NSA et GCHQ ont compromis le chiffrement sur Internet

Le par  |  9 commentaire(s)
opendata

Portes dérobées, influence sur les normes, supercalculateurs, collaboration avec des géants de l'Internet... Les services de renseignement américains et britanniques ont manifestement compromis le chiffrement des données sur Internet.

Sur la base de documents fournis par Edward Snowden et divers interviews de représentants de l'industrie, le New York Times, le Guardian et ProPublica publient des articles très dérangeants au sujet du chiffrement des données sur Internet.

GCHQEn dépit de chiffrement, la majeure partie des communications sur Internet ne semblent pas à l'abri des regards de la NSA américaine ( National Security Agency ) et son pendant britannique GCHQ ( Government Communications Headquarters ).

De quoi se poser dès lors de sérieuses questions sur la protection offerte actuellement par HTTPS et SSL, que ce soit par exemple pour des échanges emails ou encore des services bancaires, et même pour les réseaux privés virtuels.

Pour cette compromission, ces agences de renseignement n'ont pas fait dans la demi-mesure. Il est ainsi question du piratage de serveurs afin de voler des clés de chiffrement voire de la collaboration avec certaines sociétés pour introduire des portes dérobées dans des logiciels commerciaux, d'une influence pour l'adoption de protocoles plus faciles à contourner.

Il est également fait mention de l'utilisation de supercalculateurs pour casser du chiffrement par force brute, mais une idée de la puissance de calcul en jeu n'est pas précisée.

Expert en sécurité informatique, Bruce Schneier écrit que le " gouvernement et l'industrie ont trahi Internet " qui a été transformé en une vaste " plateforme de surveillance ". Il en appelle aux ingénieurs pour réparer Internet.

Complément d'information

Vos commentaires

Gagnez chaque mois un abonnement Premium avec GNT : Inscrivez-vous !
Trier par : date / pertinence
Le #1469362
De toute façon, le problème du HTTPS et des certificats en général, c'est qu'ils reposent sur la confiance en qq organismes de certification. Il suffit de leur forcer la main pour obtenir de splendides faux vrais certificats. Bref, la confiance là-dedans ne peut qu'être limitée...
Ce qu'il serait intéressant de savoir, par contre, c'est si les logiciels sous-jacents (OpenSSL, etc) sont ou pas compromis, car selon le cas on peut ou non se reposer sur des certificats auto-signés. Idem pour d'autres trucs tels que TrueCrypt ou GnuPG.
Le #1469382
Https n'ayant jamais été sur, ça ne change pas grand chose. Ces agences exploitent davantage la stupidité d'un management incompétent, qui ne sont que la voix de leurs maîtres, qu'un vrai problème de sécurité.
Le #1469392
Barium a écrit :

De toute façon, le problème du HTTPS et des certificats en général, c'est qu'ils reposent sur la confiance en qq organismes de certification. Il suffit de leur forcer la main pour obtenir de splendides faux vrais certificats. Bref, la confiance là-dedans ne peut qu'être limitée...
Ce qu'il serait intéressant de savoir, par contre, c'est si les logiciels sous-jacents (OpenSSL, etc) sont ou pas compromis, car selon le cas on peut ou non se reposer sur des certificats auto-signés. Idem pour d'autres trucs tels que TrueCrypt ou GnuPG.


Je ne crois pas que les chiffrements (SSL, TrueCrypt, ArxCrypt, etc ...) soient compromis. Même si les algorithmes sont fournis (dans le cas de l'Open Source), il est clair que ceux-ci fournissent des clés ou des certificats individualisés et leurs "décryptages" restent toujours laborieux. Mais quand je lis cette news, mes certitudes sur la sécurité "globale" des données en prend (encore) un sale coup

Comme je le dis souvent : "Tout ce que vous déposez sur Internet, vous en perdez le contrôle !" reste bien d'actualité ...
Le #1469442
Ca me fait penser au film "les experts" (1992)...


Le #1469642
bah, là où on va rire maintenant c'est de voir lequel des hackers va trouver ces "backdoors" en premier pour planter une belle merde! Et d'une certaine façon j’espère que ça va se produire pour que le monde se réveille enfin, quand on voit qu'on traite toujours snowden comme un criminel (je parle en dehors des USA) et qu'on ne dit absolument rien aux usa sur leur façons de faire...
enfin bref y nous faut un technicien pour réparer l'internet en effet.. si possible pas ceux de free avec leur lolrouteur défaillant
Le #1469892
Malheureusement, c'est une confirmation de plus ( la énième depuis quelques mois ! ),que les services de sécurité veulent nous imposer leur vision de la "liberté de s'exprimer" au nom du principe de précaution et de la lutte contre le terrorisme !

"Ne vous inquiétez pas, braves gens ! C'est pour vous protéger,qu'on vous espionne ! et si vous refusez, vous deviendrez de terribles terroristes, que nous devrons arrêter, et "interroger" de manière approfondie, avant de vous enfermer à vie dans une prison de sécurité maximale."

Par les temps qui courent, il vaut mieux braquer une banque, flinguer les otages masculins et violer toutes les femmes présentes ........ que dénoncer les actes commis illégalement par les services secrets d'une grande puissance !!!
Le #1470272
Hummmm..... Alors voilà que les services de renseignement ont réussis à compromettre la sécurité des communications basée sur l'irréversibilité de fonctions mathématiques.
Sécurité dont les principes sont connus depuis des décennies et sur lesquels planchent des docteurs en mathématiques, chercheurs et autres petits génies et crackers depuis des lustres sans trouver de failles probantes.

Et tout ça pour quelques centaines de millions de dollars seulement quand la recherche fondamentale dans ce domaine se chiffre plutôt en milliards et sans succès probant puisque la seule solution reste la brute force en parti vaine.

Nul doute qu'il faut une armée de chercheurs géniaux pour réussir cet exploit. Imaginer un peu une armée de tronches qui planchent 8 années d'études après le bac pour devenir mathématicien et dont le seul dessein est de servir les intérêts d'une obscure organisation dans le but d'espionner tous les citoyens d'une nation.... Et dans cette armée de génie et cette corruption nécessairement indispensable à tous les niveaux (même dans le milieu des développeurs open source), pas un seul gugusse dans le lot pour éventer ces travaux depuis tout ce temps, pas un gars qui aurait un soupçon de remord, d'audace et d'humanité. Autant d'intelligence focalisée au service de Big Brother et pas un seul gars qui remet ça en cause?
Ha si, il y a quand même un gars, petit administrateur système, prestataire de surcroit, qui a eu accès à toutes ses informations, à distance de surcroit, ouvertes aux quatre vents.

Donc d'un côté, on aurait un projet secret sur lequel planche une pagaille de génies que l'on contraint au secret absolue, qui doit couter une petite fortune et pas de bol on a même pas été capable de sécuriser les données du projet par ne serait-ce qu'un pare feu et des droits restreints pour éviter qu'un petit prestataire ne pique toutes les infos et n'évente le projet top secret.
C'est ballot quand même.

Je crois plutôt que les systèmes de communication sont de plus en plus sécurisés par les méthodes de chiffrements qui ont fait leurs preuves et que les services de renseignement ont tout intérêt à décrédibiliser celles-ci en sous entendant qu'elles sont inefficaces afin qu'elles ne soient pas trop popularisées.

La sécurité informatique n’est jamais fiable à 100%, un maillon de la chaine pouvant être défaillant. Le chiffrement, lui, l’est (les progrès dans le domaine du déchiffrage sont très lents, c’est du domaine de la recherche fondamentale)

Le #1472462
zeds a écrit :

Hummmm..... Alors voilà que les services de renseignement ont réussis à compromettre la sécurité des communications basée sur l'irréversibilité de fonctions mathématiques.
Sécurité dont les principes sont connus depuis des décennies et sur lesquels planchent des docteurs en mathématiques, chercheurs et autres petits génies et crackers depuis des lustres sans trouver de failles probantes.

Et tout ça pour quelques centaines de millions de dollars seulement quand la recherche fondamentale dans ce domaine se chiffre plutôt en milliards et sans succès probant puisque la seule solution reste la brute force en parti vaine.

Nul doute qu'il faut une armée de chercheurs géniaux pour réussir cet exploit. Imaginer un peu une armée de tronches qui planchent 8 années d'études après le bac pour devenir mathématicien et dont le seul dessein est de servir les intérêts d'une obscure organisation dans le but d'espionner tous les citoyens d'une nation.... Et dans cette armée de génie et cette corruption nécessairement indispensable à tous les niveaux (même dans le milieu des développeurs open source), pas un seul gugusse dans le lot pour éventer ces travaux depuis tout ce temps, pas un gars qui aurait un soupçon de remord, d'audace et d'humanité. Autant d'intelligence focalisée au service de Big Brother et pas un seul gars qui remet ça en cause?
Ha si, il y a quand même un gars, petit administrateur système, prestataire de surcroit, qui a eu accès à toutes ses informations, à distance de surcroit, ouvertes aux quatre vents.

Donc d'un côté, on aurait un projet secret sur lequel planche une pagaille de génies que l'on contraint au secret absolue, qui doit couter une petite fortune et pas de bol on a même pas été capable de sécuriser les données du projet par ne serait-ce qu'un pare feu et des droits restreints pour éviter qu'un petit prestataire ne pique toutes les infos et n'évente le projet top secret.
C'est ballot quand même.

Je crois plutôt que les systèmes de communication sont de plus en plus sécurisés par les méthodes de chiffrements qui ont fait leurs preuves et que les services de renseignement ont tout intérêt à décrédibiliser celles-ci en sous entendant qu'elles sont inefficaces afin qu'elles ne soient pas trop popularisées.

La sécurité informatique n’est jamais fiable à 100%, un maillon de la chaine pouvant être défaillant. Le chiffrement, lui, l’est (les progrès dans le domaine du déchiffrage sont très lents, c’est du domaine de la recherche fondamentale)


Sauf que le chiffrement est basé sur une clef, que cette clef est forcément quelque part et qu'il suffit d'accéder la ou elle se trouve pour que ton armée de génie ne soit que des guirlandes sur un sapin de Noël.
Le #1472892
penseurodin a écrit :

zeds a écrit :

Hummmm..... Alors voilà que les services de renseignement ont réussis à compromettre la sécurité des communications basée sur l'irréversibilité de fonctions mathématiques.
Sécurité dont les principes sont connus depuis des décennies et sur lesquels planchent des docteurs en mathématiques, chercheurs et autres petits génies et crackers depuis des lustres sans trouver de failles probantes.

Et tout ça pour quelques centaines de millions de dollars seulement quand la recherche fondamentale dans ce domaine se chiffre plutôt en milliards et sans succès probant puisque la seule solution reste la brute force en parti vaine.

Nul doute qu'il faut une armée de chercheurs géniaux pour réussir cet exploit. Imaginer un peu une armée de tronches qui planchent 8 années d'études après le bac pour devenir mathématicien et dont le seul dessein est de servir les intérêts d'une obscure organisation dans le but d'espionner tous les citoyens d'une nation.... Et dans cette armée de génie et cette corruption nécessairement indispensable à tous les niveaux (même dans le milieu des développeurs open source), pas un seul gugusse dans le lot pour éventer ces travaux depuis tout ce temps, pas un gars qui aurait un soupçon de remord, d'audace et d'humanité. Autant d'intelligence focalisée au service de Big Brother et pas un seul gars qui remet ça en cause?
Ha si, il y a quand même un gars, petit administrateur système, prestataire de surcroit, qui a eu accès à toutes ses informations, à distance de surcroit, ouvertes aux quatre vents.

Donc d'un côté, on aurait un projet secret sur lequel planche une pagaille de génies que l'on contraint au secret absolue, qui doit couter une petite fortune et pas de bol on a même pas été capable de sécuriser les données du projet par ne serait-ce qu'un pare feu et des droits restreints pour éviter qu'un petit prestataire ne pique toutes les infos et n'évente le projet top secret.
C'est ballot quand même.

Je crois plutôt que les systèmes de communication sont de plus en plus sécurisés par les méthodes de chiffrements qui ont fait leurs preuves et que les services de renseignement ont tout intérêt à décrédibiliser celles-ci en sous entendant qu'elles sont inefficaces afin qu'elles ne soient pas trop popularisées.

La sécurité informatique n’est jamais fiable à 100%, un maillon de la chaine pouvant être défaillant. Le chiffrement, lui, l’est (les progrès dans le domaine du déchiffrage sont très lents, c’est du domaine de la recherche fondamentale)


Sauf que le chiffrement est basé sur une clef, que cette clef est forcément quelque part et qu'il suffit d'accéder la ou elle se trouve pour que ton armée de génie ne soit que des guirlandes sur un sapin de Noël.


Effectivement.
L'article est en partie trompeur car il sous entend que le chiffrement aurait été compromis alors que c'est la multitude de portes dérobées qui permet d'acquérir les clefs avant ou après chiffrements.
Suivre les commentaires
Poster un commentaire
Anonyme
:) ;) :D ^^ 8) :| :lol: :p :-/ :o :w00t: :roll: :( :cry: :facepalm:
:andy: :annoyed: :bandit: :alien: :ninja: :agent: :doh: :@ :sick: :kiss: :love: :sleep: :whistle: =]