Pentest Corner

p. 06 Objection votre honneur, l’IPA n’était pas coupable

Forensic Corner

p. 14 Azure AD/Office 365 : le point de vue de la réponse à incident

IoT Corner

p. 20 La sécurité des bornes de recharges électriques

Dossier : Patch management

p. 28 Introduction
p. 29 Déploiement de correctifs à l’aide d’Ansible
p. 38 Analyse statique et automatisée de code
p. 46 Dépilons les couches de CVE

Système

p. 56 Une nouvelle génération de rootkits sous Linux

Code

p. 64 Le bourbier des dépendances : confusion et sabotage

Réseau

p. 74 Alcasar : le NAC autoproclamé

« Il existe deux types de cryptographie dans le monde : la cryptographie qui protège vos documents de la curiosité de votre petite sœur et celle qui empêche les gouvernements les plus puissants de lire vos fichiers. ». Quand Bruce Schneier écrivait ceci en 1998, peu de citoyens de pays occidentaux considéraient l’intérêt de protéger leurs communications d’oreilles indiscrètes et surtout pas de leur gouvernement.

Un peu plus de vingt ans plus tard, l’opinion du grand public en matière de protection de la vie privée a fortement évolué. La fourniture par Meta du contenu des échanges entre une mère et sa fille dans le cadre d’une enquête pour un avortement dans l’État du Nebraska [1] va probablement encore accroître la pression des utilisateurs quant à des mécanismes de chiffrement ne permettant plus l’accès aux données pour les entreprises opérant le service. Meta s’est d’ailleurs fendu d’une communication quelques jours plus tard pour rappeler qu’ils travaillaient sur l’activation par défaut du chiffrement de bout en bout (E2EE) [2] afin de rendre techniquement impossible la restitution des échanges en clair.

Au milieu des années 2010, la crainte du terrorisme permettait aux autorités politiques de justifier le besoin de mettre en place des clefs de recouvrement dans les logiciels contre l’avis des experts et notamment de l’ANSSI. Il semble qu’aujourd’hui le danger de ces pratiques et leur inefficacité commencent à être entendus par les politiques au point que l’État propose désormais une messagerie qui intègre du E2EE à ses agents [3]. De plus, l’accès au pouvoir de dirigeants clivants dans certains pays occidentaux a concouru à faire évoluer l’opinion publique quant au besoin de protéger la sécurité de ses échanges numériques, y compris vis-à-vis de leur gouvernement.

Techniquement, cela induit plusieurs défis. Le premier est de l’ordre de l’expérience utilisateur. Il s’agit à la fois de ne pas complexifier l’utilisation pour le grand public des outils et de ne pas induire de régressions fonctionnelles. En particulier, la sauvegarde, l’indexation des messages et des fichiers échangés, la récupération des données en cas de perte des identifiants et leur accès depuis de multiples terminaux devra rester possible afin de ne pas rendre le fonctionnement inaccessible pour les profanes. Le second challenge est que l’activation du E2EE pour tous les messages met à mal le modèle économique des principaux fournisseurs de messageries instantanées tels que Meta et Google qui s’appuient sur les messages échangés pour proposer de la publicité ciblée et pour entraîner leurs moteurs d’IA. Si l’usage de publicité ciblée peut rester possible en recourant à de nouvelles primitives cryptographiques proposées par le chiffrement homomorphe [4], il est certain que les fournisseurs de service dont le modèle économique repose uniquement sur la valorisation des données utilisateurs aient beaucoup à perdre à mesure que les mécanismes d’E2EE se généralisent.

Pour finir, on pourra s’étonner que si les questions de vie privée sont particulièrement discutées sur les logiciels de messageries instantanées, ce débat ne semble pas du tout toucher le domaine de l’e-mail. S/MIME, s’il est parfois déployé en environnement professionnel, l’est le plus souvent uniquement pour la signature, très rarement pour le chiffrement des messages. Quant à OpenPGP, faute d’implémentation simple, il a toujours été boudé par la majorité des utilisateurs. Ironie de l’histoire, il s’agit pourtant d’une des premières applications grand public du E2EE… 

Cédric Foll / cedric@miscmag.com / @follc

[1] https://france24.com/fr/amériques/20220811-facebook-critiqué-après-avoir-fourni-à-la-justice-des-messages-sur-un-avortement-illégal-au-nebraska
[2] https://about.fb.com/news/2022/08/testing-end-to-end-encrypted-backups-and-more-on-messenger/
[3] https://tchap.gouv.fr
[4] https://fr.wikipedia.org/wiki/Chiffrement_homomorphe