelles à un système ou d’améliorer les fonctionnalités existantes (marquage du linge dans une blanchisserie, tatouage du bétail, etc.) de la RFID dont l’objectif est d’apporter de la sécurité (badge d’accès à un immeuble, clef de démarrage d’une voiture, abonnement aux transports publics, etc.) [2,7]. Dans le premier cas, le but de la RFID est d’obtenir l’identité de l’objet interrogé, mais aucune preuve de cette identité n’est
requise: c’est de l’identification. Dans le second cas, il est important qu’une preuve de l’identité soit fournie: c’est de l’authentification. Par abus de langage, on parle de RFID pour désigner aussi bien l’identification que l’authentification. On se concentrera principalement dans la suite sur l’authentification, en particulier sur le contrôle d’accès physique.
Contrôle d’accès sans les mains
Ouvrir la portière de sa voiture, entrer dans son immeuble ou encore passer le portillon des remontées mécaniques sans sortir la carte de sa poche, voilà une bonne raison d’utiliser la RFID. L’intérêt est aussi de réduire les coûts de maintenance des lecteurs, par rapport à une solution plus traditionnelle avec contact. Mais pourquoi un pirate ne peut-il pas se faire passer pour une personne légitime? Autrement dit, quelle technique permet au tag de prouver qui il est? Tout repose en fait sur la discussion entre le lecteur et le tag: le lecteur pose une question au tag (communément appelée challenge) et celui-ci prouve son identité en montrant qu’il est capable de répondre à cette question. C’est ce que l’on appelle un schéma par question/réponse. Évidemment, seul le tag doit être capable de répondre: un pirate ne doit pas pouvoir deviner la réponse et il ne doit pas pouvoir réutiliser une précédente réponse. C’est justement parce que le chef des quarante voleurs, Abdul, ne connaissait pas les protocoles par question/réponse qu’Ali Baba fut capable de dévaliser sa caverne! En pratique, la question est simplement une valeur choisie aléatoirement et uniformément dans un grand ensemble et ne doit être utilisée qu’une seule fois ou, plus précisément, la probabilité qu’elle soit réutilisée une seconde fois doit être extrêmement faible. Le calcul de la réponse se fait avec une fonction cryptographique. Comme les tags ne peuvent pas effectuer de lourds calculs, l’utilisation de la cryptographie à clefs publiques (i.e., cryptographie asymétrique) est impossible. Le contrôle d’accès doit donc reposer
Dispositif capable de répondre à la sollicitation d’un signal radioélectrique et de renvoyer des informations convenues.
FI-spécial été – sécurIT – 28 août 2006 – page 30
La RFID et les quarante voleurs sur de la cryptographie à clefs secrètes (i.e., cryptographie symétrique) dont la principale caractéristique est que le lecteur et le tag possèdent un même secret appelé clef cryptographique, qui est nécessaire pour calculer et vérifier la réponse. Cette clef est choisie lorsque le tag est initialisé, avant sa mise en service. Chaque tag doit posséder une clef différente, car la compromission2 d’un tag ne doit pas compromettre tout le système. Pour éviter qu’un attaquant puisse essayer toutes les clefs exhaustivement jusqu’à trouver la bonne, la clef doit être choisie aléatoirement et uniformément dans un grand ensemble, ce qui implique que la clef soit suffisamment longue. Il est communément admis qu’une clef cryptographique symétrique doit comporter au moins 128 bits pour atteindre une sécurité satisfaisante. Un attaquant qui voudrait essayer toutes les clefs devrait faire 2128 essais! La fonction cryptographique généralement utilisée pour calculer la réponse est un algorithme de chiffrement: il chiffre le challenge reçu avec la clef partagée entre le lecteur et le tag, ce qui constitue la réponse du tag. Le principe est illustré sur la figure 1, où la clef est notée k, le challenge est noté c et l’algorithme de chiffrement est noté E.
lecteur
tag c
Fig. 1 – Contrôle d’accès tion/réponse
par ques-
Cet algorithme doit évidemment être sûr (en particulier un pirate ne doit pas pouvoir calculer Ek (c) sans posséder k), ce qui incite à l’utilisation d’algorithmes reconnus, par exemple AES [9]. Si l’algorithme E est bien conçu et bien utilisé (génération de la clef et du challenge), alors le protocole d’authentification est sûr.
2
3
4
Tous les éléments nécessaires pour constituer un protocole de contrôle d’accès sûr sont donc réunis. Nous allons cependant voir quelques exemples de systèmes dont la sécurité n’est pas satisfaisante.
Chérie, tu me prêtes ta Ford ? De nombreuses voitures intègrent un dispositif RFID relié au système d’injection de carburant. Lorsque la clef de voiture est insérée dans le dispositif de démarrage, le tag qu’elle contient reçoit un challenge et doit y répondre correctement pour permettre l’activation de l’injection et donc le démarrage du véhicule3. Des chercheurs américains de l’université Johns Hopkins (Maryland) et des laboratoires RSA (Massachusetts) [3] se sont intéressés au module DST (Digital Signature Transponder) de Texas Instrument qui équipe, entre autres, certains véhicules du constructeur Ford. Après une phase de reverse engineering pour reconstituer l’algorithme cryptographique implémenté
Réduire le temps de calcul
che Effectuer une telle recher an dem de exhaustive sur 40 bits cul, en moins d’une heure de cal stitué de utilisant un système con mmables 16 FPGA (Field Progra nné que Gates Arrays). Étant do e choisir le pirate peut lui-mêm liser un son challenge, il peut uti pour ire compromis temps-mémo tte Ce . réduire le temps de craquage llm He an technique proposée par phase de en 1980 [5] requiert une nte, mais pré-calcul assez importa une clef permet ensuite d’attaquer minute de voiture en moins d’une et en nel sur un ordinateur person avec des seulement quelques secon né. le système FPGA mention
sur le tag de la clef (cet algorithme est propriétaire et non public), ils ont découvert que les clefs cryptographiques utilisées n’ont qu’une longueur de 40 bits ! Une recherche exhaustive de la clef cryptographique est donc en moyenne 2 88 fois plus rapide qu’avec une clef de 128 bits. En pratique, cela permet à un pirate de découvrir la clef cryptographique contenue dans le tag très facilement: il interroge le tag avec un challenge qu’il choisit lui-même et reçoit la réponse. Cette opération qui nécessite la présence du tag de la victime ne demande qu’une fraction de seconde. Le pirate peut ensuite poursuivre son attaque à la maison: il chiffre lui-même son challenge avec toutes les clefs cryptographiques possibles (il y en a 2 40) jusqu’à obtenir la même réponse que le tag. Cette opération lui demande moins d’une minute. Il a alors trouvé la bonne clef cryptographique4 et peut maintenant répondre à n’importe quel challenge envoyé par ce véhicule. Il peut donc simuler le tag par exemple à l’aide d’un ordinateur portable ou d’un organiseur personnel, et ainsi démarrer la voiture. La distance de communication du module DST est faible, mais s’asseoir à côté de sa victime durant une fraction de seconde est suffisant pour interroger sa clef de voiture et ainsi recueillir les informations nécessaires à l’attaque. Le fait qu’un tag réponde au lecteur automatiquement sans demander l’avis du porteur du tag est problématique, car la victime ne s’aperçoit pas que sa clef de voiture est interrogée. Le démarrage du véhicule nécessite tout de même la possession de la clef de la voiture, car il reste la protection purement mécanique de la serrure, mais Renault, par exemple, propose des systèmes sans cette protection mécanique: le tag, au format carte de crédit, est suffisant pour démarrer le véhicule. Notons cependant qu’aucun élément ne laisse présager que le système utilisé par Renault présente des faiblesses similaires à celles du module DST de Texas Instrument.
Contrairement aux cartes bancaires, les tags ne peuvent généralement pas bénéficier de protections efficaces pour empêcher les attaques physiques qui pourraient révéler le contenu de leur mémoire. Le système de démarrage utilise de la RFID passive, donc le tag est alimenté par le lecteur situé dans le véhicule, alors que le système d’ouverture des portes utilise de la RFID active: il y a une pile dans la télécommande qui pilote l’ouverture des portes. Pour être plus précis le module DST génère une réponse de 40 bits qui est ensuite tronquée à 24 bits avant d’être envoyée. Le pirate doit envoyer plusieurs challenges pour s’assurer que la clef qu’il a trouvée est la bonne.
FI-spécial été – sécurIT – 28 août 2006 – page 31
La RFID et les quarante voleurs
Qu’en est-il de la
Camipro?
La faiblesse du module DST, qui est également utilisé par la carte de paiement américaine ExxonMobil Speedpass, n’est certainement pas un cas isolé: il existe sur le marché de nombreux tags destinés au contrôle d’accès qui ne possèdent que des clefs cryptographiques de 48 bits [10].
MIT, ouvre-toi
essite avant tout d’en e de contrôle d’accès néc tèm sys n d’u té uri séc la Analyser priétaires, cette étape es étant généralement pro tèm sys s Ce s. ion cat cifi spé Camipro n’échappe obtenir les chemin de croix. La carte ble ita vér un à t ven sou permettant d’analyser s’apparente ne possédant les éléments L PF l’E à ne son Per le. pas à la règ r à la société mandatée, mipro, il a fallu s’adresse Ca te car lle uve no la de ci ne fut pas non plus la sécurité nant que cela soit, cellepre sur ssi Au t. igh lyr Po la patate chaude à c’est-à-dire à nos questions, renvoyant ent ém cis pré dre on rép de té Legic, en espérant en mesure . Nous avons alors contac on uti sol la de ur sse rni onse ne nous est pas Legic, le fou de la chaîne, mais leur rép n illo ma r nie der du se qu’il s’agis s’impose. e le bouclage de cet article le site web de Legic. encore parvenue alors qu po t donc celles dis nibles sur son s llie uei rec s on ati orm Les inf cation mutuelle entre ent qu’il y a une authentifi iqu ind és arg éch tél s ent dire si un protocole Les docum mettent cependant pas de per ne ils is ma , tag le et sion à une fonction le lecteur . Notons qu’il y est fait allu lisé uti est nse po /ré ion est de type qu Ali Baba. La gestion des e d’éviter les attaques à la rôl ur po ait aur i qu ack même clef est utilisée d’anti-playb us ne savons donc pas si la No e. rdé abo pas ois tef tou clefs n’est ou si une clef différente une très mauvaise idée) ait ser i qu (ce s tag les s pour tou e ces (ou cette) clefs sont us savons simplement qu No . tag e qu cha ur po e est utilisé rs est donc primordiale, urité physique des lecteu séc La rs. teu lec les s dan stockées ieur des bâtiments. e eux sont situés à l’extér ntr d’e ns tai cer e qu s plu donc la carte Camipro, d’autant les, le produit de Legic, et nib po dis s ent cum do les Selon sur la carte et la compour chiffrer les données ire éta pri pro e thm ori alg s, mais nous ne savons utilise un vent également être utilisé peu ES 3D ou S DE . on municati lise cette option. pas si la carte Camipro uti d’attaquer la carte sont es physiques permettant aqu att les e qu se po sup Legic : «While very difficult to pour être mises en œuvre ses teu coû p tro is ma s possible d costly for even the hard it is extremely difficult an t bu e don be can it sh accompli ay widely used for Military, toutefois que «Legic is tod s ton No . [8] al» ion fess core pro s de telles applications, tions (…)» [8] et que dan Sta r we Po ar cle Nu , ent Governm nant, Legic précise qu’attrès puissant. Plus surpre ent llem tie ten po est re mémoire) est une perte l’adversai obtenir le contenu de sa ur (po tag le ent em qu ysi is basically a waste of taquer ph t chiffrées en mémoire: «It son s on ati orm inf les car de temps ées ou non, les données card is encrypted». Chiffr the on red sto ta da the ce time sin passer le contrôle d’accès t suffisantes au tag pour son ire mo mé la s dan contenues re de même. fisantes au pirate pour fai suf ent lem lle éga nc do t son et elles ent la sécurité de la nouve nt pas analyser sérieusem me ale n fin bie nc t do son t té peu uri ne On on sur sa séc Les éléments d’informati . icle art les cet s s dan dan les pro nib mi carte Ca lications dispo ir. Même si certaines exp ns maigres et difficiles à obten pas en tirer des conclusio it dra t dubitatif, il ne fau sen re lais off gic e Le ’ell de qu s e ent dir docum met de te. Aucun élément ne per car te cet de sa té de r uri ute séc la do de sur s hâtives t non plu is aucun élément ne perme ma , nte isa isfa sat té uri une séc s le futur… rons-nous un peu plus dan sécurité. Peut-être en sau FI-spécial été – sécurIT – 28 août 2006 – page 32
L’attaque précédente reposait sur l’utilisation de clefs cryptographiques trop courtes. La situation est parfois pire, lorsqu’il n’y a tout simplement pas de clef cryptographique... Cela pourrait prêter à sourire, mais c’est ce qui se passe au Massachusetts Institute of Technology. Depuis 1993, le MIT cherche en vain le système de contrôle d’accès qui alliera sécurité, respect de la vie privée et facilité d’utilisation. Les cartes actuelles, qui contiennent un tag RFID, sont en service depuis presque trois ans, un record ! Rien ne laissait pourtant présager une telle longévité, car ce système a inquiété dès sa mise en service. En janvier 2004, l’annonce, que le système enregistrait les entrées des membres du MIT à leur insu, a provoqué de nombreuses réactions et incité à une étude plus approfondie du système. Cinq étudiants, P. Agrawal, N. Bhargava, C. Chandrasekhar, A. Dahya et J.D. Zamfirescu [1] ont ainsi montré que le système ne repose pas sur un schéma de type question/réponse, mais que le tag répond simplement une valeur fixe, comme le faisait Ali Baba ! Simuler la carte est alors un jeu d’enfant puisqu’il suffit d’écouter la communication entre un lecteur et la carte (une fois suffit) ou, plus simplement, interroger soi-même la carte avec son propre lecteur.
Les attaques par relais
Lorsqu’un protocole par question/réponse est bien utilisé et qu’il utilise un algorithme de chiffrement sûr, alors les problèmes décrits sur le module DST et sur la carte du MIT ne se produisent pas. Cela ne signifie pas pour autant que tout problème est exclu. En effet, le fait que le tag puisse répondre au lecteur
La RFID et les quarante voleurs
lecteur
complice
pirate
c
c
problèmes concernent la divulgation d’information et la traçabilité malveillante. Le problème de la divulgation d’information se pose lorsque les données envoyées par le tag révèlent des informations sur l’objet qui le porte. Dans le cadre d’une bibliothèque, par exemple, le tag peut contenir et communiquer à qui lui demande le titre de l’ouvrage qui contient le tag. Plus préoccupants, les produits pharmaceutiques marqués électroniquement, comme préconisé par le Food & Drug Administration aux États-Unis, pourraient révéler les pathologies d’une personne. Une solution consiste à ne stocker qu’un identifiant sur le tag et stocker les données utiles dans une base de données. La solution retenue pour le passeport électronique consiste à obliger le lecteur à s’authentifier auprès du tag avant de pouvoir obtenir les informations qu’il contient (nom du porteur, date de naissance, photo, etc.). Pour cela, une lecture optique du passeport est préalablement requise car la clef cryptographique qui permet au lecteur RFID de s’authentifier auprès du tag est imprimée sur le passeport. Cela oblige de posséder physiquement le passeport entre les mains pour obtenir le contenu du tag. Certaines études récentes montrent
tag c
Fig. 2 – Attaque par relais sans l’accord de son porteur ouvre la voie à un autre type d’attaques: celles par relais. L’attaque par relais consiste, pour un pirate, à faire croire au lecteur que le tag est présent dans son champ d’interrogation alors qu’il ne l’est pas. Pour cela, le pirate, avec l’aide d’un complice, joue le rôle d’une rallonge électrique. Par exemple, pour démarrer un véhicule, un pirate muni d’un ordinateur portable avec une antenne se situe auprès du véhicule (contenant le lecteur RFID) pendant que son complice se situe aux côtés de la personne qui détient légitimement la clef du véhicule (contenant le tag RFID). Le lecteur envoie un challenge, qui est reçu par le pirate, puis transmis par ce dernier au complice. Le complice envoie à son tour ce challenge à la clef de la victime, qui répond innocemment avec la réponse correcte. Le complice reçoit et transmet cette réponse au pirate qui la soumet enfin au lecteur du véhicule. La protection électronique du véhicule
est ainsi outrepassée sans que le pirate ne possède la clef du véhicule. Comme schématisée sur la figure 2, cette attaque est extrêmement simple, facile à mettre en œuvre et difficilement décelable. Il suffit au complice d’être suffisamment proche de sa victime au moment même de l’attaque; ceci peut être fait dans une file d’attente, dans le métro, etc. Trouver une solution purement technique à ce problème est très difficile. Les recherches actuelles se concentrent sur la mesure du temps de réponse du tag. Si celui-ci est trop important, l’authentification est refusée, car le tag n’est probablement pas à proximité du lecteur.
Un mouchard au fond de la poche
Outre les problèmes directement liés à la sécurité que nous venons de voir, la RFID doit faire face aux problèmes qui touchent la vie privée. Ces
iment du MIT
teur RFID à l’entrée d’un bât
L’auteur contrôlé par le lec
FI-spécial été – sécurIT – 28 août 2006 – page 33
La RFID et les quarante voleurs cependant qu’un pirate peut deviner partiellement la clef sans avoir accès au passeport, car la clef est fortement corrélée aux données personnelles du porteur du passeport [4,6]. Le problème de la traçabilité malveillante est plus délicat à traiter. En effet, même si le tag ne renvoie qu’un identifiant qui ne laisse pas fuir d’information utile, cet identifiant peut permettre de tracer le tag, c’est-à-dire de reconnaître l’objet dans des lieux différents ou à des instants différents. On peut ainsi savoir à quelle heure une personne est passée en un lieu donné, par exemple pour déterminer son heure d’arrivée et de départ de son poste de travail, ou on peut reconstituer son chemin à partir de plusieurs lecteurs, par exemple dans une entreprise ou un centre commercial. La thèse que les tags mettent en péril le respect de la vie privée est ardemment rejetée par les promoteurs de cette technologie. Il est incontestable que la RFID permet techniquement de tracer les tags et donc indirectement les personnes, mais une distance de lecture réduite à quelques décimètres permet de réduire fortement ce risque. Cet argument est contesté par les opposants car, en utilisant une antenne plus performante et une puissance d’émission non réglementaire, il est possible de dépasser la limite annoncée. En outre, il existe de nombreux cas où un attaquant peut suffisamment se rapprocher de sa victime pour lire ses tags électroniques: dans les transports en commun, dans une file d’attente, etc. L’inquiétude des opposants provient également du fait que les tags sont de plus en plus présents dans la vie de tous les jours, sans qu’on le sache. Ils sont souvent invisibles et répondent aux requêtes des lecteurs à l’insu même des personnes qui les portent. Il existe des techniques palliatives pour empêcher la traçabilité malveillante et la fuite d’information. La plus radicale consiste à détruire le tag. Cette méthode ne peut être utilisée que dans des applications particulières (par exemple à la fin d’une chaîne de production) car le tag n’est ensuite plus utilisable. Il existe également des dispositifs électroniques pour bruiter l’environnement du tag. Les recherches actuelles se concentrent sur la conception de protocoles question/ré-
ponse tels qu’un lecteur autorisé puisse identifier les tags, mais qu’un pirate ne soit pas en mesure de les identifier ni même de les tracer. Ces recherches sont aujourd’hui en cours et n’ont pas encore donné lieu à des produits commercialisés.
Conclusion La technologie RFID connaît depuis quelques années une croissance incroyable, apparaissant dans tout type d’applications. Son utilisation pour le contrôle d’accès rend la vie des utilisateurs et des administrateurs un peu plus facile et agréable. Lorsqu’elle est bien conçue et bien utilisée, la technologie RFID apporte une sécurité tout à fait satisfaisante pour ce type d’application. Il faut cependant rester vigilent car à toujours vouloir tirer les coûts vers le bas, on en arrive parfois à oublier l’objectif premier du contrôle d’accès qui est de... contrôler les accès. Attacher sa bicyclette dans la rue avec une ficelle est moins onéreux que de l’attacher avec un cadenas. Pourtant, personne ne le fait, car tout le monde est capable d’évaluer la sécurité illusoire du bout de ficelle. Comment évaluer la sécurité d’un système de contrôle d’accès livré clef en main sans les spécifications ?
Références [1] Priya Agrawal, Neha Bhargava, Chaitra Chandrasekhar, Al Dahya, and J.D. Zamfirescu. The MIT ID Card System: Analysis and recommendations, December 2004. [2] Gildas Avoine. Cryptography in Radio Frequency Identification and Fair Exchange Protocols. PhD thesis, EPFL, Lausanne, Switzerland, December 2005. [3] Steve Bono, Matthew Green, Adam Stubblefield, Ari Juels, Avi Rubin, and Michael Szydlo. Security analysis of a cryptographically-enabled RFID device. In USENIX Security Symposium, pages 1–16, Baltimore, Maryland, USA, JulyAugust 2005. USENIX. [4] Dario Carluccio, Kerstin Lemke, and Christof Paar. Electromagnetic side channel analysis of
FI-spécial été – sécurIT – 28 août 2006 – page 34
[5]
[6]
[7] [8] [9]
[10]
a contactless smart card: first results. Printed handout of Workshop on RFID Security – RFIDSec 06, July 2006. Martin Hellman. A cryptanalytic time-memory trade off. IEEE Transactions on Information Theory, IT-26(4):401–406, July 1980. Jaap-Henk Hoepman, Engelbert Hubbers, Bart Jacobs, Martijn Oostdijk, and Ronny Wichers Schreur. Crossing borders: Security and privacy issues of the European e-passport. Manuscript, 2006. Ari Juels. RFID security and privacy: A research survey. Manuscript, 2005. Legic Identsystems. White Paper – LEGIC’s Approach to Smart Card Security. National Institute of Standards and Technology (NIST). Fips197: Advanced encryption standard, November 2001. Philips Semiconductors. http:// www.semiconductors.philips. com/. n
Plate-forme sécurisée d’un réseau de cartes d’identités virtuelles à l’aide de carte à puce leur gestion pose problème. En outre, la gestion des clefs de cryptage devient de plus en plus critique, sans oublier les traces laissées lors des connexions aux serveurs. Tewfiq.ElMaliki@hesge.ch, Professeur au Laboratoire de télécommunications, Ecole d’Ingénieurs de Genève, www.eig.unige.ch
av an cée s tec hn olog iqu es réc en tes tière de sécurité ma autant en qu’en mi cro ée qu inf orm ati sur tou t l’e net lec tro niq ue In ter ne t et ur po go ue me nt vent être peu ce, pu les cartes à dans vecteur de modernisation se et la gestion des mots de pas e ang éch ou ion tat de la consul ns le des fichiers sensibles. Da bale, glo té uri séc la contexte de lipro la de ue tiq la probléma de se, pas de ts mo fération de on ati lic ltip mu la login et de même de cartes à puce pour le un e ue ven de est uti lis ate ur effet, urgence à résoudre. En ett re rom mp co s pa po ur ne d’un la sécurité, l’utilisation carte code PIN associé à une ution à puce devient une sol icle, art cet ns Da . use promette ment nous allons montrer com une on peut mettre en œuvre po ur arc hit ect ure séc ur isé e de l’échange et la consultation aux documents sensibles grâce la à et ues riq mé nu s certificat carte à puce.
Les
Solution La recherche d’une solution globale à ce problème réside dans l’utilisation des cartes d’identités virtuelles (Certificats délivrés par des autorités
passeport, il peut contenir presque l’équivalent des mêmes informations. Le format reconnu actuellement est le format X.509 V3 [6]. C’est un petit fichier, généré par une autorité de certification, qui contient au moins les informations suivantes: z le nom de l’autorité de certification qui a créé le certificat z le nom et le prénom de la personne z son organisation (École d’ingénieurs de Genève par exemple)
Plate-forme sécurisée d’un réseau de cartes d’identité virtuelles à l’aide de carte à puce de certifications)[1,2], combinée à des cartes à puce multi-applications à système d’exploitation ouvert. Pour augmenter davantage la sécurité, nous pouvons utiliser des méthodes biométriques d’authentification telles que la reconnaissance vocale [3,4] et/ou digitale [5] (la biométrie n’est pas traitée dans cet article).
Rappel sur les certficats
z son service (Laboratoire de Télécommunications) z son adresse électronique z sa clé publique z les dates limites de validité du certificat z sa signature électronique. S’il y a perte ou usurpation du certificat, il peut à tout moment être révoqué auprès de l’autorité de certification.
Un certificat peut être considéré comme une carte d’identité ou un
Introduction Le concept de la sécurité globale impose une politique de sécurité généralisée englobant chaque connexion et transaction, ainsi que les accès physiques et les accès distants. Cette politique n’est pas compatible avec la gestion des mots de passe actuelle. Cette dernière pose plusieurs problématiques, entre autres la prolifération des mots de passe et des cartes à puce contrôlant des applications de différents niveaux de sécurité et associant une carte à puce à une application ce qui peut compromettre la sécurité globale. En effet, certains utilisateurs notent leurs mots de passe sur des blocs-notes, car
le e et des mots de passe dans Prolifération des cartes à puc cadre de sécurité globale
FI-spécial été – sécurIT – 28 août 2006 – page 35
Plate-forme sécurisée d’un réseau de cartes d’identités virtuelles à l’aide de carte à puce
Langage évolué + Interpréteur = Générateur de PCODE
quets APDU selon une structure bien déterminée. À chaque commande est associée une réponse. L’utilisation d’une carte JCOP d’IBM [8] qui est une plate-forme standard nous a permis de stocker le certificat d’une manière sécurisée. Cette carte est une JavaCard avec un environnement de développement et accompagnée d’un émulateur qui vous évite de griller des cartes au début du développement de votre application. Nous avons aussi utilisé des JavaCard sans contact c’est-à-dire à lecture à distance pour éviter d’user les contacts de la carte; elles sont très conviviales pour les utilisateurs.
PCODE.2
PCODE.1
Clé.3
Clé.2
Clé.1
Interpréteur de PCODE te
Microprocesseur de la car
carte à puce Principe d’utilisation d’une ouvert OS à multi-applications
Solution de carte à puce
La carte évolue continuellement. De la simple télécarte aux actuelles JavaCard [7,8], elle propose de nouvelles fonctionnalités tout en conservant les qualités qui ont fait sa réputation: un objet portable, personnalisé et sécurisé. Elle est devenue une plate-forme d’exécution à part entière. De plus, les cartes multi-applicatives, c’est-à-dire capables d’abriter plusieurs applications, font leur apparition. Une carte de ce type permet le remplacement de la multitude de cartes qui encombrent notre portefeuille. Ces applications peuvent soit être indépendantes les unes des autres, soit partager des informations et des services entre elles. L’idée est de simplifier le rôle du client en lui proposant toujours plus de services basés sur un seul objet sécurisé. Le potentiel le plus important du domaine des cartes à puce se situe désormais dans la combinaison de différentes applications sur une seule et même carte, avec l’apparition de cartes multi-applications qui combineront les services GSM, de porte-monnaie électronique, ainsi que des applications de fidélité.
Terminal Applications clientes
Java Cards
Les JavaCards sont des cartes permettant d’exécuter des applets Java. Au lieu d’entrer dans la ROM le code applicatif, on y met un interpréteur
Terminal Applications clientes
Plate-forme sécurisée
Nous allons présenter une plateforme sécurisée basée sur des cartes d’identité virtuelles.
Commandes (APDUs)
JCRE (masque) API Java Card Applets carte
Reponses Approche Java Card
Java qui exécute des applets situées dans l’EEPROM. Ainsi la JavaCard facilite la tâche des développeurs d’applications. La programmation s’effectue avec un langage répandu Java. De plus, on peut faire évoluer la carte sans développement d’un nouveau masque, mais simplement par chargement dynamique de nouvelles applets dans l’EEPROM. L’avantage de la carte à puce est qu’elle stocke d’une manière sécurisée le certificat et ne laisse aucune trace sur le poste de travail. En plus, la JavaCard [9] offre l’avantage d’associer une applet à chaque application et offre un mécanisme de sécurité avancé. Les commandes se font à travers les pa-
Commandes (APDUs)
Reponses Approche classique
FI-spécial été – sécurIT – 28 août 2006 – page 36
Masque carte Données carte
Le but de cette plate-forme est de garantir l’authentification et de simplifier la connexion de l’utilisateur afin d’autoriser la connexion à des applications distantes et/ou de consulter des informations sensibles. La plate-forme est constituée: z d’un serveur jouant le rôle d’autorité de certification capable de générer des cartes d’identité virtuelles sous forme de certificats; z d’une clé USB faisant office de lecteur de cartes à puce [10]. L’avantage des clefs USB est qu’elles peuvent intégrer une carte SIM en plus de la carte à puce. Elles peuvent sauver et exécuter en interne toutes informations sensibles; z et d’un Serveur Web permettant une authentification forte.
Fonctionnement
z Pour associer un certificat à un utilisateur, ce dernier doit se déplacer physiquement à l’autorité de certification. Il précisera les sites Web sécurisés auxquels il veut
Plate-forme sécurisée d’un réseau de cartes d’identités virtuelles à l’aide de carte à puce
a. Déplacement physique Autorité de Certification
b. Retrait du certificat
d. et e. liaison sécurisée Accès Web / Smart cart avec le certificat prédéfini
client 1 b'. Sauvegarde des informations
Accès refusé manque certificat
client 2
Schéma de fonctionnement
z
z
z
z
se connecter. Celle-ci lui remet un code personnel et un code de retrait et les sites associés à son certificat. Dès que son certificat est généré, l’utilisateur est informé (SMS, e-mail, téléphone, …) de la possibilité de retirer son certificat. Pour le retrait du certificat, l’utilisateur met sa clef [10] (respectivement, carte SIM, carte à puce) et l’application démarre automatiquement et demande le code PIN de la clef. Ainsi, une connexion sécurisée est établie vers le serveur de l’autorité de certification avec les paramètres préconfigurés. L’application retire le certificat et le sauvegarde dans la clef (carte SIM, carte à puce). Afin de se connecter à un serveur Web sécurisé, l’application connaissant d’avance le certificat associé à ce serveur met le certificat dans le magasin personnel de l’utilisateur pour que le navigateur Web ou le gestionnaire de mail puisse l’utiliser. Au prochain démarrage, l’utilisateur n’a besoin de se souvenir que de son code PIN de la clé (respectivement CD). Ainsi, toutes les connexions vers les sites Web prédéterminés seront sécurisées et à la fin de la connexion l’application supprimera le certificat qu’elle a installé dans le magasin personnel de l’utilisateur.
physique connexion virtuelle
d’une plate-forme sécurisée
ci-dessous supportent une installation sur de nombreuses plates-formes Unix ou Windows NT. Nous avons mis en œuvre une application pour l’utilisateur qui lui permet d’installer d’une manière simple et conviviale les certificats depuis la carte à puce, CD Card ou Clef USB moyennant un code. Cette manière nous permet d’avoir le contrôle de l’installation du certificat dans le magasin d’Internet Explorer. Ce faisant, nous cachons à l’utilisateur la difficulté d’installation du certificat et nous limitons considérablement les manœuvres de l’utilisateur qui sont, en général, sources de failles sécuritaires. Les instructions ci-dessous sont prévues pour une installation sous Unix.
Les logiciels
Cas d’utilisation
Notre plate-forme peut être facilement utilisée dans plusieurs contextes pour sécuriser d’une manière simple les accès et les données sensibles.
Consultation sécurisée de compte bancaire Pour que les clients d’une banque puissent accéder à des informations confidentielles sur leur compte depuis n’importe quel poste (PC personnel, public), il suffit qu’ils possèdent seulement leur clef USB et l’application.
Changement d’état civil La commune délivre à chaque citoyen un certificat pour accéder et éventuellement changer ses données personnelles. Le certificat peut être stocké dans la même clef USB utilisée pour la banque ou toute autre clef.
Dossier médical Le patient n’a besoin que d’un certificat pour accéder via Internet à son dossier médical depuis n’importe quel endroit. Cette démarche lui évite de se déplacer vers chaque médecin traitant pour collecter l’information afin de la montrer à d’autres médecins.
Mise en œuvre de la plate-forme
Pour la mise en route de notre serveur Web, il faut: z installer Apache [13] z installer openSSL [14] z installer mod_SSL [15]
Configuration d’Apache et de mod_ssl Pour configurer Apache avec le mode SSL, il faut modifier le fichier de configuration d’Apache httpd.conf. En effet, dans ce fichier il faut activer: le mode SSL et le port 443. On ne pourra mettre en service Apache que lorsque le certificat du serveur aura été généré et installé.
Création de l’autorité de certification # openssl req -new -x509 -days 1000 -keyout private/cakey.pem -out cacert.pem
Pour le navigateur Internet Explorer, il faut convertir le format du certificat en format DER par les commandes suivantes: # openssl x509 -in cacert.pem -out cacert.der -outform DER
Création d’un certificat pour le serveur WWW # openssl genrsa -des3 -out tmp.key 1024
Environnement
Il faut installer le serveur WWW sécurisé et l’autorité de certification sous Linux. Tous les logiciels mentionnés
Cette commande génère une paire de clefs publique et privée: # openssl rsa -in tmp.key -out serverkey.pem
FI-spécial été – sécurIT – 28 août 2006 – page 37
Plate-forme sécurisée d’un réseau de cartes d’identités virtuelles à l’aide de carte à puce # openssl req -new -days 999 key serverkey.pem -out newreq. pem # openssl ca -out servercert. pem -infiles ../private/newreq. pem
Copie les certificats dans le répertoire apache/conf/ssl
Création d’un certificat pour un utilisateur La création d’un certificat X.509 pour un utilisateur s’effectue en trois temps: z la création d’une requête de certificat (Certificate Signing Request, CSR) qui contiendra les éléments d’identification de l’utilisateur; z la signature de la requête par l’autorité de certification; z le rajout du certificat du serveur dans l’environnement d’Apache. Voici dans le détail comment s’enchaînent ces opérations: # openssl req -new -keyout newreq.pem -out newreq.pem days 365 # openssl ca -out newcert.pem -infiles newreq.pem # openssl pkcs12 -export -in newcert.pem -inkey newreq. pem \ -name "Prénom Nom" -clcerts out "Prénom Nom.p12"
C’est ce certificat qui doit être retiré et installé dans la carte à puce à travers la clef USB. Ainsi la plate-forme est fonctionnelle pour tout utilisateur possédant le certificat stocké dans sa carte à puce. Cette dernière est protégée par un code PIN et peut contenir si on le souhaite toutes les traces de connexions de l’utilisateur. Plusieurs certificats numériques peuvent être déposés dans la même carte à puce. La plate-forme réalisée permet de cacher la difficulté à utilisateur final et d’assurer une sécurité maximale.
sant office de cartes d’identité virtuelles stockées dans des cartes à puce. L’avantage de cette plate-forme est qu’elle se base seulement sur des logiciels libres. Une évolution de cette plate-forme est d’utiliser de la biométrie [7,11] pour effectuer une authentification forte pour l’accès à la carte à puce. Cette solution fera l’objet d’une prochaine publication.
Références [1] Digital Signature Standard (DSS), Federal Information Processing Standards, Publication 186, 1994 May 19, www.itl.nist. gov/fipspubs/fip186.htm [2] R.L. Rivest���������������� , RFC 1321: The MD5 Message-Digest Algorithm, Internet Activities Board, 1992, www.ietf.org/rfc/rfc1321. txt?number=1321 [3] Ludovic Casset, Construction Correcte de Logiciels pour Carte à Puce, thèse de doctorat, Université de Marseille, octobre 2002 [4] X. Huang, A. Acero, and H.W. Hon, Spoken Language Processing - A Guide to Theory, Algorithm, and System Development, Prentice Hall, Upper Saddle River, New Jersey, USA, ISBN: 0-13-022616-5, 2001. [5] www.biometrics.org/resources. htm
Conclusion La prolifération des mots de passe et de login, en plus des innombrables cartes à puce que nous possédons pose à chacun de nous un réel problème de gestion et de mémorisation. Cette problématique peut être résolue par l’utilisation d’une plate-forme sécurisée basée sur des certificats numériques faiFI-spécial été – sécurIT – 28 août 2006 – page 38
[6] RFC2459: Internet X.509 Public Key Infrastructure Certificate [7] Z. Chen, Java Card TM Technology for Smart Cards: Architecture and Programmer’s Guide, Addison Wesley, June 2000. [8] www-306.ibm.com/software/wireless/wecos/features.html [9] G. Barthe, G. Dufay, L. Jakubiec, and S. Melo de Sousa, Jakarta: a toolset for reasonning about Java Card, In I. Attali and T. Jensen Eds, Smart card programming and security, Proceedings of E-Smart 2001, LNCS 2140, pp 2-18, Cannes, France, 2001. [10] www.eutron.com – clé USB combinée avec une carte à puce et une SIM card. [11] BESACIER Laurent, PhD Thesis. erakles.imag.fr/besacier/, Un modèle Parallèle pour la Reconnaissance Automatique du Locuteur. 1998. [12] A. Galland, D. Deville, G. Grimaud, B. Folliot. Contrôle des ressources dans les cartes à microprocesseur, 1er congrès Logiciel Temps Réel Embarqué (LTRE’02). Toulouse, France, January 2002. [13] www.apache.org/dist [14] www.openssl.org/source [15] www.engelschall.com/sw//mod_ ssl//distrib n
Les problèmes mathématiques à la base de la sécurité de l’information
Arjen.Lenstra@epfl.ch, Profeseur au Laboratoire de cryptologie algorithmique, EPFL-IC
es de Le s mé tho de s mo de rn tio n ma for l’in de pro tec tio n proues elq qu sur sont basées ont i qu ues tiq ma blèmes mathé sà cile diffi tre d’ê la réputation pré ns allo us no , résoudre! Ici rs leu et s me blè senter ces pro phie. applications en cryptogra
Introduction Beaucoup de gens aiment que leurs données personnelles restent confidentielles. Pour garantir cette confidentialité quand ces données sont envoyées sur Internet, lors de transferts e-banking par exemple, les données doivent être protégées. Beaucoup d’applications Web proposent cette protection, souvent sans que l’utilisateur s’en rende compte. Les méthodes de protection de l’information utilisent le chiffrement (aussi appelé parfois par l’anglicisme cryptage): avant d’être envoyées, les données sont transformées en une suite de symboles à l’apparence incompréhensible, sauf pour le destinataire prévu qui seul peut retrouver l’information originale. Quiconque écouterait la communication ne saurait rien, hormis le fait que la communication a eu lieu. Des méthodes semblables sont utilisées pour garantir l’identité d’un utilisateur. C e l a n’ i m p l i q u e p a s q u e le chiffrement soit suffisant. Des malfaiteurs pourraient vouloir accéder à l’information en utilisant une des nombreuses autres méthodes. La faiblesse des systèmes d’exploitation peut être exploitée pour avoir accès au poste de travail d’un utilisateur, le mot de passe d’un utilisateur peut être volé ou deviné, ou un utilisateur peut lui même être amené à révéler son mot de passe lors d’attaques du type ingénierie sociale, etc. Le chiffrement
ne suffit donc pas à garantir la confidentialité des données, mais c’est un élément nécessaire dans la chaîne de protection. Ici, nous allons nous concentrer sur les outils mathématiques qui sont la base du chiffrement et bien sûr du déchiffrement correspondant. Nous ne parlerons pas de comment ces outils sont intégrés en pratique dans les systèmes actuels ni quelles sont les nombreuses précautions qu’il faut prendre lors de cette intégration. La théorie des nombres joue un rôle important dans tous les outils de chiffrement les plus utilisés. En simplifiant, c’est la branche des mathématiques qui étudie les nombres entiers naturels (0,1,2,3 …). Une activité ludique pour certains, longtemps jugée sans intérêt pratique
Ces problèmes ont été beaucoup étudiés, en par ticulier depuis qu’on a découvert leur intérêt en cryptographie. Mais peu de progrès ont été faits, on pense généralement que ces deux problèmes sont difficiles. C’est précisément cette difficulté qui en fait l’intérêt pour la cryptographie, et de ce point de vue, on ne peut qu’espérer qu’ils resteront non résolus. On doit malgré tout garder à l’esprit que des progrès sont possibles et qu’on peut découvrir soit une preuve de la difficulté des problèmes, soit une méthode efficace pour les résoudre. Dans le premier cas, on détiendra la justification théorique qui nous manque aujourd’hui pour la sécurité des applications en cryptographie. Le deuxième signifierait que tous les
Les problèmes mathématiques à la base de la sécurité de l’information par les autres. Ceci a changé quand les applications de chiffrement basées sur les nombres premiers furent découvertes. Un entier naturel est premier s’il n’admet que deux entiers diviseurs distincts, 1 et lui-même. Par exemple, 17 est un nombre premier, car il ne peut être divisible que par 1 et par 17. Mais 91 n’est pas premier, car 91 = 7 * 13, donc 91 est divisible par d’autres nombres que 1 et 91 (en fait 7 et 13). Le nombre 1 n’est pas premier. Cela fait des siècles que les théoriciens étudient les nombres premiers, mais leur potentiel en cryptographie n’a été découvert que récemment (approximativement dans les années 1970, la date exacte reste sujet de débat,…). Les applications en cryptographie utilisent de manière créative deux problèmes impliquant des nombres premiers: z la factorisation des nombres entiers z le calcul des logarithmes discrets.
outils de chiffrement largement utilisés pourraient être cassés: même si ce n’est pas une situation enviable, on ne peut pas l’écarter complètement. Une idée géniale peut changer le monde, proposition dangereuse ou souhaitable, cela dépend du point de vue! Dans les paragraphes suivants, les nombres premiers et les deux problèmes cités vont être brièvement abordés avec leurs applications en cryptographie.
Les nombres premiers Les exemples de nombres premiers abondent. ����������������������� Il y a déjà 25 nombres premiers plus petits que 100: 2, 3, 5, 7, 11, 13, 17, 19, 23, 29, 31, 37, 41, 43, 47, 53, 59, 61, 67, 71, 73, 79, 83, 89, 97. On peut facilement démontrer qu’il y a une infinité de nombres premiers. S’il y avait une liste finie de nombres premiers, appelons P le
FI-spécial été – sécurIT – 28 août 2006 – page 39
Les problèmes mathématiques à la base de la sécurité de l’information produit de tous ces nombres premiers. P est évidemment divisible par les nombres premiers de la liste. Mais, quand on divise P + 1 par les nombres de la liste, le reste est 1, donc soit P + 1 est aussi un nombre premier (et il n’appartient pas à la liste), soit il est divisible par un nombre premier qui n’est pas dans la liste. Toute liste finie de nombres premiers peut être ainsi agrandie d’au moins un autre nombre premier, qui sont donc une infinité. Cette simple observation qu’il y a une infinité de nombres premiers est rendue plus explicite par le théorème du nombre premier, moins évident à comprendre. On n’a pas besoin ici de l’énoncer avec précision. Pour simplifier, ce théorème dit que la probabilité qu’un nombre de dchiffres tiré au hasard soit premier est proportionnelle à 1/d. Cela permet de faire des estimations telles que: il y a plus que 10 96 nombres premiers qui ont 100 chiffres. Le fait que les nombres premiers soient si nombreux est important en cryptographie. Par exemple, cela implique que si deux personnes différentes tirent au hasard un nombre premier de, disons, 100 chiffres, la probabilité qu’elles tirent le même chiffre est négligeable. Cet exemple soulève trois questions: Pourquoi générer des nombres premiers aussi grands? Et pourquoi est-il important que des personnes différentes choisissent des nombres premiers différents? On reviendra à ces deux questions dans le prochain paragraphe. Ici, on abordera la dernière question, comment fait-on pour tirer au hasard un nombre premier d’une certaine taille? On peut facilement distinguer les nombres premiers de ceux qui ne le sont pas (un nombre non premier est appelé composé). Pour savoir si un entier naturel n est ou non un nombre premier, une méthode évidente serait de tester si n est divisible par un entier plus petit que n (notons qu’il suffit de restreindre le test aux entiers ≤√n). Bien que pour certains nombres composés le résultat soit vite obtenu, en général on ne peut s’attendre à avoir une réponse rapide, et même pire, pour certains grands nombres, cela peut ne pas marcher du tout, car cela prendrait trop de temps. Une méthode moins évidente, mais plus efficace de savoir si n est un nombre composé est basée
sur le petit théorème de Fermat. Ce théorème dit que si p est un nombre premier alors pour tout entier a le nombre a p–a est divisible par p. Donc, si on peut trouver un entier a tel que a n – a ne soit pas divisible par n, alors n ne peut être premier (s’il l’était, n diviserait a n – a selon le petit théorème de Fermat). S��������������������������������� i on tient compte de deux autres éléments, le petit théorème de Fermat donne une méthode rapide et pratique pour reconnaître si un nombre est composé. Tout d’abord, en appliquant une version légèrement modifiée du théorème, si n est un composé alors, pour la plupart des valeurs de a comprises entre 2 et n – 1, a n – a ne sera pas divisible par n. De plus, même si n a des milliers de chiffres, on peut aisément vérifier sur un ordinateur standard si n divise ou non a n – a. On se base sur une méthode de calcul appelée exponentiation modulaire, qui a beaucoup d’applications en cr yptographie. Développer des méthodes toujours plus rapides pour l’exponentiation modulaire est un sujet de recherche très actuel. Plus précisément, ce que fait l’exponentiation modulaire est de calculer pour tout entier m, b, et e positifs ou nuls, b e mod m, autre façon de dire: le reste de la division de b e par m. Les entiers m, b, e sont souvent appelés modulus, base et exposant. Pour savoir si n divise a n – a, l’exponentiation modulaire est appliquée au modulus n, à la base a et à l’exposant n, et on teste si (a n mod n) – a est divisible par n. Donc, pour prouver que n est un nombre composé, on tire aléatoirement des valeurs de a dans l’ensemble {2, 3, … n – 1} et on utilise l’exponentiation modulaire pour vérifier si n divise a n – a, jusqu’à ce que l’on trouve une valeur de a pour laquelle ce n’est pas vrai. Si, après de nombreuses tentatives avec des valeurs de a tirées au hasard, il se trouve que n divise toutes les valeurs correspondantes a n – a, on n’a pas pu prouver que n est composé. Dans ce cas, puisque si n était composé, on en aurait trouvé la preuve, on assume que n est premier. C’est juste une assertion, ce n’est pas une preuve mathématique que n est premier. Ces prétendus nombres premiers qui ne résultent pas d’un raisonnement mathématique sans faille sont parfois cités comme
FI-spécial été – sécurIT – 28 août 2006 – page 40
des nombres premiers industriels. Pour toutes les applications pratiques, le nombre premier industriel est un nombre premier, sauf qu’on n’a pas prouvé sa primalité. En associant la possibilité de reconnaître rapidement les nombres composés (et donc les nombres premiers industriels) et la densité importante des nombres premiers (Théorème du Nombre Premier), cela conduit à une méthode relativement rapide pour générer des nombres premiers (industriels) aléatoires de n’importe quel nombre d de chiffres: on tire au hasard des nombres de d chiffres jusqu’à ce qu’on tombe sur un nombre premier industriel. D’un point de vue pratique, on a répondu à la troisième question citée plus haut. Cette méthode pour générer des nombres premiers a troqué la rigueur mathématique contre la facilité de mise en œuvre. Une preuve rigoureusement mathématique que le résultat est vraiment premier demanderait des méthodes tout à fait différentes. Pour la grande majorité des nombres premiers industriels utilisés en pratique dans des cas de protection de l’information, de telles preuves n’ont pas été obtenues, mais n’apporteraient rien de plus.
Factorisation d’entiers et RSA La multiplication des nombres premiers est facile. Les enfants savent que 3 * 5 font 15, et apprennent comment se servir des tables de multiplication pour résoudre des problèmes plus difficiles comme 123 * 456 = 56088 en utilisant les méthodes de multiplication de leurs livres d’école. Dans cette méthode, chaque chiffre du premier nombre est multiplié par chaque chiffre du second, et le résultat est ensuite obtenu avec de simples additions. On peut ainsi multiplier rapidement des nombres quelle que soit leur taille; un ordinateur multiplie des nombres avec des milliers de chiffres en une fraction de seconde. Il existe des méthodes plus rapides, mais nous n’en parlerons pas ici. Faire une multiplication est facile, mais la défaire paraît plus dur: soit un nombre composé positif n, trouver deux entiers plus grands que 1 qui quand ils sont multipliés donnent n.
Les problèmes mathématiques à la base de la sécurité de l’information Ces entiers sont appelés les facteurs de n. Par exemple, si n = 15, trouver 3 et 5 (car 3 * 5 =15). Ce problème est connu sous le nom de factorisation d’entiers. Il est en général considéré comme difficile. Comme dit plus haut, la difficulté de la factorisation d’entiers n’a pas été prouvée. Le problème serait facile sur un ordinateur quantique, mais jusqu’à présent on ne sait pas en construire. Plus loin nous allons montrer comment on peut exploiter la prétendue difficulté de la factorisation d’entiers pour la cryptographie et l’état de l’art des algorithmes de factorisation d’entiers sera rapidement exposé.
Application en
cryptographie Supposons que quelqu’un, disons Alice, veuille recevoir un message crypté de la part de quelqu’un d’autre. Une manière élégante de le faire est le système RSA, appelé d’après ses inventeurs Ronald Rivest, Adi Shamir et Leonard Adleman. On appelle cela un système à clé publique, car Alice doit publier une certaine clé, qui permettra à tout le monde d’encrypter les messages qui lui sont destinés. Mais elle gardera secrète la clé privée correspondante qui lui permet de déchiffrer les messages qu’elle reçoit. Évidemment, dans un tel cadre, il doit être impossible de déduire la clé privée d’Alice à partir de sa clé publique, sinon quelqu’un d’autre pourrait effectuer le déchiffrement. Pour RSA cette impossibilité est liée à la difficulté de factoriser les entiers. Voilà comment ça marche. Comme on l’a dit plus haut, Alice peut raisonnablement rapidement générer des nombres premiers aléatoires de n’importe quelle taille. Soient p A et q A les deux nombres premiers distincts qu’elle a générés, alors on peut penser que leur produit n A = p A * q A n’est pas factorisable facilement. Cela signifie qu’Alice peut publier sans risque n A tout en gardant secrets ses nombres premiers p A et q A; bien que p A et q A soient déterminés de manière unique par n A il n’y a pas de manière simple (connue) de trouver p A et q A à partir de la seule connaissance de n A (à condition que p A et q A soient choisis judicieusement). En plus de p A et q A Alice choisit aussi un entier e A et calcule un entier d A tel que e A * d A – 1 soit
divisible à la fois par p A – 1 et q A – 1. Etant donnés e A, p A et q A le calcul de d A peut être effectué très rapidement en utilisant une autre importante méthode de calcul, l’algorithme d’Euclide étendu. L’entier e A est publié par Alice (en même temps que n A), mais elle garde d A secret (en même temps que p A et q A). La paire (n A, eA) est la clé publique d’Alice, constituée du modulus public n A et de l’exposant public e A. La clé secrète ou privée d’Alice consiste en d A, l’exposant secret ou privé.
Les nombres premiers p A et q A peuvent en principe être écartés une fois la phase préliminaire effectuée, mais comme on peut les utiliser pour en déduire l’exposant privé d A (puisque e A est public), ils ne doivent jamais être rendus publics. Il s’ensuit donc que pour garantir la sécurité du système RSA, la factorisation du modulus public n A doit être difficile. Mais on n’a pas prouvé que la factorisation de n A est nécessaire pour déduire d A de e A et n A.
tionne
La preuve que RSA fonc
ntrer que le dé-
mo s à plus de détails, on va Pour des lecteurs intéressé Remplaçons chiffrement donne bien M. e E(M) = M A mod nA ment dans la valeur de déchiffre d (E(M)) A mod nA et on obtient
d (M eA mod nA) A mod nA
ment égale d M eA * A mod nA uver que ceci est nt fonctionne, on doit pro Pour que le déchiffreme égal à M. 1 soit divisible struits tels que e A *d A – ����������������� con t ien éta d ��� et e nts A Les exposa ier k tel que A particulier, il existe un ent En . 1�������������������������������������� – q et 1 – p par A à la fois A comme ), ce que l’on peut écrire –1 = k * (p A – 1��������������������������������� e A *d A ����� ). = 1 + k * (p A – 1��� e A *d A ������ t vau nt me fre On en déduit que le déchif 1 + k * (pA – 1) mod n A M e qu Ce qui est la même chose 1 (p – 1) M *M k * A mod nA soit premier, on en t et le fait que p A �������������������� ma Fer de me orè thé it pet Selon le p (M pA – 1 -1). divise M A – M et donc M * ne que p A ��� déduit que p A ������� peut sans risque assumer ’on qu et er mi pre est p me pA – 1 – 1. Ce qui est la mê Comme A que p A divise M pA – 1 mod p égale divise pas M, il s’ensuipt – 1 A p A égale 1. Mais si M A d mo M e qu e dir e chose qu k k (p – 1) égale 1 et donc 1. k (pA – 1) 1, alors M * A mod p A 1 mod nA par p A frement M *M * hif déc du n isio div la de Le reste divise n A) vaut (en utilisant le fait que p A M 1 * 1 mod p A
Il s’ensuit que le déchiffre
qui est
M mod p A c une autre on (mais éventuellement ave faç me mê la de r uve pro t On peu par q A égale la division du chiffrement valeur de k) que le reste de M mod q A. est égal à déchiffrement par p A et q A du n isio div la de te res le e Comm reste chinois tivement, le théorème du pec res q d mo M et p A d le produit M mo A ision du déchiffrement par div la de te res le e qu me M nous dit q A) = M mod n A, mais com (p d mo * M à l A éga est p A*q A=n A ment vaut M il s’ensuit que le déchiffre , n e qu it pet s plu A et f est positi lui-même. FI-spécial été – sécurIT – 28 août 2006 – page 41
Les problèmes mathématiques à la base de la sécurité de l’information L’ensemble peut paraître un peu compliqué. Mais Alice ne doit le faire qu’une fois. Ensuite, quiconque connaît sa clé publique peut facilement chiffrer ses messages que seule Alice pourra déchiffrer: soit M un message, M est un entier positif plus petit que n A, le message chiffré E(M) égale M eA mod n A. Le déchiffrement est tout aussi simple: pour déchiffrer E(M) Alice doit calculer (E(M)) dA mod n A qui est égal au M original. Les deux processus relèvent de l’exponentiation modulaire (voir plus haut). Si RSA est utilisé pour échanger du texte, le message doit être converti en nombres entiers. On peut le faire de beaucoup de manières. Par exemple, on peut encoder a comme 01, b comme 02, etc. jusqu’à z comme 26 (secret devient 190503180520) ou utiliser d’autres schémas plus efficaces. En dépit de la simplicité d’apparence de cette formulation et du fait que beaucoup d’efforts ont été faits pour rendre l’exponentiation modulaire aussi rapide que possible, le chiffrement et le déchiffrement sont trop lents pour traiter en temps réel de grandes quantités de données. En pratique, la méthode est typiquement utilisée pour échanger des clés qui seront ensuite utilisées pour un chiffrement beaucoup plus rapide dit à clé symétrique. Les signatures électroniques sont une autre utilisation importante de RSA. Sans précautions, RSA tel que décrit ici est vulnérable à toutes sortes d’attaques. Mais tous ces sujets n’entrent pas dans le thème de cet article. L’efficacité du système RSA décroît rapidement avec des modulus de plus grande taille. Dans la pratique, on essaie donc de travailler avec le modulus de la plus petite taille possible qui offre un degré acceptable de sécurité: par exemple, un modulus comme n = 15 n’offre aucune sécurité (ses facteurs 3 et 5 sont faciles à trouver), mais un modulus très sûr d’un million de chiffres est pratiquement inutilisable. Trouver le juste milieu entre la sécurité et la faisabilité dépend de l’état de l’art dans les algorithmes de factorisation de nombres entiers et ceci sera commenté plus loin. Supposons qu’Alice ait reçu une note confidentielle de Bob, comme décrit ci-dessus. Comment va-telle répondre à Bob d’une manière confidentielle? Simplement en utilisant
le même principe avec la clé publique de Bob (n B, e B). Donc, Bob doit aussi passer par la phase préliminaire, pour générer ses nombres premiers p B et q B et ses exposants public et privé. Pour des communications plus générales impliquant plus de monde, chacun doit générer ses clés privée et publique et toutes les clés publiques doivent être accessibles pour tous. Cela conduit à la nécessité de ce qu’on appelle Architecture à Clé Publique (PKI) et Autorité de Certification (CA) pour certifier le lien entre les individus et leur clé publique; mais là aussi cela dépasse le cadre de cet article. Un dernier point: comment s’assurer que les différents intervenants choisissent des nombres premiers différents? S’il arrivait que deux personnes, disons Alice et Bob, choisissent un même nombre premier, alors le plus grand commun diviseur (qui peut être très vite calculé grâce à l’algorithme classique d’Euclide) de leurs moduli publics n A et n B révélerait leur nombre premier commun –et donc les clés secrètes d’Alice et Bob– pour qui voudrait se donner la peine de faire le calcul. Pour répondre à ce souci, il suffit de remarquer qu’il y a tant de nombres premiers (supposés d’une certaine taille) que si Alice et Bob utilisent des générateurs corrects de nombres aléatoires, la probabilité que cela arrive est négligeable: celle de gagner à la loterie 10 fois dans un même tirage est plus élevée, même si beaucoup plus que deux personnes sont impliquées.
Les algorithmes de factorisation d’entiers
Il y en a de deux types: les méthodes spécialisées et les méthodes généralistes. Pour les premières, le temps de réussite dépend principalement des propriétés spéciales du facteur trouvé, pour les autres, il ne dépend que de la taille du nombre à factoriser. Les moduli utilisés dans le système RSA n’ont a priori pas de facteurs à propriétés spéciales, nous ne parlerons donc pas ici des méthodes spécialisées. A table of two sieves (www.ams. org/notices/199612/pomerance.pdf) de Carl Pomerance donne une description des algorithmes de factorisation généralistes facile d’accès. Toutes les
FI-spécial été – sécurIT – 28 août 2006 – page 42
Les méthodes
spécialisées de factorisation
des Voici les plus courantes cia spé n tio isa tor méthodes de fac a s ffre chi d de lisées. Si un entier facteur un facteur de k chiffres, le t des san fai en é peut être trouv t de s an nd pe n ess ais de div isio k d, ce 10 à els * nn temps proportio petit. La qui est acceptable si k est trouve rd lla Po méthode rho de tem ps un en r le mê me fac teu k/2 2 , d 10 * ce qui proportionnel à ide si k est rap s est beaucoup plu 1 de Polp – de grand. La métho premier p r teu fac lard trouve un rtionnel po pro é im en un temps est 2 où B est le plus grand à B * d , Actuelfacteur premier de p – 1. lisée de cia spé de lement, la métho est la ide rap s plu factorisation la ique. ipt ell rbe cou méthode de la teurs fac des r uve tro Elle permet de s. Le ffre chi 50 de s premiers de plu uvé tro a e ’ell qu r plus grand facteu , res iff ch 74 a t jus qu’à pré sen de sé po com re mb facteur d’un no 162 chiffres.
méthodes connues aujourd’hui sont basées sur la même idée simple, mais peu de progrès substantiels ont été faits depuis l’invention à la fin des années 80 de l’algorithme NFS (Number Field Sieve), actuellement l’algorithme généraliste de factorisation de nombres entiers le plus rapide. Cette absence de progrès pourrait être l’indice que cette simple idée sur laquelle les chercheurs s’acharnent depuis les années 70 est une impasse et qu’il faudrait une idée totalement nouvelle pour permettre de nouveaux progrès. Voilà tout ce que l’on sait –ou que l’on peut raisonnablement prédire, même si des prédictions dans ce domaine sont plutôt risquées: à la fin des années 70 on a publié un modulus RSA de 129 chiffres, et on a proclamé qu’il faudrait 40 billiards (1 billiard=10 15 ) années pour le factoriser. À l’époque, cela semblait raisonnable. En 1994, le modulus de 129 chiffres fut factorisé. Au milieu des années 90 des moduli de 155 chiffres étaient largement utilisés dans les systèmes RSA. En 1999, le premier
Les problèmes mathématiques à la base de la sécurité de l’information modulus à 155 chiffres fut factorisé, et cela a démontré que cette taille n’était plus suffisante pour assurer la sécurité. Des moduli RSA d’environ 200 chiffres ont été récemment factorisés, mais cela demande beaucoup d’investissement, des centaines d’ordinateurs et des mois de calcul. En supposant que l’on dispose de versions plus raffinées des algorithmes actuels (et de plus grande puissance de calcul) on peut s’attendre à ce que des moduli de 300 chiffres puissent être factorisés dans les 10 ou 20 prochaines années. Actuellement, l’utilisation de moduli RSA d’environ 300 chiffres nous semble adéquate, mais on ne peut compter dessus pour le long terme. Des moduli de 500 ou plus chiffres ne semblent pas possibles avec les méthodes actuelles. Mais combien de temps faut-il attendre avant qu’une nouvelle idée géniale ne vienne s’appliquer à ces moduli? Seul le futur nous le dira.
Les logarithmes
discrets et le protocole DiffieHellman Comme dit plus haut, l’exponentiation modulaire peut être utilisée efficacement pour calculer b e mod m, le reste de la division de b e par m, pour tout modulus m, base b et exposant e. Inverser une exponentiation modulaire c’est le problème où étant donné un modulus m, une base b et un entier positif y plus petit que m, il faut trouver l’exposant e tel que y = b e mod m. Ce problème est souvent appelé problème du logarithme discret. Il y a des parallèles remarquables à faire entre le problème du logarithme discret et la factorisation d’entiers; pour des valeurs de m et b appropriées: z on pense que c’est difficile, z la difficulté n’a pas été prouvée, z ce serait facile sur un ordinateur quantique, z la prétendue difficulté peut être utilisée en cryptographie, z tous les algorithmes connus pour calculer les logarithmes discrets sont très proches des algorithmes de factorisation de nombres entiers. Nous allons rapidement exposer une application connue en cryptographie et quelques algorithmes de logarithmes discrets.
Le protocole de DiffieHellman
Le protocole de Diffie-Hellman est un protocole d’échange de clés. Il permet aux deux intervenants, disons Alice et Bob, de s’entendre sur une information secrète, en général appelée clé, tout en communiquant sur un canal public. Ensuite la clé sera utilisée par Alice et Bob pour communiquer confidentiellement (et efficacement) sur le même canal public, en utilisant le chiffrement à clé symétrique. Dans le protocole de DiffieHellman, on suppose qu’un modulus m et une base b adéquats sont connus de tous. Alice va simplement tirer au hasard un exposant e A ≥ 0, utiliser l’exponentiation modulaire pour calculer b eA mod m, et transmettre le résultat à Bob. Symétriquement Bob choisit au hasard un exposant eB ≥ 0, se sert de l’exponentiation modulaire pour calculer b eB mod m, et transmet le résultat à Alice. Alice utilise alors son exposant eA et le résultat b eB mod m reçu de Bob, pour calculer (b eB mod m)eA mod m, pendant que Bob utilise son exposant eB et la valeur b eA mod m envoyée par Alice pour calculer (b eA mod m)eB mod m. Mais la valeur de (b eB mod m)eA mod m, calculée ������������� par Alice est égale à b eB * eA mod m, et c’est aussi le cas pour la valeur de (�b eA mod m)eB mod m calculée par Bob (car eB * eA = eA * eB). Ainsi, Alice et Bob se seront mis d’accord sur la clé b eA * eB mod m. Si on peut calculer e A à partir des paramètres m et b et de la valeur b eA mod m qui est transmise par Alice sur un canal public, alors la clé partagée b eA * eB mod m peut être calculée en utilisant l’exponentiation modulaire à partir de m, e A et la valeur b eB mod m transmise par Bob. La sécurité du système résulte donc de la difficulté à calculer le logarithme discret e A de la valeur transmise b eA mod m. Donc, m et b doivent donc être choisis tels que le calcul de ce logarithme discret soit trop difficile. Inversement, la sécurité dépend aussi de la difficulté à calculer le logarithme discret e B de l’autre valeur transmise (b eB mod m). Bien que pour calculer le logarithme discret il suffise de déduire la clé b eA * eB mod m des deux valeurs transmises b eA mod m et� b eB mod m (et des paramètres publics m et b), on n’a pas pu prou-
ver qu’il était nécessaire de calculer un logarithme discret: en principe il pourrait y avoir un raccourci qui conduirait à la clé b eA * eB mod m en combinant d’une autre façon les valeurs disponibles m, b, b eA mod m et b eB mod m. Le problème de trouver b eA * eB mod m, étant donnés m, b, b eA mod m ��� et b eB mod m, est connu sous le nom de problème de Diffie-Hellman. Il est au plus aussi difficile que le problème du logarithme discret, mais pourrait être plus facile. Néanmoins, il est habituel de dire que la sécurité du protocole de Diffie-Hellman repose sur la difficulté de problème du logarithme discret (quoiqu’il puisse être plus facile), car si le problème du logarithme discret peut être résolu, alors le protocole de Diffie-Helllman pourra être cassé (i.e. la clé pourra être trouvée) par quiconque à l’écoute de la communication. Comme d’habitude, la description élémentaire faite ici est vulnérable à toutes sortes d’attaques si des précautions ne sont pas prises. La plus connue (et commune) est l’attaque dite de l’homme du milieu: si Alice et Bob ne sont pas sûrs qu’ils communiquent entre eux, ils pourraient chacun se retrouver à échanger leur clé secrète avec une tierce personne, qui pourrait ensuite avoir un accès facile aux données confidentielles que Bob et Alice veulent échanger.
Les algorithmes de
logarithme discret La difficulté du problème de l’algorithme discret dépend dans une large part des propriétés du modulus m et de la base b, plutôt que juste de leur taille. On suppose que m et b sont soigneusement choisis pour éviter les cas faciles. Si on part du principe que le problème du logarithme discret ne peut être résolu à partir de propriétés spéciales de m ou b, la difficulté du problème est déterminée par la taille de m. Les meilleures méthodes connues dans ce cas sont très proches des méthodes généralistes de factorisation d’entiers. Pour n et m d’approximativement la même taille, l’effort demandé pour factoriser un modulus RSA n est comparable à celui pour résoudre le problème (général) du logarithme discret avec un modulus m. Des paramètres d’une taille
FI-spécial été – sécurIT – 28 août 2006 – page 43
Les problèmes mathématiques à la base de la sécurité de l’information simulaire doivent donc être utilisés pour RSA et le protocole de DiffieHellman. Comme dans le cas de la factorisation de nombres entiers, il n’y a pas de preuve mathématique que tout problème pratique de logarithme discret soit réellement difficile.
Autres problèmes de
logarithme discret Les premières applications du problème du logarithme discret proposées en cryptographie utilisaient le cas simple décrit plus haut, basé sur des nombres entiers. Ensuite, on réalisa que d’autres instances du problème du logarithme discret impliquant d’autres structures mathématiques étaient aussi intéressantes pour des applications cryptographiques et qu’elles pouvaient même présenter des avantages compa-
rés aux approches plus traditionnelles avec les nombres entiers. Les systèmes de chiffrement à courbe elliptique sont bien connus, ils utilisent des structures mathématiques avancées appelées courbes elliptiques. Malheureusement, comme avec les entiers, il n’y a pas de preuve de la difficulté du problème du logarithme discret des courbes elliptiques.
Conclusion Pour une personne extérieure, il peut sembler étrange que, dans le fond, la sécurité de presque toutes les communications électroniques soit basée sur quelques problèmes mathématiques qui ne sont pas bien compris. L’argu-
ment de sécurité repose uniquement sur des années de tentatives échouées et non sur un raisonnement mathématique rigoureux. Cela peut être gênant pour certains, mais ne semble pas être un problème pour ceux qui le mettent en pratique. D’autres méthodes basées sur d’autres problèmes mathématiques ont été proposées. Mais ils n’ont jamais atteint le niveau de popularité des systèmes basés sur la factorisation ou les logarithmes discrets, et ces problèmes sont regardés avec encore plus de scepticisme que ceux dont on a parlé ici. À présent, tout ce que nous pouvons faire c’est de rester attentif à de meilleures alternatives et d’espérer que les ordinateurs quantiques ne pourront pas être construits.n
ur le problème du
s po Éviter les cas facile t logarithme discre
ce du théorème posé, alors en conséquen Si le modulus m est com peut être réduit t me du logarithme discre du reste chinois, le problè rs premiers de teu e discret concernant les fac au problème du logarithm façon que sa e tell tions, m est construit de m. Dans certaines applica el de choisir itu hab à trouver, mais il est plus factorisation est difficile er. mi pre on suppose que m est l un modulus m premier. Ici d m égale 1 est un mo b uel leq ur po l f Le plus petit entier positi dre le problème rdre de b modulo m. Résou nombre important: c’est l’o r une valeur e uve une valeur y consiste à tro du logarithme discret pour tout entier r ur po r e y. En écrivant que e=k*l+ l telle que b mod m égale r d m égale 1. mo b e mod m égale y parce qu (0≤ r < l), il s’ensuit que b comparant en olu e discret peut être alors rés l – 1 mod m, une des valeurs Le problème du logarithm 1 0 b mod m, … , b y aux l valeurs b mod m, rendre impossible blème a une solution. Pour doit correspondre si le pro être suffisamment it l’ordre l de b modulo m do cette recherche exhaustive, division pour la de ur la méthode des essais k si e est grand. De même que po nn uis est proportio el à 10 req ps tem le , ers nti d’e n llard Po factorisatio de rho de Une variante de la métho intes tra un nombre de k chiffres. con es utr k/2 d’a ant 10k à 10 . Mais, il y a s’applique ici aussi, réduis lo m. quant à l’ordre l de b modu la difficulté du g-Hellman suggère que hli Po de de tho La mé par la taille de e iné discret n’est pas déterm problème du logarithme mier de l. Par pre r lle du plus grand facteu l lui-même, mais par la tai supplémenion dit alors choisie avec la con conséquence, la base b est l’ordre l de e qu fait dulo m est premier. Le taire que l’ordre l de b mo peu plus le un ore r de m – 1 complique enc mat et du b modulo m est un facteu Fer de uence du petit théorème paysage. C’est une conséq fait que m est premier. e m-1 ait un m est choisi premier, tel qu Pour résumer, le modulus pour que nd gra ent k soit suffisamm où s ffre chi k de l er mi facteur pre k/2 et b est choisi tel nnel à 10 soit irréaliste l’effort de calcul proportio t e est choisi au san po égale l. À présent, si l’ex que son ordre modulo m y = (b e mod m) de t logarithme discre du cul cal le , l-1 et 0 re hasard ent trop facile! ne sera, probablement pas
FI-spécial été – sécurIT – 28 août 2006 – page 44
Biométrie et documents d’identité
Andrzej.Drygajlo@epfl.ch, Groupe de traitement de la parole et de biométrie, EPFL-STI
Une
nouvelle génération de titres d’identité électroniques émerge dans les pays occidentaux. Certains comportent des données biométriques afin d’assurer un meilleur contrôle de l’identité de leur titulaire. D’autres intègrent des fonctions d’authentification et de signature électroniques afin de promouvoir le développement de l’administration et du commerce électroniques. Dans la mesure où ils sont susceptibles de donner lieu à des traitements automatisés de données à caractère personnel, leur développement éventuel doit être entouré de garanties préservant les libertés individuelles. A la suite des attentats du 11 septembre 2001, l’Organisation de l’Aviation Civile Internationale (OACI), l’Union européenne, la Suisse et de nombreux États, au premier rang desquels les États Unis, ont décidé d’insérer dans les passeports des puces électroniques sécurisées comportant des données biométriques numérisées, notamment la photographie, pour identifier avec certitude leur détenteur et lutter ainsi contre une fraude documentaire qui favorise l’immigration irrégulière, la criminalité organisée et les activités terroristes. Les technologies biométriques ouvrent de nouvelles possibilités. Sujet de controverse, la biométrie est pourtant déjà une réalité. Elle s’impose d’ores et déjà comme un instrument fort de sécurisation des documents. Toutefois, la plus-value en terme de sécurité reste mal évaluée. La biométrie n’est pas une solution miracle; son efficacité dépend de nombreux facteurs.
Identité et biométrie Même si on retrouve le processus d’identification des individus dans toutes les sociétés humaines, sa logique n’a toutefois pas cessé d’évoluer. Les
processus d’identification permettant l’assignation à chacun d’une identité reconnaissable sont peu à peu passés de la simple reconnaissance fondée sur les éléments descriptifs, que l’on peut qualifier d’identité sociale (nom, prénoms, date de naissance, sexe, nationalité, filiation, etc.), au développement de techniques d’identification indirecte de plus en plus perfectionnées (documents d’identité sur support papier, documents d’identité sécurisés, et aujourd’hui documents d’identité numériques comportant des identifiants biométriques). Généralement, pour prouver son identité il existe trois moyens: 1 ce que l’on possède (carte, badge, document),
semble de caractéristiques physiques qui rendent son identification possible. Le cerveau humain effectue en permanence des opérations de reconnaissance biométrique, notamment de reconnaissance faciale. Les informations sur les particularités du visage sont comparées à notre mémoire afin d’y associer un nom. Les technologies biométriques fonctionnent d’une façon similaire. Couplée à des traitements informatisés de plus en plus puissants, la biométrie peut permettre l’identification d’un individu parmi plusieurs millions de manière automatisée. La précision du système varie selon le type et le nombre d’éléments biométriques utilisés.
Biométrie et é it t n e d ’i d s t n e m u c o d 2 ce que l’on sait (mot de passe) et 3 ce que l’on est (biométrie). La biométrie permet de compléter les deux premiers moyens par des éléments objectifs intrinsèquement liés à la personne, des plus visibles (couleur des yeux et des cheveux, taille) aux moins visibles (empreintes digitales, iris, etc.). L’évolution de nos sociétés conduit de plus en plus à considérer le corps humain comme élément constitutif de l’identité. L’insertion de la biométrie dans les documents d’identité prend en effet tout son sens dans un contexte où l’identité sociale est changeante et où le besoin d’identification sans équivoque se fait pressant. L’identification certaine d’un individu par le biais d’une identité universellement reconnaissable, fixe et inaltérable est devenue une préoccupation majeure. Le terme biométrie est de plus en plus utilisé pour définir les techniques permettant d’identifier une personne à partir de l’un ou plusieurs de ses caractères biologiques ou comportementaux. En effet, chaque être humain se distingue de ses semblables par un en-
En effet, les données biométriques sont de plusieurs types, chacune présentant des avantages et des inconvénients en fonction de l’usage qui en est fait. Les principales techniques biométriques sont fondées sur l’analyse morphologique (empreintes digitales ou palmaires, iris de l’œil, morphologie du visage, géométrie de la main, dessin du réseau veineux de la main), l’analyse de traces biologiques (ADN, sang, salive) et l’analyse d’éléments comportementaux (signature, démarche). Schématiquement, les systèmes biométriques se proposent de comparer deux (vérification) ou plusieurs (identification) échantillons et de déterminer automatiquement s’il y a ou pas ressemblance des échantillons. À partir de cette ressemblance ou de cette différence, on conclut que les deux échantillons apparentés proviennent de la même personne ou, au contraire, en cas de non-apparentement que les échantillons ne proviennent pas de la même personne. L’individu est ainsi sollicité à deux reprises, lors du prélèvement du premier échantillon qui servira de référence et lors du prélèvement du second
FI-spécial été – sécurIT – 28 août 2006 – page 45
Biométrie et documents d’identité échantillon qui sera comparé au précédent. Il est, en effet, communément admis que le processus des systèmes biométriques comporte deux phases: l’enrôlement au cours duquel l’information biométrique d’une personne est ajoutée au système et la vérification / identification au cours de laquelle une nouvelle information biométrique est comparée à celle(s) déjà enregistrée(s), cette comparaison, automatisée, devant en principe avoir lieu dès la saisie de la seconde information. La composante biométrique des documents d’identité n’est pas à proprement parler une nouveauté. Les passeports et cartes d’identité comportent en effet déjà des données telles que l’image du visage, la taille, la couleur des yeux ou encore la signature du titulaire. Jusqu’alors toutefois, ces données font rarement l’objet d’une numérisation ou de la constitution d’un fichier. D’autre part, depuis plus de vingt ans, les technologies biométriques automatiques se sont étendues au secteur de la sécurité dans le but de surveillance des sites sensibles et de contrôle des accès.
Le contexte de l’introduction de la
biométrie dans les documents d’identité L’introduction de la biométrie dans les documents d’identité témoigne, outre du besoin croissant d’une identification la moins faillible possible, d’une volonté de contrôler les déplacements des individus en société. La fraude à l’identité est aussi ancienne que le besoin d’identification des individus. Cette fraude peut en pratique revêtir plusieurs formes: l’identité fictive, l’usurpation d’identité, l’échange d’identité ou encore l’utilisation de l’identité d’une personne décédée. La fraude aux titres d’identité est généralement utilisée pour commettre d’autres infractions: ouvrir un compte bancaire, souscrire un emprunt, bénéficier de prestations sociales, quitter le territoire national, échapper aux recherches de la police, etc. Le développement et la mondialisation de la fraude à l’identité posent des difficultés inédites. Les modes traditionnels de preuve de l’identité sont affaiblis. La notion de nom patronymique est de moins en moins
pertinente pour s’assurer de l’identité des personnes. La biométrie offre a priori des réponses à ce défi: z d’une part, elle est universelle, chaque être humain pouvant être identifié de la sorte quelle que soit sa culture et quel que soit son âge; z d’autre part, elle garantit l’unicité de la personne en établissant un lien unique entre la donnée biométrique et son porteur, la robustesse de ce lien pouvant résister, à certaines conditions, à la comparaison de plusieurs centaines de millions d’individus entre eux; z surtout, les progrès de l’informatique ouvrent de nouvelles possibilités pour son utilisation. Le traitement informatisé de la biométrie ouvre la voie à la notion d’identité biométrique. Cette identité ne se substituerait pas à l’identité au sens classique. L’état civil resterait la base de l’identité, mais la biométrie rendrait l’identité indissociable d’un processus technique d’identification. Toutefois, il ne faut pas confondre identité numérique et identité biométrique. L’identité numérique, c’està-dire la numérisation des données relatives à l’identité d’une personne, notamment sur un support tel qu’une puce, peut se concevoir sans biométrie. La biométrie présente des enjeux spécifiques.
Des développements nouveaux que la Suisse ne peut ignorer
Trois contraintes convergentes imposent désormais à la Suisse la mise en place rapide d’un premier document d’identité: passeport biométrique. En premier lieu, en application d’un règlement du 13 décembre 2004, les états membres de l’Union européenne devront, à partir du 28 août 2006, délivrer des passeports incluant une donnée biométrique sur une puce: la photographie faciale. L’introduction d’une seconde donnée biométrique, les empreintes digitales, interviendra dans un délai de 36 mois à compter de l’adoption des spécifications techniques qui ne sont pas encore arrêtées. En deuxième lieu, la recommandation adoptée le 9 mai 2003 par l’Organisation de l’Aviation Civile Internatio-
FI-spécial été – sécurIT – 28 août 2006 – page 46
nale (OACI) prévoit l’intégration avant 2015 d’au moins une donnée biométrique dans les documents de voyage: la photo numérisée serait obligatoire, mais des données biométriques supplémentaires resteraient optionnelles (empreintes digitales, iris de l’œil). En dernier lieu, et c’est sans doute la contrainte la plus importante, les États-Unis imposent aux vingt-sept pays qui bénéficient du programme américain d’exemption de visa, une échéance précise pour la mise aux normes de l’OACI des passeports. Fixée au 26 octobre 2006, cette échéance est sanctionnée par le rétablissement des visas à l’encontre des ressortissants détenteurs d’un passeport, délivré après cette date, ne comportant pas au minimum une donnée biométrique (la photographie faciale). Toutefois, les passeports lisibles en machine délivrés avant cette date continueront d’exempter de la présentation d’un visa. Une piste pour améliorer la protection de l’identité de nos concitoyens consisterait à ne retenir comme documents valant titre d’identité, que ceux dont les conditions de délivrance sont les plus sûres: le passeport et la carte d’identité. La question de la fusion de ces deux documents mérite également d’être étudiée même si elle soulève des difficultés juridiques et pratiques.
Passeport 06 - le
passeport suisse de la nouvelle génération Il sera possible de demander le passeport 06 au plus tôt le 4 septembre 2006. En apparence, ce dernier ne se différencie pratiquement pas du passeport 03. On le distingue grâce au symbole, reconnu dans le monde entier, figurant sur la page de couverture et indiquant que le passeport contient des données lisibles électroniquement. La couverture du passeport 06 est plus épaisse et plus dure que celle du modèle précédent en raison de la puce très plate et de l’antenne qui y sont intégrées. La puce contient, outre les données qui sont imprimées dans le passeport, une photo numérisée qui est la même que celle figurant dans le passeport. Ces données peuvent être lues par les appareils de lecture à une courte distance, pour autant que l’appareil dispose de la clé nécessaire à la procédure de contrôle
Biométrie et documents d’identité
Basic Access Control. De cette façon, il est possible de comparer électroniquement l’image numérisée du visage à celle de la personne qui présente le passeport, par exemple lors du franchissement de la frontière. La vérification de l’identité est donc effectuée de façon automatisée. Les falsifications de passeports et les voyages effectués avec un passeport qui n’est pas le sien sont devenus plus difficiles. La protection des données et la sécurité des informations sont garanties grâce à des signatures électroniques et des clés. La nouvelle génération de passeports munis de données biométriques enregistrées électroniquement est introduite dans le cadre d’un projet pilote. Quelque 100 000 passeports de ce type seront émis chaque année. Afin d’éviter des investissements démesurés, inévitables au vu de l’évolution fulgurante que connaît actuellement la technologie utilisée, le Conseil fédéral a décidé de renoncer à l’introduction immédiate, à l’échelon national, des passeports biométriques et a opté pour ce projet pilote, limité dans le temps et à capacité restreinte. Les développements réalisés et les expériences faites durant le projet
pilote pourront ensuite être utilisés lors de l’introduction du passeport biométrique au niveau national.
Les risques relatifs
à la fiabilité et l’utilisation des données biométriques Face à l’impatience des Américains, de plus en plus d’experts n’hésitent pas à mettre en garde contre une intégration trop hâtive des techniques biométriques dans les documents d’identité. Il est vrai que l’utilisation à grande échelle de ces techniques soulève encore un certain nombre d’interrogations. Sur la fiabilité tout d’abord, puisque même la technique de reconnaissance par l’iris, pourtant réputée la plus fiable, ne présente pas un taux de réussite de 100%. Appliqué à des populations de plusieurs dizaines de millions d’individus, un système biométrique doit prendre en compte ses propres faiblesses dès sa conception. En effet, les études scientifiques et les premiers retours d’expérience à grande échelle évaluent à 2-3% la fraction d’une population inadaptée à l’utilisation d’un type de données
biométriques, par exemple, dans le cas des empreintes digitales, il peut s’agir de personnes aux mains coupées, ayant travaillé le ciment ou ayant eu les doigts attaqués par des acides. D’autre part, les empreintes digitales, à la différence d’autres données biométriques, laissent des traces qui peuvent être exploitées pour l’identification des personnes et que dès lors toute base de données d’empreintes digitales est susceptible d’être utilisée à des fins étrangères à sa finalité première. Assez simples pour les empreintes digitales, les conditions d’acquisition de l’image sont plus contraignantes concernant le visage et l’iris. Dans les deux cas, c’est une caméra qui est chargée de l’opération. Pour le visage, il faut que le sujet soit fixe et les conditions d’environnement standard (fonds uniforme, éclairage suffisant) pour que les systèmes automatiques de reconnaissance donnent de bons résultats. La capture de l’iris nécessite une contrainte supplémentaire: du fait de la petite taille de l’iris, la caméra doit en effet se situer à une certaine distance, fixe, de l’œil. Le dispositif d’acquisition doit donc exploiter un retour d’information visuel pour permettre aux personnes de positionner
FI-spécial été – sécurIT – 28 août 2006 – page 47
Biométrie et documents d’identité elles-mêmes leur œil. En outre, sur de grandes populations, les risques d’erreur sont statistiquement accrus. La probabilité que deux caractéristiques biométriques soient identiques ou soient si proches que le traitement informatique les confonde est plus importante. En théorie, ce risque met à mal le principe d’unicité qui relie un individu à une donnée biométrique. En pratique, ce problème peut être réglé, la probabilité variant selon la technique utilisée. Pour ces différentes raisons, l’utilisation d’au moins deux données biométriques semble nécessaire, par exemple, le visage et les empreintes digitales constituent un bon compromis. Ce choix permet de couvrir l’ensemble de la population et de réduire considé-
rablement les erreurs du système (fausse acceptation ou faux rejet). Il convient également d’enrôler les empreintes digitales de plusieurs doigts afin de réduire la probabilité que deux personnes présentent des caractéristiques biométriques très proches. Autre souci: les industriels tardent à standardiser leurs technologies. Or, il faudra bien à l’avenir qu’une empreinte digitale numérisée par exemple par du matériel français puisse être interprétée aux États-Unis par du matériel américain. À ces inquiétudes purement techniques viennent enfin s’ajouter des questions d’ordre pratique: temps nécessaire aux phases d’enrôlement et de vérification, coût global du processus,
réaction du public, aspects pratiques et éthiques inhérents à la création de grandes bases de données biométriques. En conclusion, la biométrie offre des solutions nouvelles pour mieux sécuriser les documents d’identité. Elle est toutefois complexe à mettre en œuvre et nécessite au préalable une réflexion globale pour être performante. Elle ne doit pas non plus être considérée comme une solution miraculeuse. En tout état de cause, sa mise en œuvre exige de la prudence. Telles sont les raisons pour lesquelles un éventuel recours intensif à la biométrie pourrait faire l’objet d’une introduction progressive, ou être précédé d’une phase de recherche et d’expérimentation. n
z le chiffrement symétrique, pour des chiffrement et déchiffrement rapides de grandes quantités de données; z l’échange de clé, pour négocier la clé utilisée lors de chiffrement symétrique; z les signatures électroniques, pour signer les hachages cryptographiques des documents. Les choix sont incroyablement multiples pour chacun de ces outils
sont en charge de faire les bons choix pour les technologies et les produits. La seule chose dont ils doivent se soucier c’est de suivre les bonnes pratiques tout en se conformant aux standards industriels existants ou virtuels, et le cas échéant, aux règles. Comme ces bonnes pratiques le sont réellement et comme les standards sont le résultat d’années d’études de la part des experts du monde entier, il semble qu’il n’y
Les standards en cryptographie sont-ils souhaitables?
Arjen.Lenstra@epfl.ch,Professeur au Laboratoire de cryptologie algorithmique, EPFL-IC
pas se Les décideurs ne doivent tant ie log pto cry préoccuper de nsta x au nt me qu’ils se confor tir sen se nt ive do dards. Mais ils qu an d un pe u plu s con cerné s so nt s ard nd sta x de no uv eau été s pri pro s de c an no nc és, ave éind ou ues nd tte incertaines, ina ici ter sen pré ns allo sirables. Nous s dans de récents développement ue. cette thématiq
La
cryptographie, l’art et la science de l’écriture secrète, est au cœur technique de la Sécurité de l’Information. Les outils de base de cryptographie qui sont présents partout sont: z les fonctions de hachage, pour obtenir rapidement l’empreinte de documents;
Les standards en s il t n o s ie h p a r g o t p y r c souhaitables? (par contraste avec le peu d’outils mathématiques impliqués – voir l’article Les problèmes mathématiques à la base de la sécurité de l’information de ce numéro). Cela ne concerne pas les responsables de la sécurité informatique des institutions, ceux qui
FI-spécial été – sécurIT – 28 août 2006 – page 48
ait pas de problème à se conformer à l’approche habituelle de mise en œuvre de la sécurité de l’information. Néanmoins, c’est loin d’être aussi évident. Il est généralement admis que le niveau voulu de sécurité des outils standard cryptographiques n’est plus suffisant (simplement parce que
Les standards en cryptographie sont-ils souhaitables? les processeurs deviennent de plus en plus rapides). Pour noircir encore un peu plus le tableau, on a démontré qu’un des outils standard –et largement utilisé- n’atteint pas ce niveau voulu de sécurité. C’est pourquoi, de nouveaux standards sont en train de naître: selon les pages Web du NIST des États-Unis (National Institute of Standards and Technology)1, Suite B Cryptography va montrer dans quelle direction aller pour atteindre un niveau satisfaisant de sécurité cryptographique vers 2010. C’est la NSA (US National Security Agency)2 qui a récemment annoncé Suite B Cryptography qui est censé fournir à l’industrie un ensemble d’algorithmes cryptographiques qui pourront être utilisés pour créer des produits répondant à la majorité des besoins des agences gouvernementales états-uniennes. Bien que visant les besoins du gouvernement US, on ne peut douter que l’utilisation de Suite B Cryptography, ou du moins de certaines parties, se répandra pour une utilisation plus générale. En conséquence, l’approche conformiste habituelle entraînera rapidement les sociétés du monde entier à adopter les méthodes de Suite B Cryptography. Elles auraient pu le faire de toute façon, mais faire partie de la Suite B Cryptography implique un tampon d’approbation qui permet d’éviter les critiques qui, sinon, n’auraient pas manqué de s’élever. Suite B est sur le principe une initiative méritoire. Elle soulève aussi quelques questions, la première par le but exprimé. Sur le site Web de Suite B, on peut lire Les avancées constantes et rapides des technologies de l’information au 21e siècle réclament l’adoption d’une stratégie cryptographique flexible et souple pour protéger l’information concernant la sécurité nationale. Au vu des événements récents – particulièrement le fait que des méthodes cryptographiques bien établies et largement utilisées se sont avérées avoir des propriétés indésirables inattendues- il est en
effet obligatoire d’adopter une approche flexible et souple dans l’utilisation de méthodes cryptographiques. Le moins que l’on puisse dire c’est qu’il est déconcertant que cette flexibilité et cette souplesse n’apparaissent pas dans Suite B Cryptography: en fait, on ne fait qu’y proposer une seule méthode cryptographique pour chacun des quatre outils de base cités plus haut. La possibilité de remplacer rapidement un outil cassé, ce qui est une sage précaution etant donné les progrès de la cryptanalyse, n’est pas une exigence pour la Suite B Cryptography. La page Web du NIST autorise un peu plus de flexibilité pour le choix de la signature électronique et les outils d’échange de clés, mais ne met pas non plus assez de poids sur le besoin de souplesse. Le manque de souplesse peut être encore empiré par le choix de quelques outils cryptographiques actuels. Voici la situation: le seul outil de hachage de Suite B Cryptography est SHA-2, qui se rapporte à un certain nombre de fonctions de hachage cryptographique avec différents niveaux de sécurité cryptographique. Aujourd’hui, il n’a pas de raison de soupçonner que les hachages de SHA-2 n’atteignent pas
les niveaux de sécurité prévus. Mais il y a malgré tout un souci. En terme de conception les hachages de SHA-2 sont les derniers membres d’une famille de hachage qui comprend MD4, MD5, SHA-0 et SHA-1 (dans l’ordre chronologique). MD4, et partiellement MD5 et SHA-0, étaient déjà connus pour être plus fragiles que prévu. En 2004 et 2005, on savait que tous ces vieux hachages avaient de sérieux problèmes de conception. Les faiblesses qui en découlent sont difficiles à exploiter et on peut argumenter que beaucoup d’applications ne sont pas concernées. Par ailleurs, SHA-2 ne semble pas partager ces problèmes avec ses prédécesseurs. Néanmoins, l’émergence de problèmes sous-jacents indique que l’état de l’art dans la conception des fonctions de hachage en cryptographie fait gravement défaut. Apparemment l’expérience et le savoir qui ont été injectés dans la conception de fonctions comme MD5 et SHA-1 étaient insuffisants. Comparé à SHA-1, SHA-2 contient plusieurs modifications supposées intelligentes qui jusqu’à présent semblent fonctionner, car les cryptanalyses actuelles de
csrc.nist.gov/ispab/2006-03/E_Barker-March2006-ISPAB.pdf www.nsa.gov/ia/industry/crypto_suite_b.cfm
1 2
FI-spécial été – sécurIT – 28 août 2006 – page 49
Les standards en cryptographie sont-ils souhaitables? SHA-1 n’affectent pas SHA-2. Mais pour l’unique fonction de hachage cryptographique incluse dans un nouveau standard, on aimerait disposer d’une base plus solide pour avoir vraiment confiance. Malheureusement, il n’y a pas d’alternative universellement acceptée à SHA-2. Ne serait-il pas préférable de reporter la migration coûteuse vers Suite B jusqu’à ce qu’on dispose d’une meilleure alternative? Le seul outil de chiffrement symétrique inclus dans la Suite B Cryptography est le célèbre AES (Advanced Encryption Standard). C’est sans aucun doute un algorithme bien conçu, résultat d’une compétition internationale et choisi en 2000 par NIST après un soigneux processus de sélection. Depuis son invention à la fin des années 90, aucune faille sévère n’a été découverte dans la méthode de chiffrement AES malgré de sérieuses attaques par des cryptanalystes de par le monde. Néanmoins, un problème récent nous fait nous demander si on aurait choisi la même méthode s’il avait été connu en 2000. Ce problème est que les implémentations sous forme logicielle de AES sont par ticulièrement vulnérables aux attaques dites par le cache 3. L’attaquant observe simplement le comportement et le timing d’un de ses process (pas directement lié à AES) qui tourne en même temps et sur le même processeur que le process du logiciel AES attaqué. Il est montré que les données rassemblées peuvent conduire à des informations concernant la clé secrète AES, qui peut ensuite être connue en une fraction de seconde. En général, on croit que les privilèges d’accès sont suffisants pour offrir une protection et une séparation adéquates entre des process partageant le même processeur. Cette attaque, cependant, ne réclame aucun privilège par rapport au process AES, il suffit d’avoir un accès simultané au processeur sur lequel le logiciel AES s’exécute. Pendant la compétition AES, le fait que le cache soit une ressource partagée qui permet des fuites d’information
3 4
5
6
entre les process était soit ignoré soit considéré hors de propos. Actuellement, tout logiciel incluant un process AES est à risque s’il s’exécute sur un processeur qui peut être partagé. C’est le cas des serveurs et de tout ordinateur sans un contrôle d’accès approprié, ce qui est à peu près le cas de la majorité des machines connectées à Internet. Des mesures de protection ont été proposées pour faire échouer les attaques par le cache, mais elles ne sont pas fréquemment appliquées et ne font pas partie de l’approche standard de la sécurité informatique ni de ses bonnes pratiques. On peut noter que plusieurs fonctions de chiffrement autres que AES sont aussi vulnérables aux attaques par le cache, mais aussi que certains des candidats finalistes pendant la compétition AES sont censés être moins vulnérables. Une fois ce nouveau fait connu, quid de AES et de son inclusion dans la Suite B Cryptography? On aimerait y voir des conseils sur les circonstances dans lesquelles AES ne doit pas être utilisé ou sur quel type de précautions on doit prendre. Peut-être que ces précautions sont des pratiques standard dans certains environnements, mais dans la plupart des cas elles ne le sont pas. Restreindre l’utilisation d’AES uniquement à des implémentations hardware n’est pas une option réaliste. Il n’est pas plus réaliste de restreindre l’usage d’AES à des environnements non partagés –c’est tout le contraire qui se passe, avec l’intérêt croissant de l’industrie pour les machines virtuelles, on partage de plus en plus les ressources de calcul, avec la conséquence évidente d’un risque d’attaques par le cache. Pour les deux derniers outils, l’échange de clé et les signatures électroniques, Suite B Cryptography utilise la cryptographie par courbes elliptiques (Elliptic Curve Cryptography - ECC) et suggère l’usage d’un certain nombre de courbes elliptiques standard. Tant qu’il n’y a pas de pairings (qui ne sont d’ailleurs pas présents dans la suite B), ECC est une technique mature que l’on peut à présent recommander pour
une application pratique. Cependant, se reposer exclusivement 4 sur une technologie qui peut exiger une licence5 pour une utilisation en dehors du gouvernement états-unien peut faire sourciller certains. En outre, l’utilisation de courbes standard avec des nombres premiers spécialement formatés, est encore une autre contradiction par rapport à une stratégie cryptographique flexible et souple. Pour conclure ce court article, que nous apporte le conformisme en cryptographie? C’est en général le pari le plus sûr. Mais il n’est pas évident qu’une conformité aveugle à la Suite B Cryptography soit la meilleure stratégie. Il serait bienvenu que se mette en place une discussion plus large sur la situation actuelle, en particulier sur la confiance de la Suite B uniquement dans SHA-2 comme hachage cryptographique et dans AES comme outil de chiffrement symétrique, sur la nécessité de licence pour ECC, et sur son étonnant manque de souplesse et de flexibilité. Une remarque -ou pensée- d’une tout autre nature: a-t-on vraiment besoin d’un plus haut niveau de sécurité cryptographique? Dans la plupart des circonstances industrielles pratiques, les niveaux de sécurité globaux ne s’approchent même pas du niveau de sécurité cryptographique bientôt inadéquat fourni par les standards cryptographiques actuels. Améliorer la cryptographie ne fait rien dans ce sens. On peut se demander quel est le vrai retour sur investissement6. (traduction de l’original anglais par Jacqueline.Dousson@epfl.ch, Domaine IT) n
Eprint.iacr.org/2005/271 Le site Web du NIST laisse la porte ouverte à RSA et aux cryptosystèmes traditionnels basés sur les logarithmes discrets, avec des clés de grande taille. Selon www.nsa.gov/ia/industry/crypto_suite_b.cfm: tout vendeur construisant des produits pour un usage touchant à la sécurité nationale doit recevoir une licence de la part de NSA. Mes remerciements à Benne de Weger et Paul Hoffman pour leurs commentaires.
FI-spécial été – sécurIT – 28 août 2006 – page 50
Stéganographie – L’art de cacher un message secret
Touradj.Ebrahimi@epfl.ch, Professeur à l’Institut de Traitement des Signaux, EPFL-STI
Les
progrès en informatique et télécommunications ont contribué à une complexité accrue des problèmes et des solutions liés à la sécurité, notamment en introduisant des notions telles que virus informatiques, autorisation d’accès, protection des droits d’auteurs, et vérification de l’intégrité. Ainsi cœxistent des problèmes et des solutions aussi variés que l’authentification, l’accès conditionnel,
nous intéresse principalement ici, la stéganographie vise non seulement à protéger le secret d’un message, mais aussi à le rendre non détectable. La stéganographie a fait récemment la une de la presse en relation avec des réseaux terroristes qui, selon certaines sources, l’auraient utilisée pour communiquer secrètement en cachant des messages dans des photos sur la Toile (World Wide Web). En outre, à la différence des techniques de cryptographie, la stéganographie ne fait pas, actuellement, l’objet de restrictions légales d’usage ou de restrictions d’exportation (par exemple, le Wassenaar Arrangement ne dit rien à son sujet). Cela dit, il n’est pas certain que des restrictions légales pourraient constituer un frein à son utilisation par des groupes mafieux ou terroristes. En
Stéganographie – L’art de cacher un message secret le tatouage numérique, la signature numérique, la communication secrète, et la stéganographie. Ici, nous nous intéressons à un aspect bien particulier de la sécurité, à savoir, celui de la transmission d’informations confidentielles sous forme numérique. Ce domaine est très vaste et de multiples solutions ont déjà été conçues, et mises en œuvre depuis plusieurs décennies, essentiellement basées sur la cryptographie à clef secrète ou à clef publique. Il est cependant aisé de détecter, simplement au vu du format des données échangées, si l’on a fait appel à une technique de cryptage ou non. Les techniques de stéganographie sont différentes: elles consistent à cacher un message confidentiel dans un récipient innocent, et qui le reste apparemment après cette procédure. Cette méthode de transfert sécurisé d’informations constitue un outil puissant et particulier, tant du point de vue technologique que juridique. Sur le plan technologique, qui est celui qui
effet, le bon sens suggère fortement que de tels groupes ou individus, ayant beaucoup à se reprocher, ne se posent guère de questions quant à la légalité des moyens de communication qu’ils emploient. Dans ce contexte, c’est à dire son utilisation potentielle ou réelle par des groupes mafieux ou terroristes, il est donc désormais essentiel d’analyser le potentiel réel de la stéganographie pour les communications secrètes d’une part, mais aussi d’analyser et de concevoir des techniques permettant la détection des messages cachés, d’autre part. La stéganographie numérique désigne l’ensemble des techniques permettant de cacher une information numérique dans un autre support multimédia, appelé récipient, par exemple une photo, un texte, une vidéo, une musique, ou un modèle 3D. Il est essentiel, dans ces techniques, que l’information cachée reste indéchiffrable, de même que son existence soit indécelable. Actuellement, il est possible de concevoir des techniques relativement élémentaires, comme par
exemple l’utilisation de champs de commentaires dans certains langages comme HTML pour réaliser des techniques stéganographiques. Un exemple est celui utilisé pour récupérer le programme de déchiffrement DeCSS des DVD contournant ainsi le DMCA (Digital Millenium Copyright Act). D’autres techniques plus élaborées permettent de cacher des informations en modifiant les bits de poids faible des composantes élémentaires du récipient, par exemple les composantes rouge, vert et bleu d’une image en couleurs. Dans tous ces exemples, il est essentiel de protéger le récipient original (c’est-à-dire celui servant de
Un exemple de
stéganographie dans l’antiquité grecque orien Dans son Enquête, l’hist .) J.-C av. 45 4-4 (48 grec Hérodote eut i qu te cdo ane e rapporte ainsi un de Guerre lieu au moment de la Secon l’ère chrémédique. En 484 avant s, roi des riu Da de fils tienne, Xerxès, e armée un er par pré Perses, décide de Grèce la r ahi env ur gigantesque po plus ans e atr Qu 9). (Livre VII, 5-1 nsive, les tard, lorsqu’il lance l’offe s au coump gte lon uis Grecs sont dep st que Dérant de ses intentions. C’e arte réfugié marate, ancien roi de Sp l’existence auprès de Xerxès, a appris nsmettre tra de ide déc de ce projet et vre VII, l’information à Sparte (Li double, en 239): «il prit une tablette sur le bois gratta la cire, puis écrivit ; ensuite il même les projets de Xerxès ge : ainsi le recouvrit de cire son messa ne risquait porteur d’une tablette vierge sage de la pas d’ennuis». Un autre pas référence même œuvre fait également aphe 35 agr par au ie: à la stéganograph son gendre du livre V, Histiée incite de Milet, Aristagoras, gouverneur , Darius, à se révolter contre son roi er la tête de et pour ce faire, «il fit ras tatoua son son esclave le plus fidèle, lui endit que message sur le crâne et att quand la les cheveux eussent repoussé; male, il fit chevelure fut redevenue nor . partir l’esclave pour Milet»
FI-spécial été – sécurIT – 28 août 2006 – page 51
Stéganographie – L’art de cacher un message secret cessibles librement sur Internet et peuvent être tout aussi librement utilisées. Ces méthodes, quoique my pratiques, se basent souvent sur des observations le re ud so ré ur 500 ans po simples et triviales, et donc leur détection est une tâche relativement aisée comparée aux techniques de cryptanalyse destinées à retrouver les messages en clair à partir de messages cryptés. Dans ce sens, aujourd’hui plusieurs méthodes de détection de messages cachés sont implémentées dans des logiciels informatiques. Pourtant, il est aisé de démontrer que ces méthodes ne parviennent pas à détecter des messages cachés utilisant d’autres méthodes de stéganographie moins simplistes. Les raisons essentielles des limitations citées ci-dessus résident dans le manque d’une analyse mathématiquement rigoureuse de la stéganographie. Des techniques de stéganalyse utilisant des outils plus élaborés deviennent donc essentielles pour lutter contre les techniques de stéganographie plus performantes. La stéganalyse peut se diviser en trois classes: z détection z extraction z filtrage. La détection consiste à établir l’existence d’un message caché, sans que l’on sache, à ce stade, quel est ce message. L’extraction consiste précisément à isoler l’information cachée. Cette étape peut nécessiter, outre e siècle, est l’emploi de techniques de stéganalyse, l’usage de moine allemand du XVèm Johannes Trithemius, un œuvre la plus connue n techniques de cryptanalyse pour donner sens au So . ire no gie ma de connu pour ses ouvrages es. C’est la première um message caché préalablement extrait, mais rendu a vol is tro en e sist con , STEGANOGRAPHIA re cachée). Le secret ritu (éc priori inintelligible via l’utilisation de méthodes de ie aph ogr gan sté de fois qu’apparaît ce nom 93 par un professeur 19 cryptage. ’en qu t ver ou déc fut du troisième volume ne hasard sur ce livre. par Finalement, le filtrage consiste à détruire le bé tom n, cai éri am e d’allemand d’un collèg écran de fumée et les ’un message caché, sans nécessairement pouvoir détecqu t tai n’é te tex du L’apparente magie noire ur calculer les angles po ter son existence, ou déchiffrer son contenu, mais nt me elle fici (of ts sen nombreux chiffres pré en fait un moyen très t également sans que le récipient ne soit affecté de ien éta ) rits esp les dre nécessaires pour attein manière décelable (soit par un utilisateur humain, classique de chiffrement. ou soit par une machine). Le filtrage est en particulier utile dans des applications où des relais d’une technique stéganographique. On informatiques en charge de transfert support) contre un attaquant. En effet, peut aussi faire appel aux méthodes de de contenus divers, empêcheront leur si un attaquant dispose du récipient stéganographie à clef secrète, ou à clef utilisation à des fins de communication original et celui contenant le mespublique, sur un modèle proche de ce secrète, en traitant des données transisage confidentiel, il peut alors, par des qui se fait en cryptologie. Il est alors tant par leurs canaux de façon à détruitechniques statistiques et de traitement essentiel de protéger les clefs secrètes re un éventuel message caché sans pour du signal, procéder à la détection et à utilisées, qui servent, dans le premier autant détruire le récipient dans lequel l’extraction des données cachées par cas, à déterminer les endroits où cacher le message se trouve. Les techniques une simple opération de différenciaet où retrouver les informations, et de stéganalyse, une fois réalisées sous tion entre le récipient original et celui dans le second cas, simplement à reforme de programmes informatiques, traité. Il est intéressant de noter que trouver l’information cachée. Il existe pourront être utilisées sur le modèle, les solutions basées sur la stéganograaujourd’hui un certain nombre d’imlargement déployé aujourd’hui, des phie sont parfaitement compatibles plémentations pratiques, sous forme de programmes de détection et d’annihiavec celles basées sur la cryptographie. programmes informatiques, de techlation des virus informatiques. Ainsi Ainsi, on peut combiner leurs forces, niques stéganographiques pour établir des serveurs de courrier électronique, et imaginer de chiffrer tout d’abord une communication secrète. On peut des relais informatiques, et également une information secrète à l’aide d’un par exemple mentionner jsteg, jphide, des programmes de recherche (Web cryptosystème, puis de cacher cette invisible secrets, outguess, F5 (header crawlers) pourront détecter, extraire ou information encryptée dans un récianalysis), appendX et camouflage. détruire tout message caché sous forme pient, par exemple une photo, à l’aide Plusieurs de ces techniques sont acstéganographique. n
,
us ohannes Trithemi STEGANOGRAPHIA, de J stère!
FI-spécial été – sécurIT – 28 août 2006 – page 52
Accès refusé
Adrien.Burki@unil.ch, section d’histoire de l’art UNIL «Qui veut de moi et des miettes de mon cerveau? Qui veut entrer dans la toile de mon réseau?» Bertrand Cantat
L’homme
de ce temps, s’il entend parvenir à infiltrer la seule société digne de ce nom, c’est-à-dire la haute, autrement dit s’il désire que l’argent lui appartienne au lieu d’appartenir lui-même au pouvoir de l’argent, se doit de ne pas laisser ses
s’il avait définitivement gommé en lui les plus infimes traces du modeste et docile employé de bureau d’autrefois qui s’évertuait des nuits entières à potasser son code dans une chambre de bonne. Et de fait, on ne pouvait voir en lui qu’ambition féroce, cynisme, arrogance et goût de l’argent: enfin il était arrivé quelque part, et entendait bien y rester. Pour demeurer au sommet de la pyramide, il ne ménageait pas ses efforts et travaillait plus de douze heures par jour. Jour et nuit sur les routes, au volant de son automobile, se heurtant au trafic, nomade d’un genre nouveau il dévorait les distances. Pas de favoritisme, pas de snobisme, tout salaire étant bon à prendre il étendait sa clientèle des informaticiens du dimanche
du mari, sans doute. Une belle bâtisse; une fenêtre de l’étage était fendue. Sept ans de veuvage obstiné apparemment, à en croire l’environnement morne et feutré, et peu de goût pour les ravalements. En revanche le visage de la femme encore jeune qui lui ouvrit rendait superflue toute opération de ravalement. Kramer en apprécia le modelé cependant qu’il se présentait. Les actions successives qui le menèrent ensuite à sa place de travail: tendre sa carte de visite, abandonner sa veste, se laisser guider jusqu’au sommet de l’escalier, lui permirent un examen plus complet; finesse de la main; délié des mouvements; vue générale et respective des harmoniques arrières. Puis
2006 Concours de nouvelles
Accès refusé
scrupules entraver sa marche en avant. Certes l’altruisme. Certes la veuve, et certes l’orphelin. Certes la serviabilité. Faire sa profession de rendre service est une noble tâche dont s’acquittait soigneusement Kramer, et peu importe en fin de compte que ce ne fût pas par esprit chevaleresque mais par pure vénalité; le langage de l’argent en vaut bien un autre. Jadis passé maître dans l’art de la piraterie informatique, quelques condamnations avaient hâté sa réflexion et il officiait à présent sous la bannière plus noble de corsaire, monnayant ses compétences aux oublieux, aux distraits et – hélas! séquelles de ses exploits d’antan – parfois à quelques individus aux intentions moins pures. Il ne se trouvait pas dans le monde un seul système informatique capable de soutenir les assauts de Kramer. Aucun code, aucun cryptage, eût-il été conçu par les professionnels les plus retors, ne lui résistait bien longtemps. Dans le vaste marché de l’assistance cybernétique, Kramer faisait figure de héros, et son statut de self-mademan n’y était pas pour rien, même
aux inspecteurs du net, des ménagères aux présidents-directeurs-généraux, des étudiants farceurs aux e-malfrats. Que ce soit pour un code d’identification égaré, un accès interdit à des informations capitales, un simple décryptage de données, ou des prestations plus spéciales et dont je ne prendrais pas ici le risque d’en dévoiler trop, il intervenait sur un simple appel, traquait le problème à la source et proposait une gamme de prix échelonnée qui mettait véritablement le dépannage et le piratage à portée de toutes les bourses. Ses clients, satisfaits, conservaient précieusement sa carte et ne manquaient pas de le recommander autour d’eux, si bien qu’il possédait un fichier d’adresses impressionnant où cohabitaient les grands noms qui lui donnaient gratification et renommée, et les insignifiants qui lui donnaient juste ce qu’il faut de bonne conscience. Justement la propriétaire de cette maison, malgré les tentatives d’apparat que laissait voir le parc du domaine, devait appartenir à la seconde catégorie, pensa-t-il tandis que le gravier de l’allée l’escortait en criant sous ses roues jusqu’à la porte d’entrée. Cadeau de décès
sa conscience (professionnelle, bien sûr: quelle autre?) reprit le dessus et il alluma l’ordinateur dans un vrombissement d’envol. Le dossier Pertuis ne laisserait pas dans les annales du forçage de système le souvenir d’une exécution laborieuse. La brave dame tenait à récupérer des documents appartenant à feu son mari, bel et bien décédé comme Kramer l’avait imaginé, mais depuis sept petites semaines et non sept ans. Quand elle vint interrompre son travail après un gros quart d’heure pour lui apporter une tasse de café, Kramer estima qu’il ne lui en faudrait qu’un de plus pour en avoir terminé. Une affaire menée rondement, et un nombre rond sur la facture. Mais se penchant pour déposer la tasse à droite du bureau, Laure Pertuis poussa légèrement Kramer de l’épaule; un instant distrait, le regard de ce dernier tomba sur la façon qu’avait une mèche de ses cheveux de se courber vers le haut, derrière l’oreille, et il y avait là une dissymétrie intolérable que spontanément il entreprit de corriger en rabattant le petit épi dans une configuration plus ordonnée. Sa main à mi-chemin de son but, il réalisa tout à coup que ce geste
FI-spécial été – sécurIT – 28 août 2006 – page 53
Accès refusé paraîtrait déplacé, et il s’interrompit. La jeune femme n’avait rien remarqué, ni la mèche ni le geste, ni l’Espace et le Temps qui se déchiraient dans un vacarme cyclopéen, déversant sur le monde des armées d’Archanges et de Fracas éclatants dont les trompettes annonçaient l’entrée en scène de la Destinée implacable. Elle dit je vous laisse et quitta la pièce, laissant en effet Kramer, sur sa chaise, réduit à l’état d’un petit tas de cendres.
ges éparses: la brune veuve rabattant le cadre contenant le portrait de feu son époux avant d’ôter l’épingle qui retenait ses cheveux; la tasse de café glissant à terre, non encore entamée, et éclatant en miettes; sa main à lui jouant avec sa mèche de cheveux à elle; ensuite, ça devenait carrément fleur bleue, et Kramer, percevant quant à lui distinctement vacarme, Archanges et Destinée tonitruants, réalisa avec
– Alors, fit-elle d’un ton enjoué, ça avance? – Oui, entonna-t-il machinalement, puis – Mais ça va être plus long que prévu. Votre mari avait semble-t-il remarquablement protégé ses fichiers. – C’est étrange. Il n’y connaissait à peu près rien en informatique. – Il a dû faire appel à un spécialiste.
re nouvelle eu ll ei m la e d s r Concou
uvelle avec son texte le prix de la meilleure no rte po rem ée ann te cet i ww.epfl.ch/SIC/SA/ C’est Adrien Burki qu Web à l’adresse: http://ditw le sur et ici s on bli pu us e le texte de 2006 Accès refusé que no 9). Il fallait cette année qu 10 =1 cle rti _a ?id p3 .ph cle e les dix mots faisant SPIP/Publications/arti informatique et contienn té uri séc la à t nan mi do ent, source, langage, mots donne un rôle pré , à savoir: hôte, environnem 06 20 en sé roi t-c mo ue vaincre le jury pour l’objet de notre rubriq tuel. De plus, il fallait con vir et eau rés nt, age , ine trafic, nomade, doma frs offert cette année par remporter le prix de 1000
m/fr/principal.htm, http://www.mye-secure.co sécurité informatien matière de solutions de FL EP IT ine ma Do du le partenaire privilégié que. de l’EPFL, preuve qu’on tes d’étudiants/doctorants tou nt ana ém – es utr d’a y; il s’agit de: À part cette nouvelle, t retenu l’attention du jur on – ole Éc tre no s dan écrit encore avec plaisir kermann Etats d’âme de Mathieu Ac rticle.php3?id_article=1111), s/a ion /SA/SPIP/Publicat (http://ditwww.epfl.ch/SIC t
ien Rocha Le rêve de Jason de Sébast rticle.php3?id_article=1113) et
/SA/SPIP/Publications/a (http://ditwww.epfl.ch/SIC
Évasion de Pierre-Jean Arduin.php3?id_article=1115).
cle /SA/SPIP/Publications/arti (http://ditwww.epfl.ch/SIC crire, vous n’avez pas s n’avez pas eu le temps d’é vou , enu ret été pas vez res et déjà de vous lire. Vous avez écrit et n’a . Nous nous réjouissons d’o ine cha pro née l’an nce osé, tentez votre cha Les membres du jury Merci à tous.
S’il avait pu retenir son bras, il n’avait en revanche rien pu faire pour rappeler à la raison son imagination, qui avait élevé devant lui la vision d’une scène inaugurée par deux doigts passés dans une chevelure et se développant rapidement de façon non linéaire et anarchique d’où s’érigeaient des ima-
terreur que cela portait un nom bien précis, et que ce nom était amour. C’est ainsi que Laure le retrouva quelques minutes plus tard en venant prendre des nouvelles de l’avancée des travaux, le regard plongé dans le vide virtuel que son corps avait laissé auprès de lui, la main à demi levée dans l’esquisse de son geste inachevé.
FI-spécial été – sécurIT – 28 août 2006 – page 54
Cela dit, j’en viendrai à bout, mais il va me falloir plus de temps. – Prenez le temps qu’il vous faudra. Et faites comme chez vous, conclut-elle avant de retourner vaquer. Alors débuta son labeur pénélopéen. Les documents du défunt Pertuis depuis longtemps récupérés, il s’inventa des obstacles surmontables
Accès refusé au prix d’efforts considérables, il édifia des systèmes complexes, des barrières étanches, il bâtit lui-même le labyrinthe dont il devait chercher l’issue. Chaque matin il arrivait à neuf heures et demie et ne quittait son poste qu’au crépuscule tombant après une longue journée de travail feint. Laure Pertuis paraissait aux petits soins pour son hôte, lui portant le café à onze heures, des biscuits à seize, mettant un couvert pour lui à midi. Ces instants partagés poussaient Kramer à des sommets d’espoir et de félicité inédits pour lui. Il se montrait courtois comme jamais, s’essayait plaisantin, se découvrait bavard. Agent double, il testait les stratégies d’approche échafaudées au cours de ses insomnies, déployait toutes ses forces pour venir à bout de la citadelle imprenable que représentait la veuve. Il avait face à lui le plus complexe des systèmes auquel il eût jamais été confronté. À aucun moment Laure ne montra de signe d’impatience, mais elle s’enquerrait régulièrement des résultats obtenus dans la quête d’investir l’ordinateur de son défunt époux. Il soupirait et hochait la tête d’un mouvement qui se voulait encourageant. Un jour, alors qu’il ramenait sa tasse vide à la cuisine, il entendit, venant de la chambre de la veuve, comme un soupir étouffé. La porte était entrouverte; il frappa doucement et n’obtenant pas de réponse, il poussa le battant. Laure se tenait assise sur son lit, face à la fenêtre, la tête baissée. Lorsqu’elle l’entendit approcher, elle se tourna vers Kramer. Même dans le contrejour, on voyait qu’elle avait pleuré. Je peux m’asseoir? demanda-t-il avec une douceur dont il ne se serait pas cru capable. Elle fit signe qu’oui, un tout petit signe qu’il sut interpréter, là encore à son propre étonnement. La jeune femme lui ouvrit alors son cœur et lui montra tout le gros qu’elle avait dessus. À la fin de sa tirade, Kramer prit son épaule dans sa main et se penchant vers elle, l’embrassa. Elle se dégagea vivement, et les ressorts du lit quand elle s’en leva tonnèrent comme une gifle. Pardonnez-moi, marmonna Kramer, je suis vraiment désolé. Je ne voulais pas… – Ce n’est rien, répondit-elle cependant qu’il quittait la chambre. Ce n’était rien, vraiment? Il apprenait soudain à ses dépens qu’une différence fondamentale entre l’homme et la machine réside en leur comportement face à l’erreur: avec
l’humain on ne pouvait pas se borner à redémarrer le système et reprendre comme si de rien n’était. L’homme garde un souvenir tenace des affronts et des égarements C’est à propos de lui, et non de l’ordinateur, qu’il conviendrait de parler de mémoire vive. À l’heure de rentrer chez lui ce soir-là, Kramer s’excusa auprès de Laure Pertuis de s’être montré indélicat, Laure Pertuis s’excusa de s’être montrée dure, et leurs relations reprirent un tour cordial. Et Kramer réintégra le cercle monotone des espoirs. Les semaines passent vite et voici que trois mois plus tard il en était toujours au même point, ou un peu plus avancé mais à peine, avec juste assez peu de sens des réalités pour croire discerner de temps à autre des signes d’encouragement, des attitudes qu’il prenait pour des progrès, comme s’il s’était agi d’un parcours d’obstacles tout tracé dont chaque haie franchie rapprochait le but à atteindre. Mais l’acuité de son regard, pour émoussée qu’elle fût par le voile dont Laure l’avait aveuglé, remarquait quelquefois un élément discordant. Au fond de lui il se savait piétiner, et plus encore, il voyait que l’amabilité de la veuve se teintait chaque jour davantage d’impatience. Trois mois, c’était trop long, même pour un problème coriace. Surtout, ces difficultés contredisaient la réputation d’excellence qui le précédait
partout (et qui justifiait l’altitude de ses honoraires), et devaient semer le doute sur ses véritables intentions. Non que Laure eût deviné les sentiments dont elle était l’objet, mais elle ne pouvait pas ne pas songer qu’il y avait anguille sous roche. À Kramer il ne restait plus guère de temps avant de devoir s’avouer vaincu. Et il y serait contraint tôt ou tard. Tôt ou tard en effet il lui faudrait bien reconnaître qu’il n’avait jamais eu l’ombre d’une chance de s’immiscer dans le cœur de la veuve Pertuis. Le mal était fait avant même qu’il engage son automobile sur les graviers de l’allée, et à aucun moment la tendance n’aurait pu s’inverser. La découverte en lui de plus d’humanité qu’il n’aurait cru y trouver ne servirait de rien. Mais il n’était pas prêt à le reconnaître: lui le spécialiste, lui le professionnel, lui qui ouvrait toutes les mémoires, qui savait forcer les systèmes les plus rétifs, lui qui venait à bout des accès les plus refusés, qui savait décrypter les secrets les plus profondément enfouis, lui, le maître des rouages, ce n’était pas possible que l’organisme imparfait d’une bête machine humaine parvienne à lui résister! n
FI-spécial été – sécurIT – 28 août 2006 – page 55
e cserecre t t esgsaegse m n u er sa h es ac m c e n d u L’ar t dte cacher (page 51 L’ar ) ) (page 51
atuiqeue form inrm e fo iq uin at sq ri e L e u sq ri Le (page 12 ) ) (page 12
phpyhy Cry B ry gragra ptopto SuSitueitBe C(p ) e 48 ag48 )
tern Inrn r te et et e rsuIn ttaq ueusu L'aLtt'aaq 0) (page2
(page
(page20)
rité r lasécséucriuté orula p e rm fe s u o an p e ix D Dix ans ferm ag(peag3)e 3) (p
ilnlatenstes alve s almve te la in il te at m es s L te in Les atte (pag22e 22 ) ) (page
an leulersurs leqsuqaruar te tevovo et an ID F R s a le L et La RFID e 30 (peag30 ) ) (pag
viurteluleelsles titévirt en d 'i d s té te ti ar en C d 'i Cartes d (pag35e 35 ) ) (page
llan -srvurv cece déo lleian vi ei la u et -s e éo vé d ri vi p la e a sp e privée et(pag17e 17 ) hèrhèr LaLsp (page )
éterie Bmioétmri Bio (page 45) (page 45)
ISIS5) ISIS age
(pe 5) (pag
stcehcinhoinisois re u d e m e st rè re éo u th d e e L Le théorèm ag(peag39e 39 ) ) (p
llan surv cec?e ? s rv usu eilleian iétésoso c s so u e n u té s ié er c V so e15) Vers une ag5) (pe1 (pag
eW eedW itim EPEP ilgléitgim d ls e fi e L lé il ls fi Le e 27 (pag27 ) ) (page
A Ol’POEPREAR e nfatôntô mem(pdeeagdel’e6) LeLfa e 6) (pag
hen siosinon hen e lacocmopmrépré dla e ss ai B e d e ss Bai (peag8)e 8) (pag
ISSN 1420-7192