Technologies expliquées simplement

Les portes dérobées cryptographiques expliquées

La cryptographie est de loin l’un des sujets les plus importants de l’ère de l’information. Chaque fois que vous vous connectez quelque part, un algorithme de quelque sorte vérifie votre mot de passe par rapport à une valeur hachée qui détermine si vous pouvez vous authentifier dans votre compte ou non. C’est ainsi que nous tenons les pirates à distance. Alors, que se passe-t-il lorsque l’algorithme censé vous protéger a une porte dérobée qui permet à certaines personnes d’accéder sans restriction à vos comptes et à vos dossiers personnels ?

Le 19 mai 2015, Apple et Google ont exhorté le président américain Barack Obama à reconsidérer le fait de forcer les entreprises technologiques du secteur privé à inclure des portes dérobées dans leurs algorithmes cryptographiques. Mon but est d’expliquer comment cela nous affecte, en tant que consommateurs de technologie, et les résultats financiers des entreprises qui nous fournissent cette technologie.

Un peu d’histoire : Dual_EC_DRBG

cryptobackdoor-nsasign

Vous pourriez être pardonné si le terme “Dual_EC_DRBG” vous semble être un charabia ésotérique, mais c’est peut-être un terme lié à l’un des plus grands scandales de l’histoire de la technologie de chiffrement. Notre histoire commence au début des années 2000, lorsque la cryptographie à courbes elliptiques commençait à s’implanter dans les systèmes informatiques. Jusqu’alors, générer un nombre aléatoire était pénible en raison de sa prévisibilité inhérente. Vous voyez, les gens peuvent générer des nombres aléatoires très efficacement puisque nous pensons tous différemment. Pouvez-vous deviner quel nombre entre 1 et 100 000 je pense en ce moment ? Vous avez une chance sur 100 000 d’avoir la bonne réponse si vous devinez au hasard. Ce n’est pas le cas avec les ordinateurs. Ils sont complètement mauvais à cela, car ils comptent généralement sur d’autres valeurs fixes pour arriver à leurs “conclusions”. Comme ils ne peuvent pas “penser”, nous devons synthétiser le processus pour eux. La cryptographie à courbes elliptiques rend le processus de génération d’un nombre aléatoire beaucoup moins prévisible que les méthodes conventionnelles.

Revenons à l’histoire. La National Security Agency (NSA) a proposé un module appelé Dual_EC_DBRG comme possibilité pour générer ces nombres. Il n’a pas été adopté.

Mais ce n’est pas tout. En 2004, la NSA a conclu un accord de 10 millions de dollars avec les créateurs du système cryptographique RSA (les personnes qui, à l’époque, avaient la plus grande part de marché en cryptographie) pour faire de leur module favori le défaut pour RSA. Nous ne savons pas si la NSA a inclus la porte dérobée, mais Dual_EC_DRBG en avait certainement une. Le fait que la NSA ait été si insistante pour inclure ce module dans la cryptographie RSA ne renforce pas la thèse d’une absence de connaissance préalable.

Avançons jusqu’en 2015, et vous avez maintenant le gouvernement américain ainsi que d’autres gouvernements dans le monde qui se manifestent pour demander aux entreprises privées d’inclure des portes dérobées dans leurs algorithmes de chiffrement.

Pourquoi les portes dérobées sont mauvaises pour tout le monde

cryptobackdoor-backdoor

Vous avez peut-être déjà une idée des raisons pour lesquelles les portes dérobées sont mauvaises. C’est une évidence, non ? Le fait est qu’il y a d’autres conséquences invisibles à l’introduction de portes dérobées dans le chiffrement, en plus de l’invasion de la vie privée par des entités gouvernementales.

Tout d’abord, si un hacker découvre la porte dérobée (ce qui est exactement la façon dont le fiasco Dual_EC_DBRG mentionné précédemment a commencé), vous pouvez pratiquement garantir que n’importe qui peut en profiter pour jeter un coup d’œil à des choses qui vous sont très privées.

La deuxième raison pour laquelle les portes dérobées sont horribles peut être exprimée sous forme de question : Sachant que non seulement le gouvernement, mais n’importe quel John Doe peut jeter un coup d’œil à vos données privées, ouvririez-vous un compte quelque part encore ? Les gens s’appuient sur la technologie en ce moment parce qu’ils lui font confiance. Éliminez la confiance, et vous verrez très peu de clients sur le marché des entreprises. Oui, les consommateurs peuvent encore utiliser des technologies chiffrées et connectées, mais les entreprises vont choisir de se retirer en masse. Beaucoup de nos fabricants préférés dépendent fortement de leurs bases de clients interentreprises.

Ainsi, cette idée n’est pas seulement mauvaise pour les consommateurs, mais aussi pour les affaires des entreprises qui nous fournissent les choses que nous aimons. C’est pourquoi des géants comme Apple et Google s’inquiètent autant de ces politiques.

Que pensez-vous que nous devrions faire ? Une loi éventuelle à ce sujet est-elle même applicable ? Dites-le nous dans un commentaire !

Contenu

  1. Un peu d'histoire : Dual_EC_DRBG
  2. Pourquoi les portes dérobées sont mauvaises pour tout le monde
Tableau de bord Ello

Ello : Exploration du Réseau Social Privé

Bitdefender n'installant pas : 3 solutions faciles que vous pouvez utiliser

Plus d'informations sur les corrections de Bitdefender

Google supprime Inbox et lui donne six mois à vivre

rapports-d-aspect-16x9

Comprendre les rapports d'aspect vidéo

Gestionnaire de fichiers avec des étiquettes pour organiser vos fichiers : Top 5

Réparer le réveil sur LAN qui ne fonctionne pas

Wake On LAN ne fonctionne pas sur Windows [Résolu]

easycap-mac-mspacman-console

Utiliser EasyCAP pour capturer des VHS et des consoles sur Mac

Google teste une nouvelle fonctionnalité Chrome pour l'éligibilité à la mise à niveau vers Windows 11