Attention : derniers exemplaires disponibles !
Date de disponibilité:
p. 06 Objection votre honneur, l’IPA n’était pas coupable
p. 14 Azure AD/Office 365 : le point de vue de la réponse à incident
p. 20 La sécurité des bornes de recharges électriques
p. 28 Introduction
p. 29 Déploiement de correctifs à l’aide d’Ansible
p. 38 Analyse statique et automatisée de code
p. 46 Dépilons les couches de CVE
p. 56 Une nouvelle génération de rootkits sous Linux
p. 64 Le bourbier des dépendances : confusion et sabotage
p. 74 Alcasar : le NAC autoproclamé
« Il existe deux types de cryptographie dans le monde : la cryptographie qui protège vos documents de la curiosité de votre petite sœur et celle qui empêche les gouvernements les plus puissants de lire vos fichiers. ». Quand Bruce Schneier écrivait ceci en 1998, peu de citoyens de pays occidentaux considéraient l’intérêt de protéger leurs communications d’oreilles indiscrètes et surtout pas de leur gouvernement.
Un peu plus de vingt ans plus tard, l’opinion du grand public en matière de protection de la vie privée a fortement évolué. La fourniture par Meta du contenu des échanges entre une mère et sa fille dans le cadre d’une enquête pour un avortement dans l’État du Nebraska [1] va probablement encore accroître la pression des utilisateurs quant à des mécanismes de chiffrement ne permettant plus l’accès aux données pour les entreprises opérant le service. Meta s’est d’ailleurs fendu d’une communication quelques jours plus tard pour rappeler qu’ils travaillaient sur l’activation par défaut du chiffrement de bout en bout (E2EE) [2] afin de rendre techniquement impossible la restitution des échanges en clair.
Au milieu des années 2010, la crainte du terrorisme permettait aux autorités politiques de justifier le besoin de mettre en place des clefs de recouvrement dans les logiciels contre l’avis des experts et notamment de l’ANSSI. Il semble qu’aujourd’hui le danger de ces pratiques et leur inefficacité commencent à être entendus par les politiques au point que l’État propose désormais une messagerie qui intègre du E2EE à ses agents [3]. De plus, l’accès au pouvoir de dirigeants clivants dans certains pays occidentaux a concouru à faire évoluer l’opinion publique quant au besoin de protéger la sécurité de ses échanges numériques, y compris vis-à-vis de leur gouvernement.
Techniquement, cela induit plusieurs défis. Le premier est de l’ordre de l’expérience utilisateur. Il s’agit à la fois de ne pas complexifier l’utilisation pour le grand public des outils et de ne pas induire de régressions fonctionnelles. En particulier, la sauvegarde, l’indexation des messages et des fichiers échangés, la récupération des données en cas de perte des identifiants et leur accès depuis de multiples terminaux devra rester possible afin de ne pas rendre le fonctionnement inaccessible pour les profanes. Le second challenge est que l’activation du E2EE pour tous les messages met à mal le modèle économique des principaux fournisseurs de messageries instantanées tels que Meta et Google qui s’appuient sur les messages échangés pour proposer de la publicité ciblée et pour entraîner leurs moteurs d’IA. Si l’usage de publicité ciblée peut rester possible en recourant à de nouvelles primitives cryptographiques proposées par le chiffrement homomorphe [4], il est certain que les fournisseurs de service dont le modèle économique repose uniquement sur la valorisation des données utilisateurs aient beaucoup à perdre à mesure que les mécanismes d’E2EE se généralisent.
Pour finir, on pourra s’étonner que si les questions de vie privée sont particulièrement discutées sur les logiciels de messageries instantanées, ce débat ne semble pas du tout toucher le domaine de l’e-mail. S/MIME, s’il est parfois déployé en environnement professionnel, l’est le plus souvent uniquement pour la signature, très rarement pour le chiffrement des messages. Quant à OpenPGP, faute d’implémentation simple, il a toujours été boudé par la majorité des utilisateurs. Ironie de l’histoire, il s’agit pourtant d’une des premières applications grand public du E2EE…
Cédric Foll / cedric@miscmag.com / @follc
[1] https://france24.com/fr/amériques/20220811-facebook-critiqué-après-avoir-fourni-à-la-justice-des-messages-sur-un-avortement-illégal-au-nebraska
[2] https://about.fb.com/news/2022/08/testing-end-to-end-encrypted-backups-and-more-on-messenger/
[3] https://tchap.gouv.fr
[4] https://fr.wikipedia.org/wiki/Chiffrement_homomorphe
Face à la transformation digitale de notre société et l’augmentation des menaces, la cybersécurité doit être aujourd’hui une priorité pour bon nombre d’organisations. Après plus de 15 années de publications et de retours d’expérience, MISC apporte un vivier d’informations techniques incontournable pour mieux appréhender ce domaine. Précurseur sur ce terrain, MISC a été fondé dès 2002 et s’est peu à peu imposé dans la presse française comme la publication de référence technique en matière de sécurité informatique. Tous les deux mois, ses articles rédigés par des experts du milieu vous permettront de mieux cerner la complexité des systèmes d’information et les problèmes de sécurité qui l’accompagne.
RASPBERRY PI / DÉCENTRALISATION / PEER-TO-PEER : Anonymisez et sécurisez...
Lire plus ➤Créez une authentification sans mot de passe… avec OpenPGP ! Définissons...
Lire plus ➤Comment se prémunir des intrusions dans votre infrastructure ? Détectez...
Lire plus ➤Administration système : Comprendre et utiliser les nouvelles pratiques...
Lire plus ➤Arduino / RP2040 / STM32 / ESP Programmez vos microcontrôleurs en...
Lire plus ➤