« Cryptage » n’est pas un gros mot – 4 ̷₄

Sommaire général ⇒


4 –  Le cryptage, à quoi ça sert ?


La distinction entre le chiffrement réversible et le cryptage n’est pas une question de calcul cryptographique. Dans les deux cas, on a besoin d’une clé de chiffrement pour chiffrer l’information. La différence réside dans les modalités d’utilisation du chiffrement et dans le but recherché par le chiffreur.

Le chiffrement réversible présente un intérêt évident dans la vie de tous les jours. Il permet d’assurer la confidentialité d’une information, autrement dit de veiller à ce que cette information ne soit accessible qu’aux seules personnes autorisées à en prendre connaissance. Cela suppose que ces personnes autorisées puissent en prendre connaissance. On ne peut pas, en effet, communiquer de façon récurrente en utilisant du chiffrement irréversible : cela nécessiterait que les interlocuteurs (et eux seulement) soient capables de décrypter rapidement les messages qui leur sont adressés. Le chiffrement doit ici être réversible.

Toutefois, il existe des cas dans lesquels le chiffrement doit ne pas pouvoir être inversé. Continuer la lecture de « « Cryptage » n’est pas un gros mot – 4 ̷₄ »

« Cryptage » n’est pas un gros mot – 3 ̷₄

Sommaire général ⇒


3 – Le cryptage, un chiffrement non réversible


Le mot cryptage produit sur les gardiens du dogme informatique le même effet qu’un crissement de craie sur un tableau noir. Leur réaction est immédiate et immuable : le cryptage, ça n’existe pas.

Et d’échafauder une dialectique reposant sur de bien faibles arguments lexicaux (3.1) et sur l’idée erronée selon laquelle le cryptage ne peut pas exister parce que l’on ne peut pas chiffrer sans clé (3.2).

3.1 – Un argumentaire lexical usé jusqu’à la corde

3.1.1 – « Cryptage » n’existe pas dans la langue française ؟

À en croire les mollahs des DSI, cryptage n’est pas un mot de la langue française parce qu’il n’existe pas dans le dictionnaire de l’Académie française.

Photo détournée de « La Télé des Inconnus » (1990)

Continuer la lecture de « « Cryptage » n’est pas un gros mot – 3 ̷₄ »

« Cryptage » n’est pas un gros mot – 2 ̷₄

Sommaire général ⇒


2 – Rendre à l’information sa forme intelligible –
Déchiffrement et décryptage


Pour retrouver l’information en clair à partir de sa forme chiffrée, deux possibilités se présentent :

      • le déchiffrement – que l’on réalise lorsque l’on dispose de la clé ad hoc – ;
      • et le décryptage – que l’on tente lorsque l’on n’en dispose pas.

Notons que la langue française marque clairement la distinction fondamentale entre déchiffrement et décryptage. Il n’en va pas de même dans la langue anglaise, laquelle utilise :
– les verbes to encrypt , cipher et encipher pour traduire chiffrer (##),
– les verbes to decrypt et to decipher pour traduire indistinctement (ou respectivement !) déchiffrer et décrypter (##).

Continuer la lecture de « « Cryptage » n’est pas un gros mot – 2 ̷₄ »

« Cryptage » n’est pas un gros mot – 1 ̷₄

Sommaire de cette série :

    1. Qu’est-ce que le chiffrement ?
    2. Rendre à l’information sa forme intelligible – Déchiffrement et décryptage
    3. Le cryptage, un chiffrement non réversible
    4. Le cryptage, à quoi ça sert ?

Le mot cryptage n’est pas un barbarisme. Il ne désigne pas non plus un impossible chiffrement sans clé. Le cryptage, c’est du chiffrement, mais dans certaines circonstances. La distinction présente un intérêt dans le domaine du renseignement et des enquêtes informatiques. 

Il y a quelques semaines, j’ai eu sur Twitter une discussion (i.e. un dialogue de sourds) avec un professionnel de l’informatique au sujet du mot cryptage. Véritable tarte à la crème de la sécurité de l’information, le débat sur ce mot n’en finit pas de noircir des pages. Pour résumer grossièrement, dans cette bataille rangée, deux camps s’opposent :

  • les professionnels hardcore de l’informatique qui, à l’image de mon contradicteur, estiment que :
  • les autres (comprenez les noobs), qui utilisent le terme cryptage – le plus souvent comme synonyme du mot chiffrement. C’est notamment le cas de certains journalistes scientifiques.
Continuer la lecture de « « Cryptage » n’est pas un gros mot – 1 ̷₄ »

Doit-on craindre des cyber-assassinats dans les hôpitaux ?

infosecÀ force de raisonner essentiellement en termes de vulnérabilités, on parasite la gestion des risques avec d’improbables conjectures – au détriment d’autres hypothèses. Le scénario-catastrophe du moment : le cyber-assassinat de personnes hospitalisées.

L’Internet des objets soulève de plus en plus de questions en matière de sécurité informatique. Ainsi, dans le secteur hospitalier, on redoute  que certains appareils (moniteurs de signes vitaux, perfusions, pompes à insuline, respirateurs homelandartificiels,…) soient utilisés, via les réseaux informatiques, par des personnes malintentionnées afin d’attenter à la santé voire à la vie des patients.

L’hypothèse évoquera à l’amateur de séries télévisées une fameuse séquence de Homeland (saison 2, épisode 10) au cours de laquelle un hacker travaillant pour une organisation terroriste parvient à  tuer le vice-président américain en prenant le contrôle à distance de son stimulateur cardiaque.

Continuer la lecture de « Doit-on craindre des cyber-assassinats dans les hôpitaux ? »

Konformität über alles

infosecLa conformité aux normes, plus sécuritaire que la sécurité elle-même… Simple lapsus ou regrettable inflexion des concepts en sécurité de l’information ?

Le site HealthCare IT Security a publié la semaine dernière un article consacré à la sécurité moderne des entrepôts de données dans le secteur de la santé. Son auteur, Bill Kleyman, spécialiste des datacenters, y évoque les trois niveaux de sécurité essentiels en la matière :

  1. la sécurité physique, c’est à dire la protection des locaux qui abritent les serveurs et autres supports physiques d’information contre des attaques matérielles ;
  2. la sécurité logique, autrement dit la protection des informations et des systèmes d’information contre des attaques immatérielles ;
    Et il ajoute :
  3. la conformité aux standards, qu’il justifie de la façon suivante (je souligne) :

guillemetHaving the most secure platform out there still may not make you compliant. This is why it’s critical to work with a data center partner that can offer the full trifecta of physical, logical, and compliance-drive security.

Et de citer divers standards internationaux en sécurité de l’information : PCI, HIPAA/HITECH, SOC 1, SOC 2, Safe Harbor.

Et là, je tique.

Continuer la lecture de « Konformität über alles »

Hôpital, rançongiciel et cyberperturbation

infosecUn rançongiciel a pour but de prendre en otage les informations essentielles de l’organisation ciblée, lui faisant ainsi craindre pour sa survie.

Mais si ses informations critiques ne sont pas menacées, accepter de payer la rançon simplement pour reprendre au plus vite ses activités normales, c’est encourager le changement de nature de ce type de cyberattaque. Le ransomware devient une arme de cyberperturbation…

Le 5 février dernier, le Hollywood Presbyterian Medical Center (Californie) essuyait une cyberattaque via un rançongiciel (ransomware). Ce programme malveillant a apparemment pénétré le réseau informatique de l’hôpital par l’entremise d’un courriel de hameçonnage. Se répandant rapidement dans les systèmes, il s’est mis à chiffrer tous les fichiers informatiques qu’il rencontrait.

Il n’a pas fallu attendre longtemps pour que le fonctionnement de l’hôpital soit largement perturbé : dossiers-patient inaccessibles, systèmes de rendez-vous, de laboratoire et de pharmacie inopérants, communications par courriel impossibles,… Avec en bout de ligne un allongement des files d’attente et une réorientation de plusieurs patients des urgences vers d’autres hôpitaux.

Continuer la lecture de « Hôpital, rançongiciel et cyberperturbation »

Le chiffrement selon Microsoft : quand les autorités n’ont plus besoin de « backdoor »

infosecWindows propose par défaut un logiciel de chiffrement de disque dur : BitLocker. Son utilisation n’est toutefois pas souhaitable, en raison notamment des faiblesses que présente son système de récupération de la clé de secours.

Sous couvert d’un service rendu aux utilisateurs, Microsoft n’aurait-il pas implanté intentionnellement ces vulnérabilités pour permettre aux services de police et de renseignement d’accéder aux comptes des utilisateurs ? Tout en assurant ces derniers que BitLocker ne contient pas de porte dérobée

Au vu des récentes dérives sécuritaires dans les démocraties occidentales – notamment en France -, il me parait important de souligner cet affaiblissement institutionnel d’une solution de chiffrement à destination du grand public.

Continuer la lecture de « Le chiffrement selon Microsoft : quand les autorités n’ont plus besoin de « backdoor » »

Protection de l’information : Pour une approche multi-dimensionnelle – et non multi-couche

infosecEn matière de sûreté dans des environnements complexes, il convient de résister à la tentation de multiplier dans l’urgence les protections. Il s’agit plutôt de se concentrer en premier lieu sur un nombre restreint de mesures, afin de parer aux risques les plus importants. Cela est valable aussi bien en sûreté physique qu’en sécurité de l’information, comme nous le montre un cas récent – et grave – de piratage informatique dans le secteur de la santé aux États-Unis.

On apprenait la semaine dernière que le deuxième groupe d’assurances de santé américain, la compagnie Anthem, avait subi une attaque informatique d’envergure. Les pirates auraient en effet eu accès aux informations personnelles de 80 millions (oui, quatre-vingts millions) d’Américains.

Bien que ce ne soit pas le premier événement du genre dans le secteur de la santé, le « hack » d’Anthem semble cette fois avoir constitué un véritable électrochoc. Il est vrai qu’il survient peu après un autre piratage emblématique de l’ampleur du problème, celui de Sony Pictures Entertainment.

Continuer la lecture de « Protection de l’information : Pour une approche multi-dimensionnelle – et non multi-couche »