- En raison de la praticité des systèmes de gestion de mots de passe, beaucoup de personnes utilisent aujourd’hui les fonctions intégrées à l’OS ou au navigateur
- Mais on peut se demander : est-ce vraiment sûr ?
- Définition du chiffrement
- L’objectif de la cryptographie est de défendre un protocole contre des entités hostiles
- C’est le processus qui consiste à transmettre une information (le texte en clair) à l’aide d’un algorithme afin qu’elle ne puisse être lue par personne, sauf par celles disposant d’une connaissance particulière
- Les algorithmes sont tous publics, est-ce malgré tout sûr ?
- Il existe ce qu’on appelle le principe de Kerckhoffs
- « Un système cryptographique ne doit pas avoir besoin d’être secret, et il ne doit pas poser problème même s’il tombe entre les mains de l’ennemi. »
- Si l’algorithme peut être public tout en restant sûr, c’est grâce à la clé secrète
- Il est important de sécuriser le protocole, et non l’algorithme
- Il vaut même mieux rendre l’algorithme public pour permettre à davantage de personnes de le vérifier et de l’améliorer
- Pourquoi les chiffrements classiques sont-ils risqués ?
- Avant l’apparition des ordinateurs, ils étaient suffisamment complexes et utiles, mais l’arrivée de l’informatique a rendu possible leur déchiffrement rapide
- Il existe diverses techniques d’attaque comme la force brute ou l’analyse de fréquence
- Les chiffrements modernes sont-ils sûrs ?
- Les chiffrements classiques sont risqués parce que l’espace de clés est insuffisant et qu’ils reflètent des caractéristiques linguistiques
- En revanche, les chiffrements modernes utilisent les concepts de confusion et de diffusion pour produire un nombre immense de possibilités -> ils sont indéchiffrables, sauf par une recherche exhaustive de clé obtenue par pur hasard
- La confusion (Substitution) consiste, si l’on a une chaîne comme
ABCA, à la remplacer par quelque chose comme 1231
- La diffusion (Permutation) consiste, si l’on a une chaîne comme
ABCA, à en modifier l’ordre pour obtenir par exemple BCAA
- Trois méthodes de chiffrement
- Il existe le chiffrement symétrique, asymétrique et à sens unique
- Le chiffrement symétrique est un algorithme qui chiffre et déchiffre à l’aide d’une seule clé secrète (ou clé symétrique)
- AES en est un exemple représentatif
- Le chiffrement asymétrique est un algorithme qui chiffre et déchiffre à l’aide de deux clés
- RSA en est un exemple représentatif
- Le chiffrement symétrique pose des problèmes lorsqu’il y a de nombreux participants
- Le chiffrement à sens unique consiste à transformer des données de longueur arbitraire en données de longueur fixe
- SHA en est un exemple représentatif
- Il est utilisé pour la vérification d’intégrité
- Implémentation d’un coffre-fort personnel pour les secrets
- Le mot de passe maître est la clé secrète qui permet d’authentifier que l’on est bien le propriétaire du système de gestion des secrets
- La valeur de hachage du mot de passe maître ne doit jamais être stockée, car elle peut être exposée à une attaque Pass-the-Hash
- On peut stocker les mots de passe de manière plus sûre en créant une clé de déverrouillage maître à l’aide d’une clé aléatoire supplémentaire liée à l’appareil de l’utilisateur
- Sur Mac, on peut utiliser Keychain, et sur Windows, Credential Manager
- Voir le lien pour l’implémentation réelle
4 commentaires
Il n’y a pas quelque chose comme le trousseau sur Android..? Même Samsung Wallet sur les Galaxy est risqué ?
Bonjour. :) Je sais qu’il existe quelque chose qui s’appelle Secret Manager. Je ne connais pas très bien Samsung Wallet, mais j’imagine qu’il a probablement été conçu de manière sûre, non ?
C’était indiqué comme confusion (substitution) et diffusion (permutation), donc je me suis demandé de quoi il s’agissait et j’ai regardé le texte original,
qui dit que la confusion est obtenue à l’aide de la substitution, et la diffusion à l’aide de la permutation...
J’ai beaucoup trop résumé, désolé ^^;;