Sommaire
Face à la transformation digitale de notre société et l’augmentation des cybermenaces, la cybersécurité doit être aujourd’hui une priorité pour bon nombre d’organisations. Après plus de 20 années de publications et de retours d’expérience, MISC apporte un vivier d’informations techniques incontournable pour mieux appréhender ce domaine. Précurseur sur ce terrain, MISC a été fondé dès 2002 et s’est peu à peu imposé dans la presse française comme la publication de référence technique en matière de sécurité informatique. Tous les deux mois, ses articles rédigés par des experts du milieu vous permettront de mieux cerner la complexité des systèmes d’information et les problèmes de sécurité qui l’accompagne.
Si aujourd’hui, en 2012, il nous semble simple et évident qu’il y a de la cryptographie forte dans nos smart cards, cela n’a pas toujours été ainsi.Cet article retrace une grande partie de l’histoire de l’introduction de la cryptographie dans les cartes à puce à partir de la vision personnelle, la plus objective possible, de l’auteur. Nous parlerons aussi un peu de sécurité physique et autre.
Comment prouver qu'une photographie numérique n'a pas été modifiée avant publication ? En ajoutant des données d'authenticité à l'image, fonction disponible depuis plusieurs années chez Canon et Nikon. Dmitry Sklyarov de la société ElcomSoft a décrit en novembre 2010 [1] le principe général utilisé par les boîtiers de la marque rouge, mais sans livrer suffisamment de détails pour recréer ces données, appelées ici « Original Decision Data », ou ODD. Cet article se propose de décrire comment trouver les secrets de son appareil (sans fer à souder) et comment recalculer ces données. Le constructeur a depuis janvier 2011 supprimé cette fonctionnalité, sans doute en réaction à la présentation précédemment citée, et émis un avis produit [2]. Les pages suivantes se veulent didactiques et en prolongement de la présentation d'ElcomSoft et ne sauraient en aucun cas la remplacer. Elles décrivent des expérimentations faites début 2010, puis achevées en novembre 2010, grâce à la pièce manquante du puzzle...
La mise en œuvre pratique de mécanismes cryptographiques suppose tout d'abord de les concevoir, de les implémenter et de garantir une utilisation sûre. Au cours de chacune de ces étapes, des difficultés de natures diverses peuvent surgir avec un impact direct sur la sécurité du mécanisme considéré. Mais l'expérience des concepteurs ou le nombre des développeurs ne suffit pas toujours à éviter ces écueils. Illustration avec le protocole TLS et l'implémentation OpenSSL.