Pour apprendre plein de chose.





Kdo-SQUATTE parraine






Léa a écrit:Le rêve de mon papa serait de faire une année de championnat de France d'autocross sachant que cela fait 18 ans qu'il roule en national. Ayant eu de très bons résultats avec de petits moyens ... [LIRE LA SUITE]

Vous n'êtes pas connecté. Connectez-vous ou enregistrez-vous

KDO-SQUATTE » ESPACE DE DISCUSSION » Informatique » Sécurité » La cryptographie en informatique.

La cryptographie en informatique.

Voir le sujet précédent Voir le sujet suivant Aller en bas  Message [Page 1 sur 1]

1default La cryptographie en informatique. le Mer 24 Avr - 6:43

Incal

avatar
Super - Admin
Super - Admin
La cryptographie.

Dans ce tuto, je vais aborder la cryptographie, mais surtout d'un point de vue informatique.

Notion des mots.

Crypter / Chiffrer : C'est l'art de rendre illisible un message, avec une clé de chiffrement.

Décrypter : Consiste à tenter de comprendre un message crypté sans connaître la clé de déchiffrement. (illégal).

Déchiffrer : Consiste à rendre lisible des données chiffrées, en ayant connaissance de la clé de chiffrement (légal).


Définition de la cryptographie.

La cryptographie est l'art de rendre illisible des données diffusées sur des canaux de diffusion non sécurisés, l'objectif étant de ne permettre la lecture, et donc l'accès à l'information, qu'aux personnes souhaitées.

Pour faire de la cryptographie, il faut un algorithme de cryptographie, et une clé de chiffrement.

La cryptographie en informatique.

En informatique, la cryptographie permet d'acheminer des messages brouillés sur des canaux non sûrs, par exemple, sur Internet, n'importe qui peut intercepter vos trames Ethernet, et donc avoir accès à ce que vous regardez. (quand vous ne naviguez pas en HTTPS, toutes les données que vous tapez dans le formulaire - login, mot de passe, etc. - sont écrits en clair dans les trames).

Le moyen de sécuriser tout cela est de crypter vos données avant de les mettre en circulation sur ces canaux, en ne permettant qu'aux personnes que vous avez choisies de pouvoir y avoir accès.

Les différents acteurs.

Pour parler facilement de cryptographie, des noms ont été utilisés pour normaliser les intervenants.

Alice et Bob : Des personnes souhaitant échanger des données cryptées.

Eve : Le pirate passif.

Mallory : Le pirate actif.

Nestor : Le tiers de confiance.

La cryptographie symétrique.

Pour ce faire, on utilise une clé de chiffrement partagée.

Cette méthode consiste à utiliser un algorithme de chiffrement, ainsi qu'une clé. Pour déchiffrer le fichier crypté, il suffira de connaître l'algorithme de déchiffrement (généralement fourni), mais surtout cette fameuse clé.

Toute la solidité de ce procédé repose sur le secret de cette clé.

Il suffit qu'une personne mal intentionnée écoute votre connexion et apprenne la clé, il pourra à sa guise déchiffrer vos fichiers !

La cryptographie asymétrique.

Pour pallier le problème précédent, il a été conçu la cryptologie asymétrique, qui consiste à ne plus utiliser une clé, mais une paire de clés.

Chacun des intervenants crée une paire de clés (une clé publique et une clé privée).

Une clé privée sert à déchiffrer un fichier, qui a été crypté avec sa clé publique.

Le procédé étant complexe, je vais directement commencer par un exemple de manière à l'illustrer du mieux possible :

→ Alice génère sa paire de clés.
→ Bob génère sa paire de clés, et envoie sa clé publique à Alice.
→ Alice reçoit la clé publique de Bob, et lui envoie la sienne.
→ Bob crypte un fichier, avec la clé publique d'Alice, et le lui envoie.
→ Eve intercepte ce fichier, elle écoutait la connexion et connaît la clé publique d'Alice, malheureusement pour décrypter le fichier, il faut connaître la clé privée d'Alice, qui n'a jamais été transmise.
→ Alice reçoit le fichier de Bob, et le décrypte avec sa clé privée (qu'elle seule connaît).

Ce système présente bien évidemment des failles … Laughing

Pour connaître la principale, je vous invite à lire le paragraphe suivant.

L'attaque du middle-man.

Les notions abordées ici, ne constituent en rien un tutoriel d'apprentissage du piratage informatique, il a uniquement pour but d'initier les plus novices au monde de la sécurité informatique.


Dans le cas de l'utilisation de la cryptographie asymétrique, vous faites circuler votre clé publique sur les canaux non sûrs, dans le but de transférer ensuite des fichiers cryptés.

Le problème, c'est que durant le transfert de cette clé, une tierce personne peut intercepter cette dernière, et faire des petits tours de passe-passe peu sympathiques.

Voici comment se passe un piratage de données cryptés par la méthode du « middle-man ».

Au moment où Alice envoie sa clé publique à Bob, cette dernière est interceptée par une personne écoutant sa connexion (Mallory).

Mallory connaît maintenant la clé publique d'Alice, et en analysant les trames de cette dernière, connaît l'adresse de destination du fichier. Elle enverra à Bob, non pas la clé publique d'Alice, mais la sienne.

De ce fait, Bob encryptera les fichiers avec la clé publique du pirate, et lui enverra les fichiers qu'il pensait envoyer à Alice.

Le pirate reçoit le fichier, le déchiffre avec sa clé privée, (en fait ce qu'il en veut), recrypte le fichier avec la clé publique d'Alice et le lui envoie.

Cette action se passant en toute transparence, ils ne se doutent ni l'un ni l'autre qu'ils sont écoutés.

Vous comprenez maintenant pourquoi nous avons recours à Nestor, la personne de confiance qui confirme l'identité de chacun.

Le tiers de confiance.

Pour pallier le problème vu précédemment, il est nécessaire de recourir à Nestor, le tiers de confiance.

Dans le monde de l'informatique, Nestor est une autorité qui délivre des certificats.

Je ne vais pas trop développer ce paragraphe qui fera l'objet d'un article spécifique à la sécurité SSL, TLS, Certification.

Concrètement comment cela fonctionne ?

Vous allez sur un site HTTPS, il transmet dans les requêtes HTTPS sa clé publique de chiffrement. Vous, vous connaissez grâce à votre navigateur des tiers de confiance (d'où l'intérêt de télécharger vos navigateurs uniquement sur les sites fabricants).

Dans la requête HTTPS, le site en question vous aura indiqué auprès de quelle autorité il a obtenu le certificat.

Si votre navigateur le reconnaît comme sûr, il l'interrogera et lui demandera la clé publique du site. Si la clé délivrée par l'autorité et celle que vous a envoyée le site sont identiques, alors le navigateur vous autorisera la connexion, car elle sera réellement sécurisée !

En revanche si les clés sont différentes, ou que le navigateur ne connaît pas l'autorité, vous aurez normalement un joli message d'erreur vous indiquant que le site n'utilise pas un certificat valide. A vous de fuir !

Législation.

Il est bon de savoir qu'il y a encore 20 ans en arrière, le recours au chiffrement représentait pénalement la même sanction que l'utilisation d'une arme de seconde catégorie.

Suivant le pays dans lequel on se trouve, la législation autorise aujourd'hui le chiffrement des données.

En France, la législation autorise le chiffrement avec des clés de 128 bits maximum. Tout le monde utilise des clés beaucoup plus grosses... (Max 2048 bits il me semble)

Il faut cependant savoir que malheureusement ce n'est pas autorisé.

Si vous avez des questions, étant passionnément passioné par la sécurité informatique, n'hésitez pas Very Happy



--- --- ---
Annonce : Achetez cet espace publicitaire. Utilisez la rubrique "Contact"
Voir le profil de l'utilisateur http://www.kdo-squatte.net

luckydu43

avatar
Arrivant lvl 3
Arrivant lvl 3
Cours bien expliqué... on reconnaît la patte du connaisseur Very Happy  (j'ai cependant déjà vu ces cours quelque part  Rolling Eyes
Cependat, quelques erreurs apparaissent :
On ne décrypte pas un document chiffré, on le cryptanalyse Wink
On ne crypte pas un document ! Il faudrait désassocier ce mot du vrai mot = chiffrer.

Il faudrait aussi parler du cryptage hybride, objet de mon prochain post.

Sinon, l'essentiel est là, le néophyte pourra comprendre quelques notions de chiffrement de base !

Voir le profil de l'utilisateur

Incal

avatar
Super - Admin
Super - Admin
Hey Salut Luc,

ce soir j'éditerais mon topic pour ajouter le lien de ton article. Concernant le cours je me déculpabiliserai en vous disant qu'il est entièrement tiré des notes que j'ai pu prendre pendant ma formation ... ce qui sous entend que je ne sais pas ou la piqué l'intervenant Wink

A+



--- --- ---
Annonce : Achetez cet espace publicitaire. Utilisez la rubrique "Contact"
Voir le profil de l'utilisateur http://www.kdo-squatte.net

luckydu43

avatar
Arrivant lvl 3
Arrivant lvl 3
Salut Jé !!

merci pour l'edit, ça fera peut-être des vues en +

J'ai les mêmes cours là où je bosse, c'est tout dire... Wink

Alice, Bob, Eve, et Mallory... à croire que le mec qui à créé le premier cours sur la cryptographie s'est vraiment fait voler, puisque tout le monde le copie !!

A+

Voir le profil de l'utilisateur

Incal

avatar
Super - Admin
Super - Admin
Ah par contre pour les noms c'est visiblement des conventions de nommage international Smile



--- --- ---
Annonce : Achetez cet espace publicitaire. Utilisez la rubrique "Contact"
Voir le profil de l'utilisateur http://www.kdo-squatte.net

luckydu43

avatar
Arrivant lvl 3
Arrivant lvl 3
Ah bon ??
Je ne pensais pas qu'il y avait des conventions sur les cours...
C'est peut-être pour éviter les plaintes relatives aux personnes qui portent le même nom...

"Attention. Toute ressemblance avec des personnes existantes est purement fortuite" rasta folle

Voir le profil de l'utilisateur

Voir le sujet précédent Voir le sujet suivant Revenir en haut  Message [Page 1 sur 1]

Permission de ce forum:
Vous ne pouvez pas répondre aux sujets dans ce forum