Vous êtes sur la page 1sur 50

Initiation la Cryptologie

Mars 2009

Cryptologie

Page 1 / 50

Table des matires


1 Vocabulaire....................................................3
2 Les enjeux.....................................................4
2.1
2.2
2.3
2.4

Le secret postal.................................................4
Cryptologie et droit franais................................4
La NSA............................................................5
chelon............................................................5

3 Algorithmes de chiffrement faibles.....................6


3.1
3.2
3.3
3.4
3.5
3.6

Chiffre de Csar................................................6
Chiffrement monoalphabtique............................6
Cryptanalyse par tude de frquence...................7
Attaque par mot probable...................................8
Chiffre de Vigenre............................................8
Attaque par indice de concidence........................9

8 Fonctions de hachage.....................................30
8.1
8.2
8.3
8.4

Principe..........................................................30
MD5...............................................................31
SHA-1............................................................31
Retour sur les signatures lectroniques...............32

9 Application...................................................32

9.1 Les cartes bancaires.........................................32


9.2 SSL et TLS......................................................33
9.3 PGP...............................................................34

10 Cryptanalyse...............................................35

10.1 Familles d'attaques cryptanalytiques................35


10.2 Cryptanalyse moderne....................................36
10.3 Attaques par canaux auxiliaires.......................37

4 Algorithmes de cryptographie symtrique.........11

11 Stganographie...........................................38

4.1 Cl et scurit.................................................11
4.2 Chiffre de Vernam...........................................12

11.1 Histoire........................................................38
11.2 Techniques rendues possibles par l'ordinateur. . .39
11.3 Usage...........................................................41

5 L'arrive de l'informatique..............................14
5.1
5.2
5.3
5.4

La machine Enigma..........................................14
La cryptanalyse de la machine Enigma...............16
Lorenz Vs Colossus..........................................19
Conclusion......................................................20

12 Conclusion..................................................41

6.1
6.2
6.3
6.4

Les chiffrements par blocs................................21


D.E.S (Data Encryption Standart)......................22
A.E.S (Advanced Encryption Standard)...............23
RC4...............................................................23

13.1 Csar...........................................................45
13.2 Vigenre.......................................................45
13.3 RSA.............................................................45

6 La cryptographie moderne..............................21

7 Algorithmes de cryptographie asymtrique........24


7.1
7.2
7.3
7.4
7.5

Principe..........................................................24
RSA...............................................................25
Signature lectronique : tre sr de l'expditeur..27
Certificat lectronique : tre sr du destinataire.. 28
Infrastructure cl publique (PKI).....................29

Cryptologie

12.1 Aujourd'hui...................................................41
12.2 Demain : La cryptographie quantique...............41
12.3 Demain aussi : La cryptanalyse quantique.........43

13 Exercices de cryptanalyse.............................45

14 Anecdotes en vrac.......................................46
14.1
14.2
14.3
14.4
14.5

Kama-sutra...................................................46
Georges Sand et Alfred de Musset ...................46
Le tlgramme de Zimmermann......................47
Le chiffre ADFGVX..........................................47
Olivier Levasseur...........................................48

Page 2 / 50

Vocabulaire

Coder : Transformer un texte, une information en remplaant les mots dans une criture faite de signes
prdfinis.
Chiffrer : Transformer un texte, une information en remplaant les lettres dans une criture faite de signes
prdfinis.1
Chiffrement : Transformation l'aide d'une cl de chiffrement d'un message en clair en un message
incomprhensible si on ne dispose pas d'une cl de dchiffrement (en anglais encryption)
Cryptogramme : Message chiffr
Cl : Une cl est un paramtre utilis en entre d'une opration cryptographique (chiffrement,
dchiffrement, ...)
Dcrypter : Retrouver le message clair correspondant un message chiffr sans possder la cl de
dchiffrement (terme que ne possdent pas les anglophones, qui eux cassent des codes secrets)
Cryptographie : tymologiquement criture secrte , devenue par extension l'tude de cet art (donc
aujourd'hui la science visant crer des cryptogrammes, c'est--dire chiffrer)
Cryptanalyse : Science analysant les cryptogrammes en vue de les dcrypter ;
Cryptologie : Science regroupant la cryptographie et la cryptanalyse.
Alice, Bob & Mallory : Ce sont les personnages fictifs, des exemples de
cryptographie. Alice veut crire Bob, et Mallory essaye d'intercepter le
message (ou de le modifier, ou de se faire passer pour Alice ...)
Vu le sens des mots chiffrer; dchiffrer et dcrypter, le terme crypter n'a pas
de raison d'tre (l'Acadmie franaise prcise que le mot est bannir et celui-ci
ne figure pas dans son dictionnaire), en tout cas pas dans le sens o on le
trouve en gnral utilis.
Pas plus que le terme dcoder 2.
1
2

Toute la diffrence entre coder et chiffrer : Le nombre de combinaisons possibles.


Sauf si vous vous destinez une carrire d'installateur Canal+

Cryptologie

Page 3 / 50

Les enjeux

La cryptographie sert assurer la confidentialit d'un document (seuls les possesseurs de la cl peuvent le lire)
mais aussi a assurer l'intgrit d'un document : Je suis sur que le document que je lit est celui qui a t mis.
L'histoire de la cryptologie est trs t lie l'histoire de l'humanit. Surtout sur les plans militaires et
informatique.
Eh oui, le premier ordinateur a t invent pour cryptanaliser un message.
Des batailles ont t gagn grce la cryptanalyse3
On considre que la seconde guerre mondiale a t raccourcie d'au moins un an grce la connaissance des
communications allemandes par les allis.
De tout temps l'usage mme de la cryptographie a t sensible

2.1

Le secret postal

Le cabinet noir a svi pendant des sicles dans la plupart des tats europens. Il s'est manifest depuis
louverture des postes royales aux particuliers et linstitution du monopole. Le vritable mobile t de placer la
circulation des correspondances sous le contrle royal, car elle a permis de mettre fin aux diverses postes
particulires des grands seigneurs, des prlats et des universits.
Les agents des postes royales pouvaient ainsi lire ces lettres et en transmettre alors au gouvernement les
extraits les plus compromettants. Ceux-ci taient alors examins par le monarque en son cabinet noir , ce qui
fut lorigine de nombreuses disgrces et condamnations.
Cette pratique juge contraire la lgitimit monarchique, tait trs impopulaire et soulevait lhostilit de toutes
les classes de la population. En France en 1789, de nombreux cahiers de dolances rclamrent son abolition.
Cette revendication tait si universellement partage que, dans son rapport de synthse du 27 juillet 1789
devant les tats Gnraux, le comte de Clermont-Tonnerre avait mis l'inquisition postale sur le mme plan que
les lettres de cachet, en ces termes :

La Nation franaise s'lve avec indignation contre les lettres de cachet, qui disposaient arbitrairement des
personnes, et contre la violation du secret de la poste, l'une des plus absurdes et des plus infmes inventions du
despotisme.
Mais linquisition postale nen fut pas moins rtablie par le Comit de salut public de la Convention, au nom de
la patrie en danger, pour lutter contre les conspirateurs, puis maintenue par les gouvernants ultrieurs.

2.2

Cryptologie et droit franais

Longtemps les diffrents gouvernements, y compris le gouvernement franais, interdirent la cryptographie.


Jusqu'en 1999, utiliser la cryptographie tait assimil l'usage d'une arme de guerre ! (Sauf si vous utilisiez des
cl suffisamment faible pour que le gouvernement puisse les casser ...)
Pour favoriser le dveloppement du commerce lectronique, le gouvernement a t contraint de libraliser son
utilisation. La cryptographie tant le seul moyen de protger, de faon fiable, la circulation d'information sur
l'internet (Protocole https).
Mais les lois scuritaires du dbut du sicle (LSQ en 2001 puis LSI) considrent que l'utilisation d'outils de
cryptographie serait dsormais considre comme une "circonstance aggravante", et que ses utilisateurs
seraient passibles de deux ans de prison, et 30 000 euros d'amende 4, s'ils refusaient de dchiffrer les messages
chiffrs changs.
Pire encore : La loi autorise galement les juges recourir aux "moyens de l'tat soumis au secret de la Dfense
nationale" pour dcrypter des informations chiffres. Les rapports d'expertise sont donc classifis et ne peuvent
faire l'objet d'aucun recours; ce qui avait d'ailleurs t peru, dans les milieux du renseignement franais,
3
4

Ou perdues cause de ... c'est trs subjectif !


Port 3 ans et 45.000 par la loi LSI

Cryptologie

Page 4 / 50

comme un excellent moyen de pouvoir fabriquer des preuves sans possibilit, pour l'accuser, de les contester.
Tout utilisateur d'outils de cryptographie se retrouve donc, sinon potentiellement suspect, tout du moins plac
sous une pe de Damocls dont il ne pourrait s'extirper si les autorits, pour quelque raison que ce soit,
dcidaient de s'intresser lui.
Les logiciels de cryptographie doivent tre approuv par le gouvernement avant de pouvoir tre utilis en France
. C'est le cas de la plupart d'entre eux.

2.3

La NSA

Aujourd'hui, aux USA, une agence , a elle toute


seule, un budget suprieur ceux de la CIA, du FBI
et de la NASA runis : La NSA (National Security
Agency).
La NSA5 est un organisme gouvernemental des tatsUnis, responsables de la collecte et de l'analyse de
toutes formes de communications, aussi bien
militaires et gouvernementales que commerciales ou
mme personnelles, par radiodiffusion, par Internet
ou par tout autre mode de transmission. Les agences
ont aussi pour mission d'assurer la scurit des
communications (et donc des ordinateurs) du
gouvernement amricain.
En dpit du fait qu'elle soit le plus grand employeur de mathmaticiens, d'informaticiens et d'lectroniciens au
monde, qu'elle possde un grand nombre d'ordinateurs, et un budget colossal (valu environ 4 milliards de
dollars en 1997), l'agence a t remarquablement discrte jusqu' rcemment.
Selon une estimation de 2002, le quartier gnral de la NSA6 utilise lui seul assez d'lectricit pour alimenter
quatre Earth Simulators (l'ordinateur le plus puissant de l'poque)..
Le principal outil de la NSA est le rseau chelon

2.4

chelon

chelon est un nom de code utilis pendant de


nombreuses annes par les services de renseignements
des tats-Unis pour dsigner une base d'interception
des satellites commerciaux. Par extension, le Rseau
chelon dsigne le systme mondial d'interception des
communications prives et publiques, labor par les
tats-Unis, le Royaume-Uni, le Canada, lAustralie et la
Nouvelle-Zlande.
Cest un rseau global, appuy par des satellites, de
vastes bases dcoutes situes aux tats-Unis, au
Canada, au Royaume-Uni, en Allemagne, en Australie et en Nouvelle-Zlande, des petites stations d'interception
dans les ambassades, et le sous-marin USS Jimmy Carter, entr en service en 2005 pour couter les cbles
sous-marins de tlcommunications.
Il intercepte les tlcopies, les communications tlphoniques, les courriels et, grce un puissant rseau
dordinateurs, est capable de trier en fonction de certains termes les communications crites et, partir de
lintonation de la voix, les communications orales.
Ces rseaux peuvent tre utiliss pour des actions militaires, politiques ou commerciales. Il aurait t utilis pour
faire gagner des contrats des compagnies amricaines, face ses concurrents, comme Boeing contre Airbus.
Toutes les informations rcoltes par le rseau Echelon sont analyses au quartier gnral de la NSA Fort
Meade.
5
6

No Such Agency (une telle agence nexiste pas)


Never Say Anything (ne jamais rien dire)

Cryptologie

Page 5 / 50

Algorithmes de chiffrement faibles

Les premiers algorithmes utiliss pour le chiffrement d'une information taient assez rudimentaires dans leur
ensemble. Ils consistaient notamment au remplacement de caractres par d'autres. La confidentialit de
l'algorithme de chiffrement tait donc la pierre angulaire de ce systme pour viter un dcryptage rapide.

3.1

Chiffre de Csar

le chiffre de Csar est une des plus simple mthodes d'encryptage


connues.
C'est une technique de codage par substitution, c'est--dire que
chaque lettre du texte en clair est remplace par une autre lettre
distance fixe dans l'alphabet. Par exemple, si l'on utilise un dcalage
de 3, A serait remplac par D, B deviendrait E, et ainsi de suite. Cette mthode doit son nom Jules Csar, qui
utilisait cette technique pour certaines de ses correspondances.
3.1.1

Exercice

Cryptogramme

: QJAJE QF RFNS JY INYJX "UWJRNJW".

Dchiffrez !
3.1.2

ROT13

Le ROT13 ("rotate by 13 places") (une variante du chiffrier de Csar) est un algorithme trs simple de
chiffrement de texte. Comme son nom l'indique, il s'agit d'un dcalage de 13 caractres de chaque lettre du
texte chiffrer.
L'avantage de ROT13, c'est le fait que le dcalage soit de 13 : Comme l'alphabet comporte 26 lettres le mme
algorithme sert la fois pour chiffrer et pour dchiffrer.
Il est encore utilis dans les logiciels de messagerie comme Outlook express ou, dans un forum, on souhaite
cacher une rponse une question pos.

3.2

Chiffrement monoalphabtique

L'histoire n'a pas retenu le nom de l'inventeur de la premire mthode de chiffrement cl. Elle date
probablement du dbut de notre re.
L'intrt de cette mthode est que pour que le cryptogramme soit dchiffr, il suffit de faire parvenir une cl
(qui peut tre un simple mot) son (ou ses) destinataires lgitimes.
Comme il existe des millions de mots cl possible, il existe des millions de combinaisons possible.
tape 1 : Choisir un mot cl.
Ex : informatique
tape 2 : Le "nettoyer" en enlevant tout les doubles et les accents :
INFORMATQUE
tape 3 : Reporter ce mot dans une grille :
A

Cryptologie

Page 6 / 50

tape 4 : Complter l'alphabet

En prenant soin de ne pas utiliser 2 fois une lettre

En partant de la dernire lettre crite

tape 5 : On peut maintenant crypter un message par substitution


Texte en clair :

Aujourd'hui, j'ai mang des nouilles7

Texte prpar :

AUJOU

RDHUI

JAIMA

NGEDE

SNOUI

LLES

Cryptogramme :

IXUKX

SOTXQ

UIQHI

JAROR

VJKXQ

GGRV

3.2.1

Exercice

Dchiffrez le cryptogramme monoalphabtique suivant, sachant que le cl est Il tait une fois :
AYUOY

3.3

JYAWA

KAIKA

EJYEA

DKAIJ

Cryptanalyse par tude de frquence

Par sa simplicit et par sa force, la substitution monoalphabtique a domin la technique des critures secrtes
pendant tout le premier millnaire. Il a rsist aux cryptanalystes jusqu' ce que le savant arabe Abu Yusuf
Ya'qub ibn Is-haq ibn as-Sabbah Omran ibn Ismal al-Kindi mette au point, au IXme sicle, une technique
appele analyse des frquences.
Al-Kindi (801-873) rdige sa mthode dans un trait intitul Manuscrit sur le dchiffrement des messages
cryptographiques .
Il explique que la faon d'lucider un message crypt, si nous
savons dans quelle langue il est crit, est de nous procurer un
autre texte en clair dans la mme langue, de la longueur d'un
feuillet environ, et de compter alors les apparitions de chaque
lettre.
Ensuite, nous nous reportons au texte chiffr que nous voulons
claircir et relevons de mme ses symboles. Nous remplaons le
symbole le plus frquent par la lettre premire (la plus frquente
du texte clair), le suivant par la deuxime, le suivant par la
troisime, et ainsi de suite jusqu' ce que nous soyons venus
bout de tous les symboles du cryptogramme rsoudre .
Cette technique ne fonctionne bien que si le cryptogramme est
suffisamment long pour avoir des moyennes significatives.
Voici, ci contre, les diagrammes de frquence des lettres du
Franais.
Il est amusant de constater que plusieurs nations ignoraient
les travaux d'al-kindi et on utilis des messages chiffrs par cette
mthode jusqu'au milieu du XVeme sicle.8
3.3.1

Casser un code

On considre qu'un code (ou un chiffre) a t cass si il existe une mthode qui permet de le cryptanaliser plus
rapidement que par une attaque en force brute.
Un attaque par force brute consiste essayer successivement toutes les combinaisons possibles.
7
8

Eh oui, la cryptographie sert dissimuler les plus grands secrets de l'univers ...
Ne comptez pas sur moi pour vous donner le nom de ces nations. C'est pas mon genre de me moquer de l'Espagne et du Portugal...

Cryptologie

Page 7 / 50

3.4

Attaque par mot probable

Nous avons vu que nous pouvions dcrypter un chiffre monoalphabtique par une analyse des frquences. Une
autre technique consiste deviner un mot qui doit, ou peut, apparatre dans le texte clair. Dans une substitution
monoalphabtique, un mot chiffr a le mme aspect que le mot clair. Prenons par exemple le mot anglais
"AMMUNITION"; dans le texte chiffr apparatra une squence de dix lettres avec les caractristiques suivantes:

Les 2me et 3me lettres sont les mmes

Les 5me et 10me lettres sont les mmes (et diffrentes de la 2me lettre)

Les 6me et 8me lettres sont les mmes (et diffrentes des 2me et 5me lettres)

Toutes les autres lettres sont diffrentes.

Une fois que l'on a trouv toutes les correspondances possibles, on peut utiliser une statistique chi-carr pour
dterminer laquelle est la plus probable.

3.5

Chiffre de Vigenre

Le Chiffre de Vigenre est un systme de chiffrement, labor par Blaise de Vigenre (1523-1596), diplomate
franais du XVIe sicle.
C'est un systme de substitution polyalphabtique. Cela signifie qu'il permet de remplacer une lettre par une
autre qui n'est pas toujours la mme, contrairement aux chiffres vu prcdemment qui se contentaient d'utiliser
la mme lettre de substitution. C'est donc un systme relativement plus solide .
3.5.1

La table de Vigenre

L'outil indispensable du chiffrement de Vigenre est : La table de Vigenre ou carr de Vigenre .


On l'obtient en crivant 26 fois l'alphabet, et en dcalant chaque ligne d'une lettre.
Pour la 1er ligne : ABCDE ...
XYZ
Pour la 2eme : BCDEF... YZA
La 3eme : CDEFG...ZAB
Etc
3.5.2

Chiffrement

Pour chaque lettre en clair, on


slectionne
la
colonne
correspondante et pour une
lettre de la cl on slectionne
la ligne adquate, puis au
croisement de la ligne et de la
colonne on trouve la lettre
code. La lettre de la cl est
prendre dans l'ordre dans
laquelle elle se prsente et on
rpte la cl en boucle autant
que ncessaire.

3.5.3

Exemple

Cl :

Musique

Texte :

j'adore couter la radio toute la journe

On rpte la cl jusqu' ce qu'elle soit aussi longue que le texte chiffrer :


Cryptologie

Page 8 / 50

Cl :

MUSIQU EMUSIQU EM USIQU EMUSI QU EMUSIQU

Texte :

JADORE ECOUTER LA RADIO TOUTE LA JOURNEE

Pour
Pour
Pour
Pour

la
la
la
la

1ere lettre
2eme lettre
3eme lettre
4eme lettre

: On prend dans la table, la colonne de la cl (M) et la ligne de la lettre (J) :


: On prend la colonne de la cl (U) et la ligne de la lettre (A) :
: On prend la colonne de la cl (S) et la ligne de la lettre (D) :
: On prend la colonne de la cl (I) et la ligne de la lettre (O) :

V
U
V
W

Etc
Le texte chiffr est alors :
VUVWHY IOIMBUL PM LSLYI XAOLM BU NAOJVUY.
3.5.4

Dchiffrement

Si on veut dchiffrer ce texte, on regarde pour chaque lettre de la cl rpte la ligne correspondante, et on y
cherche la lettre code. La premire lettre de la colonne que l'on trouve ainsi est la lettre dcode.
Texte cod
Cl rpte

3.5.5

:
:

Exercice

Texte cod : DHMZG


Cl

VUVWHY IOIMBUL PM LSLYI XAOLM BU NAOJVUY


MUSIQU EMUSIQU EM USIQU EMUSI QU EMUSIQU
^^^
|||Ligne I, on cherche W: on trouve la colonne O.
||Ligne S, on cherche V: on trouve la colonne D.
|Ligne U, on cherche U: on trouve la colonne A.
Ligne M, on cherche V: on trouve la colonne J.

HXUMY

UUAMT

UHLTG

QTMAK

: BTSIG

Dchiffrez ce cryptogramme.

3.6

Attaque par indice de concidence

La figure la plus tonnante de la cryptanalyse au XIX me sicle est celle de Charles


Babbage (1792-1871).
Babbage tait un touche tout de gnie : il fut le premier comprendre que dans un
tronc d'arbre, la largeur d'un anneau dpend du temps qu'il a fait dans l'anne. Il
s'intressa aux statistiques (premires tables de mortalit). Il proposa un prix unique
pour l'affranchissement d'une lettre.
Aprs s'tre rendu compte que les
phmrides nautiques pour trouver
la latitude et la longitude en mer contenaient plus de mille
erreurs, il choua faute de financement construire une
machine mcanique capable de faire des calculs avec un haut
degr de prcision.
Cette machine (aujourd'hui construite d'aprs les plans de
l'poque) fonctionne parfaitement : C'est l'anctre des
ordinateurs.
Il apporta une contribution importante la cryptanalyse: il
russit casser le chiffre de Vigenre, probablement en 1854
car sa dcouverte resta ignore en l'absence d'crit. Pendant
ce temps, un officier prussien la retraite, Friedrich Wilhelm
Kasiski (1805-1881), parvint au mme rsultat et publia en 1863 "Die Geheimschriftren und die Dechiffrirkunst".

Cryptologie

Page 9 / 50

3.6.1
KQOWE
KOYSS
WUUNE
WVBPN
SKHFR
DGMUC
XKLNE
JKNEE

Cryptanalyse commente d'un chiffre de Vigenre


FVJPU
IWCTU
JUUQE
LGOYL
SEIUE
GOCRU
IWCWO
DCLDH

JUUNU
AXYOT
APYME
SKMTE
VGOYC
WGNMA
DCCUL
WTVBU

KGLME
APXPL
KQHUI
FVJJT
WXIZA
AFFVN
WRIFT
VGFBI

KJINM
WPNTC
DUXFP
WWMFM
YGOSA
SIUDE
WGMUS
JG

WUXFQ
GOJBG
GUYTS
WPNME
ANYDO
KQHCE
WOVMA

MKJBG
FQHTD
MTFFS
MTMHR
EOYJL
UCPFC
TNYBU

WRLFN
WXIZA
HNUOC
SPXFS
WUNHA
MPVSU
HTCOC

FGHUD
YGFFN
ZGMRU
SKFFS
MEBFE
DGAVE
WFYTN

WUUMB
SXCSE
WEYTR
TNUOC
LXYVL
MNYMA
MGYTQ

SVLPS
YNCTS
GKMEE
ZGMDO
WNOJN
MVLFM
MKBBN

NCMUE
SPNTU
DCTVR
EOYEE
SIOFR
AOYFN
LGFBT

KQCTE
JNYTG
ECFBD
KCPJR
WUCCE
TQCUA
WOJFT

SWREE
GWZGR
JQCUS
GPMUR
SWKVI
FVFJN
WGNTE

FGHUD
YGFFN
ZGMRU
SKFFS
MEBFE
DGAVE
WFYTN

WUUMB
SXCSE
WEYTR
TNUOC
LXYVL
MNYMA
MGYTQ

SVLPS
YNCTS
GKMEE
ZGMDO
WNOJN
MVLFM
MKBBN

NCMUE
SPNTU
DCTVR
EOYEE
SIOFR
AOYFN
LGFBT

KQCTE
JNYTG
ECFBD
KCPJR
WUCCE
TQCUA
WOJFT

SWREE
GWZGR
JQCUS
GPMUR
SWKVI
FVFJN
WGNTE

Phase 1 : Trouver la longueur de la cl


tape 1 : Soulignez les rptitions de 3 caractres ou plus :
KQOWE
KOYSS
WUUNE
WVBPN
SKHFR
DGMUC
XKLNE
JKNEE

FVJPU
IWCTU
JUUQE
LGOYL
SEIUE
GOCRU
IWCWO
DCLDH

JUUNU
AXYOT
APYME
SKMTE
VGOYC
WGNMA
DCCUL
WTVBU

KGLME
APXPL
KQHUI
FVJJT
WXIZA
AFFVN
WRIFT
VGFBI

KJINM
WPNTC
DUXFP
WWMFM
YGOSA
SIUDE
WGMUS
JG

WUXFQ
GOJBG
GUYTS
WPNME
ANYDO
KQHCE
WOVMA

MKJBG
FQHTD
MTFFS
MTMHR
EOYJL
UCPFC
TNYBU

WRLFN
WXIZA
HNUOC
SPXFS
WUNHA
MPVSU
HTCOC

tape 2 : Pour chaque rptition, mesurer la priode


Squence rpte

Distance

WUU

95

EEK

200

WXIZAYG

190

NUOCZGM

80

DOEOY

45

GMU

90

tape 3 : Pour chaque priode, dcomposer en facteurs premiers et regarder quel facteur est commun tous :
Longueurs de clef possibles
Squence rpte

Espace de rptition

19

WUU

95

EEK

200

WXIZAYG

190

NUOCZGM

80

DOEOY

45

GMU

90

La cl est ici longue de 5 caractres.

Phase 2 : Trouver la 1er lettre du mot cl


tape 1 : Faire une analyse de frquence seulement sur
les caractres 1, 6, 11, ...
On obtient ici :
En rouge, l'analyse de frquence modulo 5
En bleu le diagramme de frquence des lettres en
franais.
tape 2 : On dcale pour faire correspondre
On dcale les diagrammes pour mettre le pic du W sur
le E
... L'ensemble correspond peut prs : On la premire lettre de la cl.
Cryptologie

Page 10 / 50

Avec W = 23 et E = 5, c'est la (23 5 + 1= 19eme) soit


S
Phase 3, 4, 5 et 6 : On recommence pour avoir les 5
lettres du mot cl.
Le mot cl est SCUBA
On peut dchiffrer le cryptogramme :
Soit :
SOUVE
QUISU
INELE
NTPIT
GEURA
SONBE
BLEAU

NTPOU
IVENT
SONTI
EUSEM
ILECO
CAVEC
PRINC

RSAMU
INDOL
LSDEP
ENTLE
MMEIL
UNBRU
EDESN

SERLE
ENTSC
OSESS
URSGR
ESTGA
LEGUE
UEESQ

SHOMM
OMPAG
URLES
ANDES
UCHEE
ULELA
UIHAN

ESDEQ
NONSD
PLANC
AILES
TVEUL
UTREM
TELAT

UIPAG
EVOYA
HESQU
BLANC
ELUIN
IMEEN
EMPET

EPREN
GELEN
ECESR
HESCO
AGUER
BOITA
EETSE

NENTD
AVIRE
OISDE
MMEDE
ESIBE
NTLIN
RITDE

ESALB
GLISS
LAZUR
SAVIR
AUQUI
FIRME
LARCH

ATROS
ANTSU
MALAD
ONSTR
LESTC
QUIVO
ERBAU

VASTE
RLESG
ROITS
AINER
OMIQU
LAITL
DELAI

SOISE
OUFFR
ETHON
ACOTE
EETLA
EPOET
RE

AUXDE
ESAME
TEUXL
DEUXC
IDLUN
EESTS

SMERS
RSAPE
AISSE
EVOYA
AGACE
EMBLA

Soit encore :

Souvent pour s'amuser les hommes d'quipage prennent des albatros, vastes oiseaux des mers, qui suivent, indolents compagnons de
voyage, le navire glissant sur les gouffres amers.
A peine les ont-ils dposs sur les planches que ces rois de l'azur, maladroits et honteux, laissent piteusement leurs grandes
ailes blanches, comme des avirons, traner ct d'eux.
Ce voyageur ail, comme il est gauche et veule, lui nagure si beau, qu'il est comique et laid. L'un agace son bec avec un brle-gueule,
l'autre mime en boitant l'infirme qui volait.
Le pote est semblable au prince des nues, qui hante la tempte et se rit de l'archer.
Charles Baudelaire
Au 19eme sicle, les cryptanalyses reprennent l'avantage.

Algorithmes de cryptographie symtrique

Les algorithmes de chiffrement symtrique se fondent sur une mme cl pour chiffrer et dchiffrer un message.
Le problme de cette technique est que la cl, qui doit rester totalement confidentielle, doit tre transmise au
correspondant de faon sre.
Ces algorithmes sont dit aussi cl secrte
Les trois algorithmes tudis prcdemment sont, bien sur des algorithmes cl secrte.

4.1

Cl et scurit

L'un des concepts fondamentaux de la cryptographie symtrique est la cl, qui est une information devant
permettre de chiffrer et de dchiffrer un message et sur laquelle peut reposer toute la scurit de la
communication. Un algorithme comme le ROT13 par exemple n'a pas de cl, il suffit de savoir que cette
mthode a t utilise pour chiffrer un message et on peut avoir accs au texte clair. En d'autres termes, ici, le
secret rside dans la mthode utilise. Ce type de secret ne satisfait pas les utilisateurs de chiffrement, car la
conception d'un bon algorithme est trs difficile, une fois dcouvert il n'offre plus de scurit, et tous les
messages qui ont t chiffr par lui deviennent accessibles.
4.1.1

Scurit calculatoire

Auguste Kerckhoffs (La cryptographie militaire, 1883) est certainement l'un des premiers avoir pleinement
compris cela : pour esprer tre sr, l'algorithme doit pouvoir tre divulgu.

Cryptologie

Page 11 / 50

Dit autrement, la scurit ne doit reposer que que la connaissance de la cl : C'est ce que l'on appelle le principe
de Kerckhoffs.
Il faut ajouter que cette cl doit pouvoir prendre suffisamment de valeurs pour qu'une attaque en force brute
essai systmatique de toutes les cls ne puisse tre mene bien car trop longue. On parle de scurit
calculatoire.
Cette scurit calculatoire est bien videmment dpendante du temps, les performances des moyens de calcul
allant croissant, un systme de chiffrement est confront une adversit toujours plus forte, alors que le
message chiffr ne change plus.
L'illustration de ce problme est le DES, ce systme est devenu obsolte cause du trop petit nombre de cls
qu'il peut utiliser (pourtant 256). On pense que, actuellement, 280 est un strict minimum.
titre indicatif, le dernier standard choisi par les Amricains en dcembre 2001, l'AES, utilise des cls dont la
taille est au moins de 128 bits, autrement dit il y en a 2128.
Pour donner un ordre de grandeur sur ce nombre, cela fait environ 3,4*10 38 cls possibles; l'ge de l'univers
tant de 1010 annes, si on suppose qu'il est possible de tester 1 000 milliards de cls par seconde (soit 3.2*10 19
cls par an) il faudra encore plus d'un milliard de fois l'ge de l'univers pour les essayer toutes.
Dans un tel cas on peut raisonnablement penser que notre algorithme est sr. Cependant, c'est faire une
hypothse trs forte sur l'algorithme que de supposer que le seul moyen de le casser est de mener une attaque
par force brute : nombreuses sont les failles que peuvent receler un algorithme et encore plus nombreuses sont
les mauvaises utilisations d'un algorithme.

4.2

Chiffre de Vernam

Le chiffre de Vernam, galement appel masque jetable est un algorithme de cryptographie


invent par Gilbert Vernam en 1917. Bien que simple, ce chiffrement est le seul qui soit
thoriquement impossible casser, mme s'il prsente d'importantes difficults de mise en
uvre pratique.
4.2.1

Principe

Le chiffrement par la mthode du masque jetable consiste combiner le message en clair


avec une cl prsentant les caractristiques trs particulires suivantes :

La cl doit tre une suite de caractres aussi longue que le message chiffrer.

Les caractres composant la cl doivent tre choisis de faon totalement alatoire.

Chaque cl, ou masque , ne doit tre utilise qu'une seule fois (d'o le nom de masque jetable).

L'intrt considrable de cette mthode de chiffrement, c'est que si les trois rgles ci-dessus sont respectes
strictement, le systme offre une scurit thorique absolue.
4.2.2

Chiffrement et dchiffrement la main

Le chiffrement la main par la mthode du masque jetable fut


notamment utilise par Che Guevara9 pour communiquer avec Fidel
Castro.
Exemple comment :
On veut chiffrer le message HELLO .
On choisit la cl : X M C K L
Pour cela, on attribue un nombre chaque lettre, par exemple le rang
dans l'alphabet, de 0 25. Ensuite on additionne la valeur de chaque lettre avec la valeur correspondante dans
le masque; enfin si le rsultat est suprieur 25 on soustrait 26 (calcul dit "modulo 26") :

Oui, le clbre fabriquant de T-shirts.

Cryptologie

Page 12 / 50

7 (H)
+ 23 (X)
= 30
= 4 (E)

4 (E)
12 (M)
16
16 (Q)

11 (L)
2 (C)
13
13 (N)

11 (L)
10 (K)
21
21 (V)

14 (O) message
11 (L) masque
25
masque + message
25 (Z) masque + message modulo 26

Le texte reu par le destinataire est EQNVZ .


Le dchiffrement s'effectue de manire similaire, sauf que l'on soustrait le masque au texte chiffr au lieu de
l'additionner. Ici encore on ajoute ventuellement 26 au rsultat pour obtenir des nombres compris entre 0 et 25
:
4 (E)
- 23 (X)
= -19
=
7 (H)

16 (Q)
12 (M)
4
4 (E)

13 (N)
2 (C)
11
11 (L)

21 (V)
10 (K)
11
11 (L)

25 (Z) message chiffr


11 (L) masque
14
message chiffr masque
14 (O) message chiffr - masque modulo 26

On retrouve bien le message initial HELLO .


4.2.3

Problme de la transmission des cls

La seule mthode sre pour transmettre les cls au correspondant est le transport physique, typiquement dans
une valise diplomatique. Aucune transmission sur un rseau n'est acceptable, une interception ne pouvant
jamais tre totalement exclue.
Le transport de la cl devient le point faible de Graal cryptographique qu'est un chiffre incassable.
4.2.4

Difficult de produire une cl parfaitement alatoire

Le fait que la cl soit constitue d'une suite de caractres (ou de bits) totalement alatoires est une condition
essentielle de la scurit du chiffre de Vernam. Un dfaut du masque sur ce point peut suffire pour que le
cryptanalyse retrouve le message en clair.
Des cls parfaitement alatoires ne peuvent pas tre produites par un ordinateur : En effet ce dernier est une
machine fondamentalement dterministe, dont le rsultat est totalement prvisible quand on connat les calculs
programms et leurs donnes initiales. Pourtant de nombreux algorithmes ont t proposs dans ce but : On les
appelle des gnrateurs de nombres pseudo-alatoires. Leur rsultat est utile dans beaucoup de situations, mais
il ne rpond pas la condition du parfait ala, qui seul garantit la scurit absolue
Dit autrement, il n'est pas possible de prdire quel sera le prochain nombre tir au sort par un ordinateur. Mais
si vous me donnez un srie de 10.000 nombres, je trouve facilement le 10.001 eme
4.2.5

Problme de l'utilisation unique de chaque cl

Si le chiffre de Vernam est inviolable, c'est parce qu'une attaque en force brute la mme probabilit de trouver
toute les combinaisons de n lettres. Dans notre exemple (HELLO, cod EQNVZ) La cryptanalyse donnerait
la liste complte des mots de 5 lettres.
Mais si le mme masque est utilis pour deux messages diffrents, la solution devient triviale.
En pratique l'utilisation sre du masque jetable demande une organisation rigoureuse : Chaque cl doit tre
prcisment identifie et soigneusement trace, d'autant qu'elle est toujours fournie en deux exemplaires,
deux correspondants gographiquement distants. Imaginez qu'une chancellerie communique par cette mthode
avec ses dizaines d'ambassades rparties dans des pays du monde, chacune d'elle envoyant et recevant
plusieurs messages par jour, pouvant comporter un grand nombre de pages, et ceci pendant des annes : Il
faut une logistique lourde pour garantir la scurit absolue. Mais cette mthode a t et est encore largement
utilise par certains tats.
Pour garantir l'utilisation unique des cls, les agents du KGB utilisaient souvent des masques qui taient
imprims sur un papier spcial, celui-ci brlait presque instantanment et sans laisser de cendres.

Cryptologie

Page 13 / 50

4.2.6

Exercice

Cryptogramme :
Cl :

E
K

U
H

U
U

E
S

Q
I

E
O

J
P

S
K

Y
D

K
W

Y
E

T
B

U
Z

U
Q

E
K

I
P

K
H

O
U

W
V

K
C

O
K

B
O

Dchiffrez !

L'arrive de l'informatique

5.1

La machine Enigma

Aprs la dfaite de 1918, en bonne partie due des revers cryptologiques 10 l'Allemagne pense avoir trouv
la parade avec la machine Enigma.
L'histoire commence en 1919, quand un ingnieur hollandais, Hugo Alexander, dpose un brevet de machine
chiffrer lectromcanique. Ses ides sont reprises par le Dr Arthur Scherbius, qui cre Berlin une socit
destine fabriquer et commercialiser une machine crypter civile : l'Enigma. Cette socit fait un fiasco,
mais la machine Enigma a attir l'attention des militaires.
5.1.1

Le fonctionnement

Le codage effectu par la machine Enigma est la fois simple et astucieux. Chaque lettre est remplace par une
autre, l'astuce est que la substitution change d'une lettre l'autre.
La machine Enigma est alimente par une pile lectrique. Quand on appuie sur une touche du
clavier, une lampe s'allume qui indique quelle lettre code l'on substitue.
Concrtement, le circuit lectrique est constitu de plusieurs lments en chane :

le tableau de connexions : il permet d'changer des paires de l'alphabet, deux deux,


au moyen de fiches. Il y a 6 fiches qui permettent donc d'changer 12 lettres. Par
exemple, dans le tableau suivant (avec simplement 6 lettres), on a chang A et C, D et
F, tandis que B et D restent invariants.

les rotors : un rotor est un cylindre qui fait correspondre, a chaque lettre en entre une autre lettre.
Les rotors sont monts la suite les uns des autres. La machine Enigma
disposera, au gr de ses volutions successives, de 3 6 rotors. On a le
choix de les placer dans l'ordre que l'on souhaite (ce qui constituera une
partie de la cl).

Surtout, les rotors sont


mobiles. Ainsi, chaque fois
qu'on a tap une lettre, le
premier rotor tourne d'un
cran, et la permutation qu'il
engendre est change. Sur
la figure suivante : le rotor transforme initialement D en B.
Lorsqu'il tourne d'un cran, cette liaison lectrique D--->B se
retrouve remonte en C--->A.
Chaque rotor possde donc 26 positions. A chaque fois qu'une lettre est tape, le premier rotor tourne d'un
cran. Aprs 26 lettres, il est revenu sa position initiale, et le second rotor tourne alors d'un cran. On
recommence tourner le premier rotor, et ainsi de suite... Quand le second rotor a retrouv sa position initiale,
c'est le troisime rotor qui tourne d'un cran.

10 Voir chapitre 12.3 Le tlgraphe de Zimmerman et 12.4 le chiffre ADFGVX


Cryptologie

Page 14 / 50

Le rflecteur : Au bout des 3 rotors se situe une dernire


permutation qui permet de revenir en arrire. On permute
une dernire fois les lettres 2 par 2, et on les fait retraverser
les rotors, et le tableau de connexion.

Rsumons sur la machine simplifie suivante (6 lettres, 2 rotors)


comment est code la lettre A :

On traverse le tableau de connexions : on


obtient C.

On traverse les 2
successivement A et F.

On traverse le rflecteur o on obtient E, puis on


renvoie dans les rotors pour obtenir F, A et
finalement C aprs le tableau de connexions.

rotors

on

obtient

Remarquons que si on avait tap C, le courant aurait


circul dans l'autre sens et on aurait obtenu A.
5.1.2

Nombre de cls possibles


Il y a trois lments connaitre pour pouvoir coder un message avec la machine
Enigma.
1. la position des 6 fiches du tableau de connexion : (12 lettres parmi 26, 6
paires de lettres parmi 12) Soit 100.391.791.500 possibilits.
2. l'ordre des rotors : il y a autant d'ordre que de faons d'ordonner 3
lments : 3!=6.
3. la position initiale des rotors : chaque rotor ayant 26 lments, il y a
263=17.576 choix.
On multiplie tout cela, et on obtient plus de 10 16 possibilits, ce qui est norme pour
l'poque!

Il est important de remarquer que les permutations employes dans les rotors et les
rflecteurs ne peuvent pas tre considres comme faisant partie du secret. En
effet, toutes les machines utilisent les mmes, et il suffit donc d'en avoir une
disposition. Les Anglais, par exemple, en ont rcupr une pendant la guerre dans
un sous-marin coul. Ceci est une illustration du principe de Kerckhoffs, qui veut que tout le secret doit rsider
dans la cl secrte de chiffrement et de dchiffrement, et pas dans une quelconque confidentialit de
l'algorithme (ici de la machine) qui ne peut tre raisonnablement garantie.
Les allemands ont une confiance totale en la machine Enigma, dont ils fabriqueront 100.000 exemplaires. Au su
et au vu de tous, ils s'changeront des communications radios cryptes, persuads que jamais les Allis ne les
comprendront.

5.2

La cryptanalyse de la machine Enigma

C'tait impossible. Tout le monde le savait. Jusqu'au jour ou est arriv un imbcile qui ne le savait pas ... et
qui l'a fait !
Sir Winston Churchill
5.2.1

Point forts et faiblesses

L'une des failles de la machine Enigma est que jamais la lettre A ne sera code par un A. Cela limine un certain
nombre de cas inspecter.
Une des autres faiblesse dpend plutt du protocole utilis par les allemands : certains oprateurs (par exemple,
ceux qui informaient de la mto) prenaient peu de prcautions et commenaient toujours leurs messages par
les mmes mots (typiquement "Mon gnral...").
Cryptologie

Page 15 / 50

Les anglais connaissaient ainsi pour une partie du message la fois le texte clair et le texte cod, ce qui aide
retrouver la cl. Et comme c'est la mme cl qui sert pour toutes les machines Enigma de l'arme allemande
pour un jour donn, une erreur de protocole dans un message peut compromettre la scurit de tous les
autres !
5.2.2

Le travail des Polonais

Ds 1933 et jusqu'au dbut de la guerre, grce aux renseignements recueillis par un militaire franais (Gustave
Bertrand) et au travail de trois mathmaticiens polonais (Marian Rejewski, Jerzy Rzicki et Henryk Zygalski), le
"Polski Biuro Szyfrw" sait dcrypter les messages allemands, chiffrs avec la machine Enigma, exploitant une
faille dans la procdure de dbut de transmission (Les oprateurs allemand saisissaient deux fois les trois
premires lettres du message).

Marian Rejewski

Jerzy Rzicki

Henryk Zygalski

Mme si ces trois lettres sont inconnues, le nombre de cblages qui peuvent transformer ces trois lettres en une
squence particulire sont limits. Rejewski les appelle des chanes .
5.2.3

Trouver les bonnes chanes

Le nombre de chanes possibles se monte 105 456 et, l'poque, en l'absence d'une puissance de calcul
suffisante, la recherche est quasi-impossible. L'quipe de Rejewski dcouvre plusieurs techniques pour acclrer
les calculs. L'une d'entre elles fait appel des feuilles transparentes, avec les schmas des rotors. Les feuilles
sont superposes et les lettres composant une chane dite impossible sont rayes. la fin de l'opration, les
trois lettres restantes donnent le code utilis pour l'en-tte.
Malgr cette performance, la recherche manuelle n'en demeure pas moins trs pnible. Les Polonais
construisent alors une bombe cryptologique , vritable calculateur lectromcanique qui date de 1938. Six
exemplaires sont monts Varsovie dans le bureau du chiffre juste avant le dbut de la Seconde Guerre
mondiale. Chacune contient l'quivalent de six machines Enigma alimentes lectriquement. Son volume est par
contre considrable, l'quivalent d'un atelier pour 100 personnes, mais les gains sont significatifs : il suffit de
deux heures pour obtenir la cl.
Les Polonais seront ainsi capables de dchiffrer une bonne
partie des transmissions de l'arme allemande ds 1933,
durant la Guerre civile espagnole et ceci jusqu' l'aube de la
Seconde Guerre mondiale.
5.2.4

L'invasion allemande

En 1939, les Allemands ont complexifi la structure de leur


machine : Jusqu'alors, seuls trois rotors taient employs mais
l'arme allemande introduit deux rotors supplmentaires. De
plus, le dbut de la guerre marque l'arrt de la procdure de
rptition du code au dbut des messages et tous les efforts
des Polonais sont rduits nant puisque leur cryptanalyse
repose sur cette redondance.
Il est probable que le service cryptographique de l'arme
allemande eut vent des progrs polonais ou tout au moins souponne ou mme dcouvre une faille dans leur
procd de chiffrement.
Les Polonais partagent alors le rsultat de leurs travaux avec la France et les Britanniques, devenus leurs allis.
Durant l't 1939, ils fournissent la France et au Royaume-Uni des copies d'Enigma, la description prcise de
l'attaque, la technique de la grille et les plans de la bombe cryptographique.
En septembre 1939, l'invasion de la Pologne par les Nazis dbute. Les cryptologues polonais vacuent dans
Cryptologie

Page 16 / 50

l'urgence. Ils atteignent la France. Peu avant l'invasion de la France en mai 1940, le mathmaticien britannique
Alan Turing demeure quelques jours au PC Parisien o il sera briff par ses confrres polonais.
Aprs l'armistice, les cryptologues se dplacent dans le sud de la France et en Algrie. Rejewski et Zygalski
fuient travers l'Espagne o ils seront temporairement emprisonns, le Portugal et finalement Gibraltar d'o ils
pourront gagner le Royaume-Uni. Rycki aura beaucoup moins de chance puisqu'il meurt noy lors d'un
naufrage en 1942 au sud de la France, aprs un voyage en Algrie.
5.2.5

Bletchley Park
La cryptanalyse d'Enigma tait devenue entre temps une affaire
britannique et amricaine.
C'est Alan Turing qui va s'occuper de l'analyse de l'Enigma. Turing est le
chef de la huitime section Bletchley Park,
un manoir proche de Londres o se sont
retranchs
tous
les
cryptologues
et
mathmaticiens.

Les attaques Britanniques font appel


l'analyse des mots probables. Les messages avaient de forte chance de contenir des
termes comme Heil Hitler , Panzer , Fhrer , Stuka , etc.
Les cryptologues pouvaient a posteriori deviner le contenu des messages en
fonction de l'actualit et des assauts ennemis.
En faisant quelques hypothses sur le contenu et sachant qu'une lettre est
obligatoirement modifie lors du chiffrement, il n'tait pas impossible de retrouver
une partie du texte chiffr en essayant tous les alignements possibles. Cette
attaque ressemblait celle des Polonais qui tentaient de deviner l'en-tte des messages. Turing avait dcouvert
des clicks , c'est--dire des paires de lettres qui apparaissaient plusieurs fois entre le message chiffr et sa
version dchiffre (n'oublions pas qu'il avait des machines Enigma sa disposition pour tester). Comme Enigma
est rversible, une correspondance A->J est quivalente J->A.
Pour illustrer ce principe, prenons la phrase suivante que l'on suppose prsente dans le message original :
INTEROSURPRISELASEMAINEPROCHAINE .
On intercepte le message chiffr :
YAOPWMKLTBFZLVCXKTRTOMMYFLOWERS .

Cryptologie

Page 17 / 50

Effectuons une premire comparaison :

I N T E R O S U R P R I S E L A S E M A I N E P O C H A I N E
Y A O P WM K L T B F Z L V C X K T R T O M M Y F L O W E R S
L'attaque de Turing se base sur la recherche de boucles entre le texte en clair et chiffr. La troisime lettre du
message en clair T donne un O chiffr.
La 6e lettre du message en clair est un O qui se transforme en M .
La 19e lettre du message en clair est un M qui se transforme en R .
Finalement, la 9e lettre du crible est un R , il se transforme en T et nous voil donc avec une boucle car
elle commence et se termine avec la mme lettre.

I N T E R O S U R P R I S E L A S E M A I N E P O C H A I N E
Y A O P WM K L T B F Z L V C X K T R T O M M Y F L O W E R S
La bombe testait en fait les configurations qui permettaient d'obtenir des boucles.

Une bombe de Turing11


Pour toutes les possibilits, on cherchait si le crible tait compatible avec la boucle observe. Si ce n'tait pas le
cas, on continuait avec la configuration suivante.
Le nombre de possibilits se montait 26*26*26*60 = 1.054.560, impossible la main mais pas impossible
pour la bombe de Turing. Pour calculer ces combinaisons, on ne pouvait se contenter d'une machine. Les
Britanniques vont introduire une paralllisation astucieuse de la machine Enigma.
Un norme travail devait tre fait en amont pour trier les messages et retenir ceux qui taient intressants. Avec
suffisamment de messages, il tait possible de dterminer les paramtres journaliers. D'autres oprateurs
ajoutaient un en-tte constante selon le type de message, par exemple WET (de Wetter, temps / mto en
allemand) s'il s'agissait d'un rapport mto.
Plus tard dans la guerre, ces bulletins d'informations mtorologiques furent une pice matresse de la
cryptanalyse : les mtorologues en mer rdigeaient les messages et les envoyaient en Allemagne l'aide d'un
systme de chiffrement moins robuste qu'Enigma (la mto n'tant pas une information vritablement secrte).
Une fois arrivs dans les quartiers gnraux, ces messages taient expdis quasiment sans modifications aux
U-Boot, mais cette fois-ci en chiffrant avec Enigma. Les Allis disposaient de textes clairs qu'ils pouvaient ainsi
mettre en rapport avec les textes chiffrs d'Enigma dans le but d'tablir des cribles.
5.2.6

Alan Turing

Le travail d'Alan Turing pour dchiffrer les messages allemands a profondment chang le cours de la seconde
guerre mondiale.
11 La machine, pas la secrtaire !
Cryptologie

Page 18 / 50

L'homosexualit de Turing lui valut d'tre perscut et brisa sa carrire. En 1952, accus d'indcence manifeste
et de perversion sexuelle il est inculp. Alors qu'il avait t consacr en 1951, en devenant membre de la Royal
Society, partir de 1952 il sera cart des plus grands projets scientifiques.
En 1954, il meurt d'empoisonnement en mangeant une pomme contenant du cyanure. Beaucoup de gens
pensent que cette mort est intentionnelle et elle fut prsente comme telle ( Blanche-Neige de Walt Disney
tait son film prfr).
Parmi les nombreuses hypothses circulant sur l'origine du logo d'Apple, l'une d'elle est que la pomme serait
celle mordue par Turing12
5.2.7

Prix Turing

Depuis 1966, le prix Turing (Turing Award en anglais) est annuellement dcern par
l'Association for Computing Machinery des personnes ayant apport une contribution
scientifique significative la science de l'informatique. Cette rcompense est souvent
considre comme le prix Nobel de l'informatique.
Le titulaire du prix 2007 est le Grenoblois Joseph Sifakis

5.3

Lorenz Vs Colossus

Une autre histoire, peut-tre encore plus impressionnante est celle des machines de Lorenz.
5.3.1

SZ40 et SZ42

Les machines de Lorenz SZ 40 et SZ 42 (Schlsselzusatz,


signifiant pice jointe chiffre ) taient des machines
allemandes de chiffrement utilises pendant la Seconde Guerre
mondiale pour les envois par tlscripteur. Les cryptographes
britanniques, qui se rfraient de faon gnrale au flux des
messages chiffrs allemands envoys par tlscripteur sous
l'appellation Fish (Poissons), ont nomm la machine et ses
messages Tunny (Thons). Pendant que la renomme machine
Enigma servait l'arme, la machine de Lorenz tait destine
aux communications de haut niveau entre le quartier-gnral du
Fhrer et les
quartiersgnraux des
groupes d'armes, qui pouvaient s'appuyer sur cet appareil
lourd.
Les cryptanalystes de Bletchley Park ont compris le
fonctionnement de la machine ds janvier 1942 sans jamais en
avoir vu un seul exemplaire. Cela fut possible cause d'une
erreur commise par un oprateur allemand. Le 30 aot 1941,
un message de 4 000 caractres fut transmis; cependant, le
message n'ayant pas t reu correctement l'autre bout, celuici fut retransmis avec la mme cl (une pratique formellement
interdite par la procdure). De plus, la seconde fois le message
fut transmis avec quelques modifications, comme l'utilisation de
certaines abrviations. partir de ces deux textes chiffrs, John Tiltman a t en mesure de reconstituer la
fois le texte en clair et le chiffrement. D'aprs le chiffrement, toute la structure de la machine fut reconstruite
par W. T. Tutte.

12 L'hommage prsum a toujours t dmenti par Apple (la pomme faisant rfrence Newton).
Cryptologie

Page 19 / 50

Plusieurs machines complexes


furent
labores
par
les
Britanniques pour s'attaquer ce
type de messages. La premire,
de la famille connue sous le nom
de Heath Robinsons, utilisait
des bandes de papier circulant
rapidement le long de circuits
lectroniques
logiques,
pour
dcrypter le flux chiffr.
La suivante fut l'ordinateur
Colossus, le premier ordinateur
lectronique
numrique
du
monde
(cependant,
comme
ENIAC, il ne comportait aucun
logiciel
embarqu
et
tait
programm par l'intermdiaire de
cartes
enfichables,
de
commutateurs et de panneaux
de connexion). Il tait la fois plus rapide et plus fiable que les Heath Robinsons ; son utilisation permit aux
Britanniques de lire une grande part des communications de type Tunny.
5.3.2

Le Colossus

Contrairement Enigma, qui a t vaincue par par force brute, Lorenz a t cass. Ainsi, le texte clair tait recalcul depuis le texte chiffr, sans rcuprer la cl. Colossus a t conu pour raliser cette opration. tant
donn qu'il ne travaillait pas comme la machine Lorenz, tout le concept de Colossus tait diffrent de celui de la
machine d'encodage-dcodage originale.
5.3.3 Reconstitution de la machine
originale
Les 10 machines Colossus originales furent dtruites
aprs la guerre mondiale afin que leur fonctionnement
reste secret. Sur la base d'une poigne de
photographies et de quelques schmas lectriques, le
britannique Tony Sale conduisit un projet de
reconstruction d'un Colossus. Ce projet aboutit en
novembre 2007, aprs 14 ans de travail.

5.4

Conclusion
Eh oui, le premier ordinateur au
monde a t construit pour
cryptanaliser un message
Et il est rest secret pendant plus de 30 ans.
Au fait, vous ne savez toujours pas le nom du gnie qui construit le Colossus ?
<- C'est lui.
Son nom est cach dans le paragraphe 5.2.5

Mr X (Inventeur du 1er ordinateur)


Les travaux d'Alan Turing ont t dterminant pour la mise au point des ordinateurs (Machines de Turing).
On voit travers ces deux histoires combien l'informatique doit la cryptologie !

Cryptologie

Page 20 / 50

La cryptographie moderne

A partir de ce point, la cryptographie entre dans son re moderne avec l'utilisation intensive des ordinateurs, c'est--dire
partir des annes septante. Dans la cryptographie moderne, les textes sont remplacs par des chiffres. Via l'utilisation de la
table ASCII, par exemple. Les problmes sont de plus en plus mathmatiques.

6.1

Les chiffrements par blocs

Invent par Horst Feistel (1915 1990) et son chiffrement Lucifer13.


C'est un chiffre cl priv symtrique.
C'est dire que non seulement on utilise la mme cl pour chiffrer et dchiffrer (Cl priv),
mais on utilise le mme algorithme pour chiffrer et dchiffrer (Comme le ROT13)
6.1.1

Fonctionnement

Principe du schma de Feistel avec un texte de 8 bits, une cl de 4 bits et 4 tours ou rondes.
Soit le texte en clair 0100 1001
Et la cl : 1010
Ronde N 1

tape 1 : On dcoupe le bloc chiffrer en deux parties.


G0 et D0 (pour Gauche, ronde N0 et Droite N0)
G0 : 0100

D0 : 1001

tape 2 : On calcul Z0 un ou exclusif entre la cl et D0 :


1001
1010
-----0011
tape 3 : On calcul D1 un ou exclusif entre Z0 et G0 : 0111
tape 4 : G1 vaut D0 : 1001
Et voila, la 1ere ronde est finie.
Ronde N 2
On recommence les mmes manipulations,
On obtient

Z1 : 1101
G2 : 0111
D2 : 0100
Ronde N 3
Idem,
On obtient

Z2 : 1110
G3 : 0100
D3 : 1001
Ronde N 4 :
attention, la dernire ronde utilise un schma diffrent :
tape 1 : On calcul Z4 un ou exclusif entre la cl et D3 (a , ca na change
pas) :
0011
tape 2 : On calcul G4 un ou exclusif entre Z4 et G3 : 0111
tape 3 : D4 vaut D3 : 1001
13 Le nom de Lucifer vient de Demon qui tait obtenu en tronquant Dmonstration . Le systme d'exploitation sur lequel
travaillait Feistel ne pouvant pas supporter des noms aussi longs ...
Cryptologie

Page 21 / 50

Et voila. On le cryptogramme : 0111 1001


6.1.2

Exercice : Dchiffrez le cryptogramme suivant

Sur le principe du schma de Feistel avec un texte de 8 bits, une cl de 4 bits et 4 tours ou rondes.
Soit le Cryptogramme 0111 1001
Et la cl : 1010

6.2

D.E.S (Data Encryption Standart)

6.2.1

L'histoire

En mai 1973, le National Bureau of Standards amricain demande la cration d'un chiffrement utilisable par les
entreprises. cette poque, IBM dispose dj de Lucifer, l'algorithme d'Horst Feistel.
En bonne logique, cet algorithme aurait d tre slectionn par le NBS. En pratique, ce fut presque le cas : la
NSA demanda ce que Lucifer soit modifi, par ses soins. Ainsi fut cr le DES (Data Encryption Standart), qui
fut adopt comme standard en novembre 1976.
Cela suscita des rumeurs selon lesquelles la NSA aurait volontairement affaibli l'algorithme, dans le but de
pouvoir le casser. (L'algorithme initialement conu par IBM utilisait une cl de 112 bits. L'intervention de la NSA
a ramen la taille de cl 56 bits.)
6.2.2

Utilisation

DES a t l'algorithme officiel de l'administration amricaine jusqu'en 1999. C'est dire que tout les
document confidentiel dfense et secret dfense taient crypte DES.
Le systme Unix qui date de cette priode utilise encore le DES pour crypter les mots de passe.
6.2.3

La fin du DES

Le DES fait l'objet de trs nombreuses attaques. Mais c'est l'augmentation de la puissance des ordinateurs qui
l'a rendu obsolte.
Un chiffrage DES offre 254 possibilits de cls. Ce qui reprsente un nombre de combinaisons raliste pour
une grosse puissance de calcul. En 1998. Deep Crack un ordinateur conu par IBM pour cet usage pouvait
casser lune cl DES en moins d'une semaine.
Plus tard, le calcul distribu sut Internet, en utilisant les ordinateurs des particuliers, a prouv son efficacit en
cassant une cl en moins de 24 heures.
De plus, des attaques permettent de rduire le nombre de combinaisons seulement 243. soit plusieurs
milliards de fois moins que 254
6.2.4

Le triple DES

Le Triple DES (aussi appel 3DES) est un algorithme de chiffrement


symtrique enchanant 3 applications successives de l'algorithme DES sur le
mme bloc de donnes de 64 bits, avec 2 ou 3 cls DES diffrentes. Cette
utilisation de trois chiffrements DES a t dveloppe par Walter Tuchman.
Mme quand 3 cls de 56 bits diffrentes sont utilises, la force effective de
l'algorithme n'est que de 112 bits et non 168 bits, cause d'une attaque
type rencontre au milieu .
Bien que normalis, bien connu, et assez simple implmenter, il est assez lent.

Cryptologie

Page 22 / 50

6.3

A.E.S (Advanced Encryption Standard)


AES est un algorithme de chiffrement symtrique, choisi en octobre 2000 par le NIST
pour tre le nouveau standard de chiffrement pour les organisations du gouvernement
des tats-Unis.
6.3.1

Origine

Il est issu d'un appel candidatures international lanc en janvier 1997 et ayant reu

15 propositions. Au bout de cette valuation, ce fut le candidat Rijndael (prononcer


"Rayndal"), du nom de ses deux concepteurs Joan Daemen et Vincent Rijmen (tous les deux de nationalit
belge) qui a t choisi.
6.3.2

Principe de fonctionnement

L'algorithme prend en entre un bloc de 128 bits (la cl fait 128, 192 ou
256 bits. Les 128 bits en entre sont mlangs selon une table dfinie
au pralable.
Ces octets sont ensuite placs dans une matrice de 4x4 lments et ses
lignes subissent une rotation vers la droite.
L'incrment pour la rotation varie selon le numro de la ligne.
Une transformation est ensuite applique sur la matrice par un XOr avec
une matrice cl.
Finalement, un XOr entre la matrice et une autre matrice permet d'obtenir
une matrice intermdiaire.
Ces diffrentes oprations sont rptes plusieurs fois et dfinissent un
tour.
Pour une cl de 128, 192 ou 256, AES ncessite respectivement 10, 12 ou
14 tours.
L'algorithme AES n'est pas cass la date d'aujourd'hui.

6.4
6.4.1

RC4
Histoire

RC4 a t conu par Ronald Rivest (Le 'R' de RSA) en 1987. Officiellement nomm Rivest Cipher 4, l'acronyme
RC est aussi surnomm Ron's Code
Il est utilis dans des protocoles comme WEP, WPA ainsi que TLS. Les raisons de son succs sont lies sa
grande simplicit et sa vitesse de chiffrement. Les implmentations
matrielles ou logicielles tant faciles mettre en uvre.
6.4.2

Principe

La clef RC4 permet dinitialiser un tableau de 256 octets en rptant


la clef autant de fois que ncessaire pour remplir le tableau.
Par la suite, des oprations trs simples sont effectues : les octets
sont dplacs dans le tableau, des additions sont effectues, etc. Le
but est de mlanger autant que possible le tableau.
Au final on obtient une suite de bits pseudo-alatoires qui peuvent tre utiliss pour chiffrer le message via un
XOR (Comme dans le cas d'un masque jetable).
6.4.3

Attaque de Fluhrer, Mantin et Shamir (attaque FMS)

En 2001, Scott Fluhrer, Itsik Mantin et Adi Shamir (Le 'S' de RSA, donc le collgue de Rivest) ont prsent une
Cryptologie

Page 23 / 50

nouvelle attaque.
Les premiers octets du flux utilis pour le chiffrement ne sont pas alatoires. Si l'on se contente de concatner la
cl et le vecteur d'initialisation pour produire la nouvelle cl, alors il est possible de dcouvrir des informations
en utilisant un grand nombre de messages chiffrs avec cette cl augmente. C'est ce type d'attaque qui a t
utilise pour casser le WEP des rseaux sans fil, une action qui a abouti la mise en place d'une version
amliore du chiffrement, savoir WPA. Dans le cas du WEP, un vecteur d'initialisation de 24 bits est utilis, ce
qui permet de produire environ 16,8 millions cls supplmentaires partir d'une cl principale (celle du point
d'accs). Ce nombre est insuffisant eu gard les possibilits de l'attaque FMS.

Algorithmes de cryptographie asymtrique

7.1

Principe

Dans les annes 1970, la cryptographie n'est plus seulement l'apanage des militaires. Les banques, pour la
scurit de leurs transactions, sont devenues de grandes consommatrices de messages cods. Les chiffrements
disponibles alors, comme le DES, sont sres, eu gard aux possibilits d'attaque contemporaines. Le problme
essentiel est alors la distribution des cls, ce secret que l'envoyeur et le destinataire doivent partager pour
pouvoir respectivement chiffrer et dchiffrer. Les armes et les tats ont recours aux valises diplomatiques pour
ces changes, mais ceci n'est pas accessible aux civils...
En 1976, Whitfield Diffie et Martin Hellman propose une nouvelle faon de chiffrer, qui contourne cet cueil.
Commenons par expliquer leur procd de faon image.

Whitfield Diffie

Martin Hellman

Whitfield.diffie@sun.com14

Un ami doit vous faire parvenir un message trs important par la poste, mais vous n'avez pas confiance en votre
facteur que vous souponnez d'ouvrir vos lettres.

Vous envoyez votre ami un cadenas sans sa cl, mais en position ouverte.

Celui-ci glisse alors le message dans une boite qu'il ferme l'aide du cadenas, puis il vous envoie cette
boite.

Le facteur ne peut pas ouvrir cette boite et surtout, la cl n'a pas voyag !

La cryptographie cl publique repose exactement sur ce principe. On dispose d'une fonction P sur les entiers,
qui possde un inverse S. On suppose qu'on peut fabriquer un tel couple (P,S), mais que connaissant
uniquement P, il est impossible (ou au moins trs difficile) de retrouver S.

P est la cl publique, que vous pouvez rvler quiconque. Si Louis veut vous envoyer un message, il
vous transmet P(message).

S est la cl secrte, elle reste en votre seul possession. Vous dcodez le message en calculant
S(P(message))=message.

La connaissance de P par un tiers ne compromet pas la scurit de l'envoi des messages cods,
puisqu'elle ne permet pas de retrouver S. Il est possible de donner librement P, qui mrite bien son nom
de cl publique.

Bien sr, il reste une difficult : comment trouver de telles fonctions P et S. Diffie et Hellman n'ont pas euxmme propos de fonctions satisfaisantes, mais ds 1977, D.Rivest, A.Shamir et L.Adleman trouvent une
solution possible, la meilleure et la plus utilise ce jour, la cryptographie RSA. Le RSA repose sur la dichotomie
suivante :
14 On fait quand mme un boulot formidable : On peut communiquer avec les pionniers. Imaginez ce que donnerait un physicien pour avoir
le mail de Newton
Cryptologie

Page 24 / 50

Il est facile de fabriquer de grands nombres premiers p et q (pour fixer les ides, 100 chiffres).

tant donn un nombre entier n=pq produit de 2 grands nombres premiers, il est trs difficile de
retrouver les facteurs p et q.

La donne de n est la cl publique : elle suffit pour chiffrer. Pour dcrypter, il faut connaitre p et q, qui
constituent la cl prive.
Les algorithmes cl publique (on parle aussi de chiffrement asymtrique) ont pourtant un grave dfaut : ils
sont lents, beaucoup plus lents que leurs homologues symtriques. Pour des applications o il faut changer de
nombreuses donnes, ils sont inutilisables en pratique. On a alors recours des cryptosystmes hybrides. On
change des cls pour un chiffrement symtrique grce la cryptographie cl publique, ce qui permet de
scuriser la communication de la cl. On utilise ensuite un algorithme de chiffrement symtrique. Le clbre
PGP, notamment utilis pour chiffrer le courrier lectronique, fonctionne sur ce principe.

7.2

RSA

La mthode de cryptographie RSA a t invente en 1977 par Ron Rivest, Adi Shamir et Len Adleman, la suite
de la dcouverte de la cryptographie cl publique par Diffie et Hellman. Le RSA est encore le systme
cryptographique cl publique le plus utilis de nos jours. Il est intressant de remarquer que son invention est
fortuite : au dpart, Rivest, Shamir et Adleman voulaient prouver que tout systme cl publique possde une
faille.
7.2.1

Fonctionnement

1. Cration des cls : Bob cre 5 nombres p,q,n,e et d :


p et q sont deux grands nombres premiers distincts. Leur gnration se fait au hasard.
n est un entier tel que n = pq.
e est un entier premier et d un entier tel que ed=1 modulo [(p-1)(q-1)]. Autrement dit, ed-1 est
un multiple de (p-1)(q-1).
Exemple simplifi
Deux petits nombres 1er : p = 5 et q = 7
n = 5 * 7 = 35
n' = (5 1) * (7 1) = 24
On cherche e et d tels que :
e est premier
et ed = 1 modulo 24
ed = 1
Non, trop petit
ed = 25
Ok, mais e = d = 5 et alors Cl priv = cl
publique => Faille de scurite.
ed = 49
Pareil, e = d
ed = 73
73 est 1er, rat
ed = 97
97 est 1er
ed = 121
11 au car, encore rat
ed = 165
165 = 5 * 33, et 5 est 1er : Ok
On Cl publique = RSA(35, 5) et cl prive = RSA(35, 33).
2. Distribution des cls : Le couple (n,e) constitue la cl publique de Bob. Il la rend disponible par

Cryptologie

Page 25 / 50

exemple en la mettant dans un annuaire. Le couple (n,d) constitue sa cl prive. Il la garde secrte.
3. Envoi du message cod : Alice veut envoyer un message cod Bob. Elle le reprsente sous la forme
d'un ou plusieurs entiers M compris entre 0 et n-1. Alice possde la cl publique (n,e) de Bob. Elle
calcule C=Me modulo n. C'est ce dernier nombre qu'elle envoie Bob.
4. Rception du message cod : Bob reoit C, et il calcule grce sa cl prive D=C d (modulo n) Il a
donc reconstitu le message initial.
7.2.2

Exemple comment
1. Choix de la clef

Alice choisit deux entiers premiers p et q (Ici on prend des nombres 7 bits soit infrieurs 27 (128)) et fait
leur produit n = pq. Puis elle choisit un entier e premier avec (p-1)(q-1). Enfin, elle publie dans un annuaire,
par exemple sur le web, sa clef publique: (RSA, n, e).
p = 53

q=97

donc n = 5141

e=7

et d = 4279

2. Chiffrement

Bob veut donc envoyer un message Alice. Il cherche dans l'annuaire la clef de chiffrement qu'elle a publie. Il
sait maintenant qu'il doit utiliser le systme RSA avec les deux entiers 5141 et 7. Il transforme en nombres son
message en remplaant par exemple chaque lettre par son rang dans l'alphabet.
"JEVOUSAIME" devient : "10 05 22 15 21 19 01 09 13 05".
Puis il dcoupe son message chiffr en blocs de mme longueur (En partant de la droite) reprsentant chacun
un nombre le plus grand possible tout en restant plus petit que n. Cette opration est essentielle, car si on ne
faisait pas des blocs assez longs (par exemple si on laissait des blocs de 2 dans notre exemple), on retomberait
sur un simple chiffre de substitution que l'on pourrait attaquer par l'analyse des frquences.
Son message devient : "010 052 215 211 901 091 305"
Un bloc B est chiffr par la formule C = Be mod n, o C est un bloc du message chiffr que Bob enverra
Alice.
010

(107) 5141 = 755

0755 (Sur 4 positions)

052

(52 ) 5141 = 1324

1324

215

(2157) 5141 = 1324

2823

...

Aprs avoir chiffr chaque bloc, le message chiffr s'crit : "0755 1324 2823 3550 3763 2237 2052".
3. Dchiffrement

Alice calcule partir de p et q, qu'elle a gards secrets, la clef d de dchiffrage (c'est sa clef prive). Celleci doit satisfaire l'quation ed mod ((p-1)(q-1)) = 1. Ici, d=4279
Chacun des blocs C du message chiffr sera dchiffr par la formule B = Cd mod n.

0755

(7554279) 5141 = 10

010

1324

(13244279) 5141 = 52

052

2823

(2823

...

) 5141 = 215

4279

215

Elle retrouve : "010 052 215 211 901 091 305"


En regroupant les chiffres deux par deux et en remplaant les nombres ainsi obtenus par les lettres
correspondantes, elle sait enfin que Bob l'aime secrtement, sans que personne d'autre ne puisse le savoir.
7.2.3

Exercice

Connaissant la cl publique (119, 5) de ce cryptogramme RSA 7 bits


1. Calculez (par tout les moyens votre disposition) p et q
Cryptologie

Page 26 / 50

2. Calculez d
3. Dchiffrez le cryptogramme suivant :
090 086 036 067 032 001 003 031 059 031
7.2.4

Le RSA est-il sr?

La solidit du RAS repose


uniquement sur la difficult
de dcomposer le nombre n
(public) en deux nombres
premiers !
Dit autrement, il suffit de
rsoudre l'quation n = pq
Le record tabli en 1999,
avec l'algorithme le plus
performant et des moyens
matriels considrables, est
la factorisation d'un entier
155 chiffres (soit une cl de 512 bits, 2512 tant proche de 10155).
Il faut donc, pour garantir une certaine scurit, choisir des cls plus grandes : les experts recommandent des
cls de 768 bits pour un usage priv, et des cls de 1024, voire 2048 bits, pour un usage sensible. Si l'on admet
que la puissance des ordinateurs double tous les 18 mois (loi de Moore), une cl de 2048 bits devrait tenir
jusqu'en ... 2079.

7.3

Signature lectronique : tre sr de l'expditeur.

La cryptographie cl publique permet de s'affranchir du problme de l'change de la cl, facilitant le travail de


l'expditeur. Mais comment s'assurer de l'authenticit de l'envoi? Comment tre sr que personne n'usurpe
l'identit d'Alice pour vous envoyer un message? Comment tre sr qu'Alice ne va pas nier vous avoir envoy ce
message?
L encore, la cryptographie cl publique peut rsoudre ce problme. Alice veut donc envoyer un message
crypt Bob, mais Bob veut s'assurer que ce message provient bien d'Alice.
Ici on va appeler Pa la cl publique d'Alice, Sa sa cl prive. Pb et Sb pour Bob. Et M le message envoyer par
Alice.

Phase d'envoi : Alice calcule SA(M), l'aide de sa cl secrte, puis PB(SA(M)), l'aide de la cl

publique de Bob.
Phase de rception : A l'aide de sa cl prive, Bob calcule S B(PB(SA(M)))=SA(M). Seul lui peut
effectuer ce calcul (=scurit de l'envoi). Puis il calcule PA(SA(M))=M. Il est alors sr que c'est Alice qui
lui a envoy ce message, car elle-seule a pu calculer SA(M).

Contrairement certains utilisateurs, vous ne confondrez plus signature lectronique et image d'une
signature ajoute en bas de page

Remarquons pour terminer qu'une signature numrique est plus sre qu'une signature papier, car elle est
infalsifiable, inimitable : la signature change en effet chaque message!

Cryptologie

Page 27 / 50

7.4

Certificat lectronique : tre sr du destinataire.

Les algorithmes de chiffrement asymtrique sont bass sur le partage entre les diffrents utilisateurs d'une cl
publique. Gnralement le partage de cette cl se fait au travers d'un annuaire lectronique (gnralement au
format LDAP) ou bien d'un site web.
Toutefois ce mode de partage a une grande lacune : rien ne garantit que la cl est bien celle de l'utilisateur a
qui elle est associe. En effet un pirate peut corrompre la cl publique prsente dans l'annuaire en la remplaant
par sa cl publique. Ainsi, le pirate sera en mesure de dchiffrer tous les messages ayant t chiffrs avec la cl
prsente dans l'annuaire.
Un certificat permet d'associer une cl publique une entit (une personne, une machine, ...) afin d'en assurer
la validit. Le certificat est en quelque sorte la carte d'identit de la cl publique, dlivr par un organisme
appel autorit de certification (souvent note CA pour Certification Authority).
L'autorit de certification est charge de dlivrer les certificats, de leur assigner une date de validit (quivalent
la date limite de premption des produits alimentaires), ainsi que de rvoquer ventuellement des certificats
avant cette date en cas de compromission de la cl (ou du propritaire).
7.4.1

Structure d'un certificat

Les certificats sont des petits fichiers diviss en deux parties :


La partie contenant les informations
La partie contenant la signature de l'autorit de certification
La structure des certificats est normalise par le standard X.509 de l'UIT, qui dfinit les informations contenues
dans le certificat :

La version de X.509 laquelle le certificat correspond


Le numro de srie du certificat
L'algorithme de chiffrement utilis pour signer le
certificat
Le nom (DN, pour Distinguished Name) de l'autorit de
certification mettrice
La date de dbut de validit du certificat
La date de fin de validit du certificat
L'objet de l'utilisation de la cl publique
La cl publique du propritaire du certificat
La signature de l'metteur du certificat (thumbprint)

L'ensemble de ces informations (informations + cl publique du demandeur) est sign par l'autorit de
certification, cela signifie qu'une fonction de hachage cre une empreinte de ces informations, puis ce condens
est chiffr l'aide de la cl prive de l'autorit de certification; la cl publique ayant t pralablement
Cryptologie

Page 28 / 50

largement diffuse afin de permettre aux


utilisateurs de vrifier la signature avec la cl
publique de l'autorit de certification.
Lorsqu'un utilisateur dsire communiquer avec une
autre personne, il lui suffit de se procurer le
certificat du destinataire. Ce certificat contient le
nom du destinataire, ainsi que sa cl publique et
est sign par l'autorit de certification. Il est donc
possible de vrifier la validit du message en
appliquant d'une part la fonction de hachage aux
informations contenues dans le certificat, en
dchiffrant d'autre part la signature de l'autorit de
certification avec la cl publique de cette dernire
et en comparant ces deux rsultats.
7.4.2

Signatures de certificats

On distingue diffrents types de certificats selon le niveau de signature :

Les certificats auto-signs sont des certificats usage interne. Signs par un serveur local, ce type de
certificat permet de garantir la confidentialit des changes au sein d'une organisation, par exemple
pour le besoin d'un intranet. Il est ainsi possible d'effectuer une authentification des utilisateurs grce
des certificats auto-signs.

Les certificats signs par un organisme de certification sont ncessaires lorsqu'il s'agit d'assurer la
scurit des changes avec des utilisateurs anonymes, par exemple dans le cas d'un site web scuris
accessible au grand public. Le certificateur tiers permet d'assurer l'utilisateur que le certificat
appartient bien l'organisation laquelle il est dclar appartenir.

7.4.3

Types d'usages

Les certificats servent principalement dans trois types de contextes :

Le certificat client, stock sur le poste de travail de l'utilisateur ou embarqu dans un conteneur tel
qu'une carte puce, permet d'identifier un utilisateur et de lui associer des droits. Dans la plupart des
scnarios il est transmis au serveur lors d'une connexion, qui affecte des droits en fonction de
l'accrditation de l'utilisateur. Il s'agit d'une vritable carte d'identit numrique utilisant une paire de cl
asymtrique d'une longueur de 512 1024 bits.

Le certificat serveur install sur un serveur web permet d'assurer le lien entre le service et le propritaire
du service. Dans le cas d'un site web, il permet de garantir que l'URL et en particulier le domaine de la
page web appartiennent bien telle ou telle entreprise. Par ailleurs il permet de scuriser les
transactions avec les utilisateurs grce au protocole SSL.

Le certificat VPN est un type de certificat install dans les quipement rseaux, permettant de chiffrer
les flux de communication de bout en bout entre deux points (par exemple deux sites d'une entreprise).
Dans ce type de scnario, les utilisateurs possdent un certificat client, les serveurs mettent en oeuvre
un certificat serveur et les quipements de communication utilisent un certificat particulier (Type IPSec).

7.5

Infrastructure cl publique (PKI)

Une Infrastructure cls publiques (ICP) ou Infrastructure de Gestion de Clefs (IGC) ou encore Public Key
Infrastructure (PKI), est un ensemble de composants physiques (des ordinateurs, des quipements
cryptographiques, des cartes puces), de procdures humaines (vrifications, validation) et de logiciels
(systme et application) en vue de grer le cycle de vie des certificats lectroniques).
Une infrastructure cls publiques dlivre un ensemble de services pour le compte de ses utilisateurs.
En rsum, ces services sont les suivants :

Enregistrement des utilisateurs (ou quipement informatique),

Cryptologie

Page 29 / 50

Gnration de certificats,

Renouvellement de certificats,

Rvocation de certificats,

Publication des certificats,

Publication des listes de rvocation (comprenant la liste des certificats rvoqus),

Identification et authentification des utilisateurs (administrateurs ou utilisateurs qui accdent la PKI),

Archivage, squestre et recouvrement des certificats (option).

7.5.1

Rle d'une PKI

Une PKI dlivre des certificats numriques. Ces certificats permettent d'effectuer des oprations
cryptographiques, comme le chiffrement et la signature numrique qui offrent les garanties suivantes lors des
transactions lectroniques :

confidentialit : seul le destinataire (ou le possesseur) lgitime d'un bloc de donnes ou d'un message
pourra en avoir une vision intelligible

authentification : lors de l'envoi d'un bloc de donnes ou d'un message ou lors de la connexion un
systme, on connat srement l'identit de l'metteur ou l'identit de l'utilisateur qui s'est connect

intgrit : on a la garantie qu'un bloc de donnes ou un message expdi n'a pas t altr,
accidentellement ou intentionnellement

non-rpudiation : l'auteur d'un bloc de donnes ou d'un message ne peut pas renier son uvre.

7.5.2

Composants d'une PKI

Les PKI se scindent en 4 entits distinctes :

L'Autorit de Certification (CA) qui a pour mission de signer les demandes de certificat (CSR : Certificate
Signing Request) et de signer les listes de rvocation (CRL : Certificate Revocation List).

L'Autorit d'Enregistrement (AE ou RA) qui a pour mission de gnrer les certificats, et d'effectuer les
vrifications d'usage sur l'identit de l'utilisateur final.

L'Autorit de Dpt (Repository) qui a pour mission de stocker les certificats numriques ainsi que les
listes de rvocation (CRL).

L'Entit Finale (EE : End Entity) Lutilisateur ou le systme qui est le sujet dun certificat (En gnral, le
terme entit dextrmit (EE) est prfr au terme sujet afin dviter la confusion avec le champ
Subject.)

Plus une 5eme entit, propre au droit Franais (et pas dfinie spcifiquement par l'IETF) :

L'Autorit de Squestre (Key Escrow), cette entit a un rle particulier, en effet lorsqu'on gnre des
certificats de chiffrement, on a l'obligation lgale (en France) de fournir aux autorits un moyen de
dchiffrer les donnes chiffres pour un utilisateur de la PKI. C'est l qu'intervient le Squestre, cette
entit a pour mission de stocker de faon scurise les cls de chiffrement qui ont t gnres, pour
pouvoir les restaurer le cas chant.

Fonctions de hachage

8.1

Principe

Une fonction de hachage est une fonction qui fait subir une succession de traitements une donne quelconque
fournie en entre pour en produire une empreinte servant identifier la donne initiale sans que l'opration
inverse de dcryptage soit possible.
Le terme hachage vite l'emploi de l'anglicisme hash. Le rsultat de cette fonction est par ailleurs aussi appel
somme de contrle, empreinte, rsum de message, condens, condensat ou encore empreinte
Cryptologie

Page 30 / 50

cryptographique.
Les fonctions de hachage sont conues pour effectuer un traitement de donnes
rapide : calculer l'empreinte d'une donne ne doit couter qu'un temps
ngligeable. Une fonction de hachage doit aussi viter le plus possible les
collisions (deux empreintes identiques alors que les donnes diffraient)
Selon l'emploi de la fonction de hachage, il peut tre souhaitable qu'un infime
changement de la donne en entre (un seul bit, par exemple) entraine une
perturbation consquente de l'empreinte correspondante, rendant une recherche
inverse par approximations successives impossible : on parlera d'effet avalanche.

8.2

MD5

En 1991, Ronald Rivest amliore l'architecture de MD4 et cre MD5 (Message


Digest 5).
C'est une fonction de hachage cryptographique qui permet d'obtenir pour
chaque message une chaine de 32 caractres (soit 128 bits) hexadcimaux avec
une probabilit trs forte que, pour deux messages diffrents, leurs empreintes
soient diffrentes.
Ce quelle que soit la taille de l'information en entre (de 0 octets plusieurs
gigas).
Cette transformation est donc irrversible (Dans le sens ou on ne peut pas
trouver l'information en entre partir d'une somme MD5).
En 1996, une faille grave (possibilit de crer des collisions la demande) est dcouverte. En 2004, une quipe
chinoise dcouvre des collisions compltes. MD5 n'est donc plus considr comme sr au sens cryptographique.
MD5 reste encore utilis comme outil de vrification lors des tlchargements (par exemple, en FTP). Les sites
affichent encore souvent la signature en MD5 de leurs fichiers.
Le programme John the ripper permet de casser les MD5 triviaux par force brute. Des serveurs de "tables
inverses" ( accs direct, et qui font parfois plusieurs gigaoctets) permettent de les craquer souvent en moins
d'une seconde.
Aujourd'hui, il est par exemple possible de crer des pages HTML aux contenus trs diffrents et ayant pourtant
le mme MD5. La prsence de codes de "bourrage" placs en commentaires, visibles seulement dans la source
de la page web, trahit toutefois les pages modifies pour usurper le MD5 d'une autre.

8.3

SHA-1

SHA-1 (Secure Hash Algorithm) est une fonction de hachage cryptographique conue par la NSA (1995), et
publie par le gouvernement des tats-Unis comme un standard fdral de traitement de l'information. Elle
produit un rsultat de 160 bits (40 caractres).
Mme si on arrive gnrer des collisions avec SHA-1. Cest--dire que l'on peut trouver deux messages au
contenu alatoire qui produisent la mme signature. On ne sait toujours pas, partir d'une signature donne,
forger un second message qui gnre la mme valeur. Or, c'est ce type d'attaque qui pourrait mettre en pril les
applications comme PGP et l'authenticit des donnes.
Des versions offrant plus de scurit sont galement disponible : SHA-256, SHA-384 et SHA-512. Comme leur
nom l'indique, ces versions fournissent des signatures de 256, 384 et 512 bits.
Exemple :
SHA-1(Les poules se sont chappes ds
a187da360890f111566557aa6c197aa238dc533a
SHA-1(Les poules se sont chappes
15166056114addee4bd717a1c45ae51389920a61

des

qu'on
con

avait
avait

ouvert
ouvert

la

porte)

la

porte)

Comme vous le constatez, les deux phrases n'ont rien voir entre elles ...
Cryptologie

Page 31 / 50

8.4

Retour sur les signatures lectroniques

Le protocole vu au chapitre 7.3, s'il est fiable, est lent puisque deux fois plus lent qu'un algorithme cl
publique (lui-mme dj trs lent!). En outre, il ne garantit pas l'intgrit du message, c'est--dire que celui-ci
n'est pas altr par des erreurs de transmission. L'utilisation des fonctions de hachage rsout ces problmes.
L'utilisation d'une fonction de hachage permet
un gain de temps (et de place) pour le mme
effet :

Phase d'envoi : Alice calcule h(M) le rsum - et envoie Bob PB(M)


(calcul l'aide de la cl publique de
Bob) accompagn de SA(h(M)).

Phase de rception : Bob calcule


SB(PB(M))=M'.
Puis
il
calcule

PA(SA(h(M))), qu'il compare h(M'). Si


les quantits sont gales, il est sr que
c'est bien Alice qui a envoy le
message, et que celui-ci a t
correctement transmis.

Application

9.1

Les cartes bancaires

Lorsqu'on introduit sa carte bleue dans un distributeur automatique, on imagine assez mal tout ce qui se passe.
Chacun sait qu'il faut rentrer son code secret pour pouvoir dbloquer le paiement, mais ceci n'est que la face
visible de la scurit des cartes bleues.
9.1.1

La carte puce

La carte puce a t cre par deux franais, Roland Moreno et Michel Ugon, la fin des annes 1970. La puce
est un petit ordinateur, avec un processeur (peu puissant) qui permet d'effectuer des calculs, une mmoire dont
une partie est accessible en criture (enregistrement de l'historique des transactions), une autre en lecture
seule, et enfin une dernire en lecture cache.
9.1.2

Mcanisme de paiement par carte bleue

Lorsque l'on introduit sa carte dans un terminal, il se droule un processus en plusieurs tapes :
1. Authentification de la carte : elle se fait hors-ligne (sans appeler un centre de paiement de CB). Sur
la carte sont inscrites certaines informations relatives au propritaire (nom, numro de carte, date de
validit...), et une valeur de signature (VS). La VS est calcule une fois pour toute lors de la fabrication
de la carte. On calcule d'abord Y, qui est une valeur numrique dduite des informations crites dans la
carte (par une fonction de hachage). Notons Y=f(info). La VS est alors calcule en utilisant la cl secrte
S
du
groupement
des
cartes
bancaires15
(le
GIE
carte
bancaire)
:
VS=S(Y).
Lorsque la carte est introduite dans le terminal, celui lit les informations portes par la carte, et la valeur
de signature VS. Il calcule alors Y1=f(info), et Y2=P(VS)=P(S(Y)), P tant la cl publique du GIE. Puis il
compare Y1 et Y2 : pour qu'une carte soit valide, il faut que Y1=Y2.
2. Code confidentiel : Le code secret est stock (sous forme chiffre) la fois dans la puce et sur la
piste magntique de la carte. Dans la premier cas, c'est la puce de la carte qui elle-mme vrifie si le
code entr est le bon, et transmet sa rponse au terminal.
3. Authentification en ligne (par le DES) : Cette tape n'est pas ralise pour toutes les transactions,
mais seulement pour celles dpassant un certain montant (avec affichage de "Autorisation" su l'cran du
15 Ces fonctions cl secrte et cl publique sont bases sur le RSA. Le modulo public franais est un nombre connu entre 768 et 1024
bits, produit de 2 premiers inconnus. L'exposant est e=3.
Cryptologie

Page 32 / 50

terminal). Le terminal interroge un centre de contrle distance, qui envoie la carte une valeur
alatoire x. La carte calcule y=f(x,K), o K est une cl secrte, inscrite dans la partie illisible de la carte,
et f est la fonction de chiffrement du DES (ou du triple DES depuis 1999). La valeur y est retransmise au
centre, qui lui-mme calcule f(x,K), et donne ou non l'autorisation. Remarquons que ceci ncessite que
le centre connaisse la cl secrte de toutes les cartes.
9.1.3

L'affaire Humpich

En 1998, l'affaire Serge Humpich fait la une des journaux. Cet informaticien a montr qu'il tait possible de
fabriquer de toute pice une fausse carte qui permettait de payer chez un comerant. Serge Humpich avait
contourn deux systmes de scurit :
1. D'une part, il a fabriqu des "yes card", c'est--dire des cartes puce qui, quel que soit le code secret
entr, renvoie "code bon".
2. D'autre part, il a contourn l'authentification hors-ligne RSA. La scurit de ce systme repose,
rappelons-le, sur la difficult factoriser un "grand' entier. Or, en 1998, le n utilis par le GIE avait pour
taille 320 bits (taille inchange depuis 1990). A cette poque, factoriser un tel entier n'tait plus
impossible (le record se situait 512 bits), et Humpich, en utilisant simplement un logiciel japonais de
factorisation, a russi factoriser le n du GIE, et dcouvrir la cl secrte S.
La 3me fonction de scurit, elle, est toujours reste valide. Dans cet affaire, le GIE a pch d'abord par excs
de confiance (les 320 bits taient suffisants en 1990, plus en 1998) et aussi par manque de communication.
Depuis, le tir a t rectifi : le n a chang, et est dsormais long de 768 bits, l'authentification en ligne est
passe du DES au 3DES.
9.1.4

Autres types de fraude

La fraude la plus rpandue avec les C.B. est beaucoup plus simple que la faille exploite par Humpich. Les 16
chiffres de votre C.B. suffisent pour commander sur Internet ou par correspondance. Ils ne sont pas choisis au
hasard (tous les nombres 16 chiffres ne donnent pas un numro de CB valide). Avant 2001, les terminaux
inscrivaient sur les facturettes les numros de CB. Voila pourquoi les voleurs raffolaient de ces petits tickets.
Signalons que les risques de fraude en utilisant simplement le numro de carte bleue (sans code secret) sont
normalement couverts par les banques : elles doivent rembourser le client qui conteste un prlvement de ce
type. Signalons enfin qu'il existe des sites Internet o on explique comment calculer un numro de CB valable.

9.2

SSL et TLS

9.2.1

SSL

SSL (Secure Sockets Layers, ou couche de sockets scurise) est un procd de scurisation des transactions
effectues via Internet. Le standard SSL a t mis au point par Netscape, en collaboration avec Mastercard,
Bank of America, MCI et Silicon Graphics. Il repose sur un procd de cryptographie par clef publique afin de
garantir la scurit de la transmission de donnes sur internet. Son principe consiste tablir un canal de
communication chiffr entre deux machines (un client et un serveur) aprs une tape d'authentification.
Le systme SSL est indpendant du protocole utilis, ce qui signifie qu'il peut aussi bien scuriser des
transactions faites sur le Web par le protocole HTTP que des connexions via le protocole FTP, POP ou IMAP. En
effet, SSL agit telle une couche supplmentaire, permettant d'assurer la scurit des donnes, situe entre la
couche application et la couche transport (protocole TCP par exemple).
De cette manire, SSL est transparent pour l'utilisateur (entendez par l qu'il peut ignorer qu'il utilise SSL). Par
exemple un utilisateur utilisant un navigateur internet pour se connecter un site de commerce lectronique
scuris par SSL enverra des donnes chiffres sans aucune manipulation ncessaire de sa part.
Un serveur web scuris par SSL possde une URL commenant par https://, o le "s" signifie bien videmment
secured (scuris).

Cryptologie

Page 33 / 50

Ssl utilise la cryptographie cl publique, la


cryptographie cl secrte, et les certificats
lectroniques. Supposons que Bob commande un
bouquet la boutique en ligne "Milfleurs". Nous assistons
l'change suivant :

Bob se connecte au site scuris de Milfleurs. Ce


dernier lui envoie un certificat lectronique, qui
donne sa cl publique d'change P, ainsi que le
certificat qui prouve qu'il s'agit bien de lui.

Bob (en fait, son navigateur) vrifie le certificat.


Il se met d'accord avec le serveur distant sur un
systme cryptographique commun cl secrte
utiliser (en pratique, le plus sr qu'ils ont en
commun). Puis il choisit au hasard une cl pour
cet algorithme, la cl de session.

Bob transmet cette cl au serveur, en utilisant la


cl publique de celui-ci. Les 2 protagonistes sont
alors en possession d'une mme cl de session
qu'ils sont les seuls possder. Bob peut
envoyer son numro de carte bancaire en toute
scurit.

9.2.2

TLS

Transport Layer Security (TLS), est l'volution de SSL (SSL version 3).
Il utilise la fois un chiffrement asymtrique (pour l'authentification), c'est l'algorithme RSA, et la fois un
chiffrement symtrique pour la transmission des informations (le AES). On y adjoint une fonction de hachage,
(le MD5), pour s'assurer que les donnes sont transmises sans tre corrompues.
En 2008, TLS est utilis par la plupart des navigateurs Web. On reconnat qu'une transaction est scurise
lorsqu'une cl ou un cadenas ferm s'affiche dans un coin infrieur de l'cran ainsi que dans la barre d'adresse,
l'adresse commence par https://...

9.3

PGP

Le PGP (Pretty Good Privacy) est un algorithme de chiffrement destination des particuliers. Il est surtout utilis
pour chiffrer des messages envoys par courrier lectronique, mme s'il peut aussi tre utilis pour chiffrer tous
les fichiers. PGP a t mis au point en 1991 par Philip Zimmermann, et ceci lui valut divers problmes avec la
justice.
D'une part, le PGP utilise l'algorithme RSA, qui est brevet aux Etats-Unis. D'autre part, la
NSA a tout fait pour tenter d'empcher la diffusion du PGP.
La plainte de la NSA a t classe sans suite par le gouvernement dbut 1996 sous la
pression des internautes qui se sont mobiliss pour dfendre Zimmermann.
If privacy is outlawed, only outlaws will have privacy, soit, en franais : Si l'intimit est mise hors la
loi, seuls les hors-la-loi auront une intimit.
Philip Zimmermann16
PGP utilise le meilleur de la cryptographie symtrique (rapidit du chiffrement) et de la cryptographie asymtrique (scurit
de l'change de cls). Il fonctionne suivant le principe suivant :
1.

Compression : le texte envoyer est compress. Cette tape permet de rduire le temps de transmission des
donnes, et amliore galement la scurit. En effet, la compression dtruit les modles du texte (frquences des
lettres, mots rpts). Et on sait que ces modles sont souvent utiliss dans les analyses cryptographiques.

2.

Chiffrement du message : un mot de passe alatoire est gnre (On parle ici de cl de session), et le message est

16 Lire (en Franais) Pourquoi j'ai crit PGP par Philip Zimmermann : http://biblioweb.samizdat.net/article.php3?id_article=4
Cryptologie

Page 34 / 50

chiffr par un algorithme symtrique l'aide de cette cl de session. L'algorithme utilis a vari au cours du temps :
il s'agissait au dbut de DES, puis de CAST.
3.

Chiffrement de la cl de session : la cl de session est chiffre en utilisant la cl publique du Destinataire (et


l'algorithme RSA).

4.

Envoi et rception du message : l'expditeur envoie le couple message chiffr / cl de session chiffre au
Destinataire. Celui rcupre d'abord la cl de session, en utilisant sa cl prive, puis il dchiffre le message grce
la cl de session.

Le PGP implmente aussi les fonctions de certificat et de signature lectroniques. Il n'y a pas d'autorit centrale de
certification, mais un grand rle jou la proximit sociale : les amis de mes amis sont mes amis !
En 2006, Zimmermann a cr Zfone, un logiciel de chiffrement de communication de tlphonie sur Internet au standard
ouvert SIP, fonctionnant en P2P.

10

Cryptanalyse

La cryptanalyse s'oppose, en quelque sorte, la cryptographie. En effet, si dchiffrer consiste retrouver le clair
au moyen d'une cl, cryptanalyser c'est tenter de se passer de cette dernire.
Mme si on dcrit les cryptanalyses comme des briseurs de codes, il convient de remarquer qu'un algorithme
est considr comme cass lorsqu'une attaque permet de retrouver la cl en effectuant moins d'oprations que
via une attaque par force brute. L'algorithme ainsi cass ne devient pas inutile pour autant, mais son degr de
scurit, c'est--dire le nombre moyen d'oprations ncessaires pour le dchiffrer, s'affaiblit.

10.1

Familles d'attaques cryptanalytiques

10.1.1

L'attaque par force brute

L'attaque par force brute consiste tester toutes les solutions possibles de mots de passe ou de cls.
Nombre de secondes dans un jour

86 400 secondes (~ 105)

Nombre de secondes dans une anne

31 536 000 secondes (~ 108)

Nombre de secondes depuis la cration de l'univers (13,7 milliard 432 043 200 000 000 000 secondes
d'annes)
(~ 1017)
Dure de vie d'un proton

Cryptologie

~ 1030 annes

Page 35 / 50

Masse du soleil

~ 1033 grammes

Nombre d'atomes dans un gramme de matire

~ 1024 atomes

Nombre d'atomes dans l'univers

~ 1080 atomes

Le but de ces quelques nombres est de montrer l'inutilit des attaques type force brute.
En effet, un cryptanalyste en herbe pourrait se dire "Ce message est chiffr avec l'algorithme AES-256, il y a 2 256
cls possibles (soient environ 1076 cls), testons les toutes pour dchiffrer le message".
A raison de 100 milliards de tentatives par seconde (ce qui est norme), il faudrait 10 58 secondes pour tester
toutes les cls.
Soit beaucoup plus que l'ge de l'univers...
10.1.2

L'analyse frquentielle

Voir chapitre 3.3


10.1.3

L'indice de concidence

Voir chapitre 3.6


10.1.4

L'attaque par mot probable

Voir chapitre 3.4.


10.1.5

L'attaque par dictionnaire

L'attaque par dictionnaire consiste tester tous les mots d'une liste comme mot cl. Elle est souvent couple
l'attaque par force brute.
10.1.6

Attaque par paradoxe des anniversaires

Le paradoxe des anniversaires est un rsultat probabiliste qui est utilis dans les attaques contre les fonctions de
hachage. Ce paradoxe permet de donner une borne suprieure de rsistance aux collisions d'une telle fonction.
Cette limite est de l'ordre de la racine de la taille de la sortie, ce qui signifie que, pour un algorithme comme
MD5 (empreinte sur 128 bits), trouver une collision quelconque avec 50% de chance ncessite 264 hachages
d'entres distinctes.
Le paradoxe des anniversaires, est l'origine, une estimation probabiliste du nombre de personnes que l'on doit
runir pour avoir une chance sur deux que deux personnes de ce groupe aient leur anniversaire le mme jour. Il
se trouve que ce nombre est 23, ce qui choque un peu l'intuition. partir d'un groupe de 57 personnes, la
probabilit est suprieure 99 %.
Cependant, il ne s'agit pas d'un paradoxe dans le sens de contradiction logique ; c'est un paradoxe, dans le sens
o c'est une vrit mathmatique qui contredit l'intuition : la plupart des gens estiment que cette probabilit est
trs infrieure 50 %.

10.2

Cryptanalyse moderne

Ds les annes 70 apparaissent les mthodes de chiffrement modernes par blocs comme DES. Il sera
passablement tudi et attaqu ce qui mnera des attaques majeures dans le monde de la cryptographie. Les
mthodes prsentes ci-dessous ne sont pas vraiment gnriques et des modifications sont ncessaires pour
attaquer un type de chiffrement donn.
Souvent, on ne s'attaque pas une version complte de l'algorithme de chiffrement mais une variante avec
moins de tours (dans le cas des schmas de type Feistel ou les fonctions de hachage). Cette analyse
Cryptologie

Page 36 / 50

prliminaire, si elle permet de dceler des vulnrabilits, laisse entrevoir une attaque sur l'algorithme complet.
10.2.1

Familles d'attaques rpertories :

Cryptanalyse linaire

Cryptanalyse diffrentielle

Cryptanalyse diffrentielle tronque

Cryptanalyse diffrentielle d'ordre suprieur

Cryptanalyse par diffrentielles impossibles

L'attaque boomerang

L'attaque rectangle

Cryptanalyse diffrentielle-linaire

Cryptanalyse

Cryptanalyse quadratique

Cryptanalyse modulo n

Compromis temps/mmoire

Attaques sur les modes opratoires

Attaque par rencontre au milieu

Attaques sur les systmes asymtriques

Attaques par canaux auxiliaires

10.3

Attaques par canaux auxiliaires

Revenons sur cette famille d'attaque, dans la quelle on range plein de protocoles qui s'apparentent parfois plus
la bidouille qu'a la cryptanalyse
10.3.1

Un peu d'histoire : Cap'tain Crunch

Dans les annes 60, aux USA, une ligne longue distance inoccupe met en permanence une tonalit de 2600
Hz, indiquant un central tlphonique qu'elle est prte recevoir un appel.
Or, un lectronicien, John Draper remarqu que le sifflet pour enfants que Quaker Oats offrait avec ses
crales tait accord sur le la aigu et permettait de reproduire cette tonalit.
Cette proprit dcouverte par hasard a t exploite par les phreakers17
longue distance.

18

pour passer gratuitement des appels

Son surnom provenait des botes de crales Cap'n Crunch19.


Bref, tout a pour montrer que parfois, l'attaque vient d'o on ne l'attend pas.
10.3.2

Attaque temporelle

Une attaque temporelle consiste estimer et analyser le temps mis pour effectuer certaines oprations
cryptographiques dans le but de dcouvrir des informations secrtes. Certaines oprations peuvent prendre plus
de temps que d'autres et l'tude de ces informations temporelles peut tre prcieuse pour le cryptanalyste. La
mise en uvre de ce genre d'attaque est intimement lie au matriel ou au logiciel attaqu.
Attaques sur la cryptographie asymtrique
Les algorithmes d'exponentation modulaire sont coteux, le temps d'excution dpend linairement du nombre
de bits '1' dans la cl. Si connatre le nombre de '1' n'est pas une information toujours suffisante pour trouver
la cl, le recoupement statistique entre plusieurs chiffrements avec cette cl peut offrir de nouvelles possibilits
au cryptanalyste.
17 Phreaker : Hacker de tlphonne (phone + freak )
18 Hacker : Littralement Bidouilleur Il n'y a aucune connotation ngative dans l'expression Hacker
19 Les crales, c'est dangereux : Cap'tain Crunch a t condamn deux mois de prison en 1976
Cryptologie

Page 37 / 50

Attaques sur un rseau


En 2003, Boneh et Brumley ont dmontr une attaque pratique contre des serveurs SSL. Leur cryptanalyse est
base sur des vulnrabilits dcouvertes dans les implmentations du thorme des restes chinois. L'attaque fut
toutefois mene travers un rseau de taille limite mais elle montrait que ce type d'attaque tait srieuse et
praticable en l'espace de quelques heures. Les implmentations furent amliores pour limiter les corrlations
entre la cl et le temps de chiffrement.
Attaque sur les chiffrements par bloc
Les chiffrements par bloc sont en gnral moins sensibles aux attaques temporelles, la corrlation
entre la cl et les oprations tant plus limites, mais celles-ci existent quand mme. La plupart
reposent sur les temps mis pour accder aux diffrentes tables (par exemple les S-Boxes).
En 2005, Daniel Bernstein a dmontr qu'une attaque contre une implmentation vulnrable
d'AES tait possible partir du cache des processeurs modernes des PC (AMD ou Intel). Bernstein
reproche au NIST d'avoir nglig ces problmes lors du concours AES, il ajoute que le NIST s'est
tromp en partant du principe que le temps d'accs aux tables tait constant.
10.3.3

Attaque par sondage

Une attaque par sondage est ce que l'on qualifie d'attaque invasive, c'est--dire que la mise en uvre de celle-ci
peut dtriorer, voire dtruire le circuit analyser.
Le principe d'une attaque par sondage (appele probing attack) est d'espionner l'activit lectrique d'un
composant lectronique du circuit en positionnant une sonde suffisamment proche dudit composant.
En rcoltant des donnes de cette manire, l'attaquant peut tre en mesure de dduire tout ou une partie du
secret du circuit cryptographique.
Tout d'abord il faut prparer le circuit analyser. Il faut souvent le tremper dans l'actone, puis gratter sa
surface (gnralement couverte d'un enduit chimique) pour mettre nu les couches suprieures de mtal.
Pour cela il faut approcher trs prs de l'quipotentielle espionner une pointe mtallique (typiquement en
tungstne) qui ragit au passage d'un bit sur celle-ci (en fait un changement ou non d'tat). Avec un
oscilloscope suffisamment prcis et un chronomtrage trs rigoureux, on peut ainsi dterminer les bits transitant
par le bus.
10.3.4

Analyse de consommation

En cryptanalyse de matriel cryptographique, l'analyse de consommation consiste tudier les courants et


tensions entrants et sortants d'un circuit dans le but de dcouvrir des informations secrtes comme la cl de
chiffrement. Certaines oprations, plus coteuses, augmentent la consommation lectrique du circuit,
notamment par l'utilisation de plus de composants (analogiques ou logiques). Cette analyse des variations et des
pics permet de tirer des informations prcieuses pour le cryptanalyste.
Une attaque base sur les temps de rponse a t mene par Serge Vaudenay sur TLS/SSL, ce qui a forc les
concepteurs du standard faire une mise jour critique. Les constructeurs de puces de chiffrement visent
aplanir la courbe de consommation lectrique pour dissimuler les oprations sous-jacentes.
10.3.5

Attaque par faute

les attaques par faute sont une famille de techniques qui consistent produire volontairement des erreurs dans
le cryptosystme. Ces attaques peuvent porter sur des composants matriels (cryptoprocesseur) ou logiciels.
Elles ont pour but de provoquer un comportement inhabituel des oprations cryptographiques dans le but d'en
extraire des informations secrtes (comme une cl de chiffrement). Une attaque par faute peut tre couple
d'autres mthodes comme l'analyse de la consommation ou une attaque temporelle.
Les attaques sont possibles sous l'hypothse que l'attaquant peut affecter l'tat interne du systme en crivant
des valeurs par exemple en mmoire ou sur un bus informatique.
Un exemple classique d'attaque par faute concerne RSA et en particulier le produit des deux nombres premiers
(p, q) qui composent en partie la cl (le secret, donc) du systme. Le principe est de faire en sorte qu'un de ces
deux nombres soit modifi juste avant leur produit p * q. Il est en effet trs difficile de retrouver p ou q en
fonction de p * q. Or, si on arrive transformer p en p' (non premier), on peut retrouver beaucoup plus
Cryptologie

Page 38 / 50

facilement q en calculant le pgcd de p' * q.

11

Stganographie

Si la cryptographie est l'art du secret, la stganographie est l'art de la dissimulation : l'objet de la


stganographie n'est pas de rendre un message inintelligible autre que qui de droit mais de le faire passer
inaperu. Si on utilise le coffre-fort pour symboliser la cryptographie, la stganographie revient enterrer son
argent dans son jardin. Bien sr, l'un n'empche pas l'autre, on peut enterrer son coffre dans son jardin.

11.1

Histoire

11.1.1

301

Dans son Enqute, l'historien grec Hrodote (484-445 av. J.-C.) rapporte ainsi une anecdote qui eut lieu au
moment de la seconde guerre mdique. En 484 avant l're chrtienne, Xerxs, fils de Darius, roi des Perses,
dcide de prparer une arme gigantesque pour envahir la Grce). Quatre ans plus tard, lorsqu'il lance
l'offensive, les Grecs sont depuis longtemps au courant de ses intentions. C'est que Dmarate, ancien roi de
Sparte rfugi auprs de Xerxs, a appris l'existence de ce projet et dcide de transmettre l'information Sparte
: il prit une tablette double, en gratta la cire, puis crivit sur le bois mme les projets de Xerxs ; ensuite il
recouvrit de cire son message : ainsi le porteur d'une tablette vierge ne risquait pas d'ennuis .
Un autre passage de la mme uvre fait galement rfrence la stganographie : Histie incite son gendre
Aristagoras, gouverneur de Milet, se rvolter contre son roi, Darius, et pour ce faire, il fit raser la tte de son
esclave le plus fidle, lui tatoua son message sur le crne et attendit que les cheveux eussent repouss ; quand
la chevelure fut redevenue normale, il fit partir l'esclave pour Milet .
En Chine, on crivait le message sur de la soie, qui ensuite tait place dans une petite boule recouverte de cire.
Le messager avalait ensuite cette boule.
Ds le Ier sicle av. J.-C., Pline l'Ancien dcrit comment raliser de l'encre invisible (ou "encre sympathique").
Les enfants de tous les pays s'amusent le faire en crivant avec du lait ou du jus de citron : le passage de la
feuille crite sous un fer repasser chaud rvle le message.
Durant la Seconde Guerre mondiale, les agents allemands utilisaient la technique du micropoint de Zapp, qui
consiste rduire la photo d'une page en un point d'un millimtre ou mme moins. Ce point est ensuite plac
dans un texte normal. Le procd est voqu dans une aventure de Blake et Mortimer, SOS mtores.

11.2

Techniques rendues possibles par l'ordinateur

11.2.1

Usage des bits de poids faible d'une image

L'ide est de prendre un message et de le modifier de manire aussi discrte que possible afin d'y dissimuler
l'information transmettre. Le message original est le plus souvent une image. La technique de base (dite LSB
pour Least Significant Bit) consiste modifier le bit de poids faible des pixels codant l'image : une image
numrique est une suite de points, que l'on appelle pixel, et dont on code la couleur l'aide d'un triplet d'octets
par exemple pour une couleur RGB sur 24 bits. Chaque octet indique l'intensit de la couleur correspondante
(rouge, vert ou bleu) par un niveau parmi 256. Passer d'un niveau n au niveau immdiatement suprieur (n+1)
ou infrieur (n-1) ne modifie que peu la teinte du pixel, or c'est ce que l'on fait en modifiant le bit de poids faible
de l'octet.
Exemple
Considrons l'image de 2 pixels :
Chaque pixel d'une image est reprsent par 3 nombres cods sur 8 bits : R reprsente l'intensit du rouge (un
entier entre 0 et 255), G celle du vert, B celle du bleu. Si l'on modifie les 2 bits de droite de R, on modifie trs
peu sa valeur (au plus, de 3), et cela est imperceptible l'oeil humain. On remplace alors les 2 bits de droite de
R par les 2 premiers bits du message. Puis on continue pour les composantes G,R, puis pour le 2me pixel,etc...
Il est impossible, l'oeil, de distinguer l'image qui cache le message, et l'image initiale.

Cryptologie

Page 39 / 50

Image initiale

R1=01001110
R2=01110011

Message

101100011011

Image qui cache le message

R1=01001110
R2=01110001

G1=01101111
G2=01110110

B1=11111111
B2=10101010

G1=01101111
G2=01110110

B1=11111100
B2=10101011

Cette technique de stganographie trs basique s'applique tout particulirement au format d'image BMP, format
sans compression destructive, avec codage des pixels entrelac sur 3 octets comme nonc ci-dessus.
Rciproquement, tout procd de compression-dcompression d'images avec pertes est susceptible de dtruire
un message stganographique cod de cette faon. On parle alors de strilisation. Un pays totalitaire pourrait
striliser tout hasard toute image BMP entrant ou sortant de son territoire, moyennant les ressources
techniques ncessaires.
11.2.2

Manipulation de la palette de couleurs d'une image

Certains formats graphiques tel que GIF ou PNG permettent le stockage des couleurs de l'image par rfrence
une palette de couleurs insre dans le mme fichier.
Ainsi au lieu de stocker Bleu,Blanc,Rouge dans une image du drapeau franais, on trouve dans un format de
fichier la description de l'objet la suite Couleur1,Couleur2,Couleur3 ainsi qu'une palette qui dfinit que Couleur1
est le Bleu, Couleur2 le Blanc et Couleur3 le Rouge.
La mme image peut-tre stocke de la faon suivante: Couleur2,Couleur3,Couleur1 avec une palette qui dfinit
que Couleur2 est le Bleu, Couleur3 est le Blanc et Couleur1 est le Rouge.
Ces deux images sont visuellement identiques mais le stockage de celles-ci est diffrent. Pour une image
contenant 256 couleurs uniques dans sa palette, on a factoriel de 256 faons de stocker cette image. En utilisant
un code connu entre l'metteur et le rcepteur de l'image, on peut donc communiquer un message de petite
taille cach dans la permutation des couleurs dans la palette de l'image.
11.2.3

Message cach dans les choix de compression d'une image

Tout semble indiquer que l'on ne peut cacher un message dans un format d'image utilisant une compression
avec perte. En ralit la plupart des programmes de stganographie srieux s'attaquent justement au format
JPEG qui utilise ce type de compression.
L'ide n'est pas de cacher une information dans les couleurs ou dans la palette (puisqu'il n'y en a pas) mais dans
les choix de compression. En effet, tout algorithme de compression ncessite une succession de choix.
Avec des algorithmes de compression tel que Zip ou Gzip, on peut choisir la puissance de compression. En
consommant plus de temps calcul et/ou plus de mmoire pour les oprations intermdiaires, on peut obtenir de
meilleurs rsultats de compression. Ainsi deux fichiers compresss de tailles diffrentes peuvent tre
dcompresss en deux fichiers identiques.
La compression dans le format JPEG est double. La premire compression consiste dcouper l'image en bloc
de 8 fois 8 pixel et de transformer ce carr sous une forme mathmatique simplifie. Cette compression
introduit des pertes et la version mathmatique peut tre lgrement diffrente du carr original tout en tant
visuellement trs semblable. Une fois tous les blocs compresss, il faut coder les formes mathmatiques en
consommant le moins possible d'espace. Cette deuxime compression n'introduit pas de perte et est similaire
dans les principes ce que l'on peut retrouver dans Zip ou Gzip. C'est en introduisant dans cette phase des bits
d'informations que l'on arrive transporter un message cach.
11.2.4

Modulation fine d'un texte crit

Dcaler une lettre de quelque pixels ne pose aucun problme sur une imprimante lser et est pratiquement
invisible l'il nu. En jouant sur les interlettrages d'un texte trs long et raison de deux valeurs d'espacement
correspondant 1 et 0, il est possibe de transmettre un message sous forme papier, qui ne rvlera son vrai
sens qu'ne fois analys par un scanner ayan une bonne prcision.
Historiquement, le procd fut utilis ds les annes 70 en utilisant non pas des imprimantes laser, mais des
imprimantes marguerite Diablo, qui permettaient de jouer sur l'espacement des caractres au 1/120e de
Cryptologie

Page 40 / 50

pouce prs.
11.2.5

Marquage de caractres

Une technique similaire mais plus facilement dtectable consiste marquer certains caractres d'un
document. Des points peuvent par exemple tre placs sous les lettres d'un texte afin de dissimuler un
message. tales sur un texte de plusieurs pages, ces marques peuvent s'avrer relativement efficaces vis--vis
d'un il non-averti. Un ordinateur n'est pas indispensable la mise en uvre de cette technique.
En guise d'exemple, aviez-vous remarqu le message cach dans le chapitre 11.2.4 ?
11.2.6

Message transport dans un son

Dans les formats sonores, il existe peu prs les mmes possibilits de cacher des messages que dans les
images.
Dans un fichier sonore au format MIDI, il n'existe pas de palette de couleurs mais bien diffrentes pistes qui
peuvent tre permutes.
Dans un fichier sonore avec compression sans perte, on peut cacher de l'information dans des variations
imperceptibles du son, les bits faiblement significatifs.
Dans un fichier sonore avec compression avec perte, on peut cacher de l'information dans les choix de
compression.
11.2.7

Autres possibilits

Il est aussi possible de cacher des informations dans bien d'autres types de fichiers couramment changs sur
des rseaux tel la vido ou bien dans des textes (ce fut une des premires formes de la stganographie) ou
encore dans des zones d'un disque dur inutilises par le systme de fichiers.

11.3

Usage

Aprs les vnements du 11 septembre 2001, on a prtendu qu'Oussama Ben Laden transmettait ses ordres en
les cachant par des procds stganographiques dans des images transmises ou hberges sur internet (ces
suppositions n'ont jamais t tayes par des lments concrets).
Il faut noter que, si la cryptographie, qui permet de protger la vie prive et l'activit industrielle sans cacher
cette protection, est souvent maltraite par les tats totalitaires et les socits dmocratiques tendance
scuritaire, il n'en va pas ncessairement de mme pour la stganographie, qui est pourtant une technique
beaucoup mieux adapte une activit criminelle ventuelle.

12
12.1

Conclusion
Aujourd'hui

On sait faire des chiffres inviolables : Vernam


On sait faire des chiffres sans changes de cl : RSA
Alors, c'est la fin de l'histoire ?
Mme si le RSA 512 bits est aujourd'hui sur. Cette certitude repose sur une infaillibilit du systme. Quand on
arrivera (si on arrive ?) gnrer des nombres premiers facilement, le RSA ne sera pas plus scuris qu'un
chiffre de Vigenre ...
Qui peut dire si aujourd'hui la NSA ne sait pas dj rsoudre l'quation n=pq ?
A de nombreuse reprises, des puissances se sont effondres parce qu'elles pensaient avoir un systme
cryptographique sur. L'histoire est un ternel recommencement ...

Cryptologie

Page 41 / 50

12.2

Demain : La cryptographie quantique

La prochaine gnration de chiffres est dj prte. Nous sommes aujourd'hui dans la situation de Diffie et
Hellman en 1976 : Nous avons un outil parfait ... sur le papier : La cryptographie quantique.
L'utilisation de la mcanique quantique va permettre une nouvelle avance : Cette fois, la scurit est garantie
non par des thormes mathmatiques, mais par les lois fondamentales de la physique.
Dans le transport de cl quantique , l'information est transporte par les photons. Chaque photon peut tre
polaris, c'est--dire que l'on impose une
direction son champ lectrique. La polarisation
est mesure par un angle qui varie de 0 180.
Dans le protocole que nous dcrivons, d aux
canadiens CH.Bennett et G.Brassard, la
polarisation peut prendre 4 valeurs : 0, 45,
90, 135.
Il nous faut pouvoir dtecter la polarisation des photons. Pour cela, on utilise un filtre polarisant suivi d'un
dtecteur de photons. Si un photon polaris 0 rencontre un filtre polarisant orient 0, il traverse ce filtre
polarisant et est enregistr par le dtecteur plac juste aprs. Si un photon polaris 90 rencontre le mme
filtre, il est immdiatement stopp, et le dtecteur n'enregistre rien.
Maintenant, si le photon est polaris diagonalement (45 ou 135),
une fois sur deux, il traverse le filtre, et une fois sur deux, il est
stopp.
C'est dans cette incertitude de 50% que rside la force de la
cryptographie quantique.
12.2.1

Alice & Bob dans le futur ...

Dcrivons alors le protocole qu'Alice et Bob doivent respecter pour


qu'Alice envoie Bob une cl secrte constitue de 0 et de 1; ils
disposent de 2 canaux d'change : un canal quantique, o ils
peuvent s'changer des photons polariss, et un canal non protg
(radio, tlphone, ...), o ils peuvent discuter.
Ils conviennent que les photons polariss 0 ou 45 reprsentent
0, et ceux polariss 90 ou 135 reprsentent 1.
Alice met, sur le canal quantique, une suite de photons polariss
au hasard parmi 0, 45, 90 et 135. A l'autre bout, Bob reoit les
photons et mesure alatoirement ou leur polarisation rectiligne (filtre plac 0), ou leur polarisation diagonale
(filtre plac 45). Si le photon traverse le filtre, Bob note 0, sinon il note 1.
Bien sr, certaines mesures de Bob (en moyenne, une sur deux) n'ont pas d'intrt : il a pu essayer de mesurer
la polarisation rectiligne d'un photon polaris 45, ce qui n'a pas de sens et donne un rsultat alatoire (par
exemple, le photon a t bloqu par le filtre, Bob note donc 1 alors qu'Alice avait envoy 0).
Pour liminer ces bits sans sens, il indique Alice, par le canal radio, quelle type de mesure (rectiligne ou
diagonale) il a faite pour chaque photon. Par le mme canal radio, Alice lui indique quelles sont les mesures
correctes (photon polaris 0 ou 90 avec filtre rectiligne, photon 45 ou 135 avec filtre diagonal), dans
l'exemple ci-dessous la 1, la 3, la 4, et la 7. Les bits 1,3,4,7 sont dsormais connus la fois de Bob et d'Alice, et
constituent leur cl secrte commune.
Il faut encore vrifier que ce protocole est sr.
Si Mallory coute le canal quantique, elle peut faire la mme chose que Bob, c.a.d intercepter les photons en
plaant un filtre polarisant tantt rectiligne, tantt diagonal. Pour que Bob ne se doute de rien, elle doit
rmettre un photon polaris. (Car le fait de lire un photon le dtruit.)

Cryptologie

Page 42 / 50

Elle va essayer d'envoyer le mme photon qu'Alice, mais comme elle a une chance sur deux d'avoir choisi le
mauvais filtre, elle a une chance sur deux de se tromper. Quand Bob reoit le photon, s'il est mal polaris par
Mallory, il a une chance sur deux d'avoir un rsultat diffrent d'avec le photon original, et finalement, pour
chaque photon intercept par Mallory, il y a une chance sur 4 que Bob reoive une information errone.
Alice et Bob dcident alors de "sacrifier" une partie de leur cl commune. Parmi tous les bits qu'ils ont en
commun, ils en choisissent quelques-uns au hasard, et les compare publiquement par le canal radio : s'ils sont
diffrents, ils ont une preuve qu'ils ont t couts, et ils oublient vite cette cl. En comparant suffisamment de
bits, ils ont une garantie presque absolue de ne pas avoir cout.

Bien sr, il reste des problmes pratiques rsoudre : mettre des photons un par un, conserver la polarisation
sur de grandes distances... mais les physiciens sont au travail !

Cryptologie

Page 43 / 50

12.3

Demain aussi : La cryptanalyse quantique

Chercheurs australiens dveloppant la nouvelle gnration d'ordinateur quantique

En 1982, le prix Nobel de physique Richard Feynman imagina un modle thorique illustrant comment un
systme quantique pourrait tre utilis pour faire des calculs.
Rapidement, en 1985, David Deutsch, montra que les ides de Feynman pouvaient mener un ordinateur
quantique, un ordinateur qui effectuerait n'importe quelle tche, mais serait capable de tirer avantage des
proprits quantiques de la matire, principalement du principe de superposition des tats.
Cette recherche s'avra plus difficile que prvu, et il fallut attendre le milieu des annes 90 pour qu'un chercheur
des laboratoires Bell, Peter Shor, invente des oprations mathmatiques lmentaires propres aux ordinateurs
quantiques et les applique pour crer un algorithme quantique de factorisation.
12.3.1

L'ordinateur quantique

Nous savons qu'un ordinateur classique traite des informations lmentaires, des bits, qui ne peuvent prsenter
qu'un tat parmi deux possibles : 0 ou 1. C'est le langage binaire.
La rvolution que propose l'informatique quantique est
q(u)bits en abrg, pouvant prendre un ensemble de
quantique, avec son principe de superposition, permet
qbit peut prendre les valeurs 0 ou 1, mais aussi un tat
combinaison.

de remplacer ces bits par des bits quantiques, ou


valeurs beaucoup plus large. En effet, la physique
un tat d'tre un "mlange" d'autres tats. Ainsi, un
constitue de 10% de 0 et 90% de 1, ou toute autre

Ceci signifie que quand on mesure la


valeur du qbit, on a 10% de chances
de trouver 0 et 90% de trouver 1.
Un peu plus concrtement, avec 4
bits, un ordinateur classique peut
traiter un tat parmi 24 soit 16 tats
diffrents : 0000, 0001, 0010, 0011,
etc.
Dans un ordinateur quantique, les
quatre qbits pourraient tre dans
une superposition de tous ces tats.
Dans cette situation, l'avantage de
l'ordinateur quantique est de pouvoir
traiter simultanment les 16 tats.
Des ordinateurs quantiques quips de processeurs de N qubits permettent donc de grer 2N informations
diffrentes simultanment ! Ils calculent donc N fois plus vite qu'un ordinateur classique puisqu'ils sont capables

Cryptologie

Page 44 / 50

d'effectuer ces calculs en parallle ! Le


nombre de qubits augmente donc de
manire exponentielle la puissance du
travail en parallle. Il est ainsi facile
de calculer qu'un ordinateur quantique
de 300 qbits pourraient grer environ
1090 informations, soit plus que le
nombre d'atomes dans l'Univers
observable !
Mais les ordinateurs quantiques n'en
sont encore qu' leurs prmices, et
leur record (automne 2001) est la
factorisation de 15=35 avec 7 qbits.
Pas de nouvelles depuis.
Or, on vu que casser le RSA revenait
factoriser n...

Cryptologie

Page 45 / 50

13

Exercices de cryptanalyse

13.1

Csar

Substitution polyalphabtique
Source : "Bien que les champs, les fleuves et les lieux" de Pierre de Ronsard
Difficults : 1/5
Cryptogramme :
JQMVY
ZMUMB
MUWVX
MIQTM
IBMMV
IQAYC
CTMVU

CMTMA
QMVVM
IZTMK
KWCBC
BZMUM
IVLQT
WVTQB

13.2

KPIUX
VBTWQ
WVOML
UQMZM
AJZIA
DWQBY
XTMQV

ATMAN
VLMUI
MAKQM
AIJMT
RMZMU
CMKWV
LMPWV

TMCDM
LWCKM
CFYCQ
TMQUI
JZIAA
BMVBR
BMMBL

AMBTM
OCMZZ
XZMAQ
OMICA
MMBZM
MAWUU
MXMCZ

ATQMC
QMZMI
LIQBI
MRWCZ
BIBMA
MQTTM

FTMAU
ABZMN
UWVIZ
LMUMA
WVDIQ
UWYCI

WVBAT
IBITL
LMCZX
GMCFB
VXWZB
VBUMA

MAJWQ
WCAMK
ZMUQM
WCBMA
ZIQBM
JZIAQ

AYCMR
WCTMU
ZMKWV
TMAVC
VKMVB
TAMVN

IQTIQ
WVUQM
LCQBB
QBAQU
NWZUM
CQBMB

AAMAL
CFYCM
WCRWC
XIBQM
ABZWU
UMDMQ

MZZQM
TYCML
ZALCV
VBLMP
XMCZU
TTMAM

DSZQZ
MXZUQ
XAQEF
RITVH
DSDGP
ZBERD
PLZIY
ZWEPZ
LIRHZ
NBOEB
NEKZP
ZZPGD

MOOCA
OAAQW
IRSOE
HOERM
TBCFP
TZUKO
ELONH
FDABV
USSDO
OPNDA
CHOCR
FDCNI

MHDOM
DESEF
RUCAM
PUWZL
KSPSP
YTKSD
HBPDD
PMHBP
MOETD
ALHRP
DHPEZ
ASCSD

UPAMH
IKRPS
RPSKW
MZQSI
ITCNA
WZUZN
LARDG
ETBPG
BEINB
JZRPS
IOEKO
IETWE

LSZUL
BSYDZ
RNDGW
MSOEL
XEMQL
RGFRK
DATLO
QCDSD
QUSDC
DGGOX
OUOCY
SDCER

RDRFH
WECGS
AQFTV
OYODI
ISZPD
SDVNW
ETLRR
TFMDS
IRSAA
ORETF
TCSWE
GPSDB

ZJCEB
KLZAP
DSOUM
GRDIY
DPCAM
PSCSC
ZBOER
YOHFP
QZPTQ
DESEF
TFZPD
AEQGZ

VLQTS
RDJTC
HCAHB
EOSEI
QSELS
ELWDA
FZUDG
MNBEA
OTNCS
IZHEE
WWLDB
NMSBU

Vigenre

Substitution polyalphabtique
Source : Un extrait de la "La bte humaine".
Difficults : 3/5
Cryptogramme :
OSYDZ
QOHGB
SCTRD
OELOY
SSXAB
YTCIE
FSFND
OEUCC
MHORN
ERNWD
MRLIS
EEMRL
DZTMO

BEUMW
UHZGE
ZPMDH
TDGLV
VTNDH
RZWYA
OFTQS
AMHPS
WETQS
HDICE
GLMZQ
ISGPU
OEIDB

13.3

YSSOY
MOTTC
TEQZP
ZWEAM
PNCSC
KSCTD
XABVT
RHLTH
DLDBE
RJTNF
SIMST
KSXEM
NEFOR

TQCFB
SWARC
RDDCE
WXEKS
ATLER
PPSNU
NDDFI
CYNZW
ECOYS
HNIME
LMOAE
HOELO
ND

ZIOSH
CTDDL
MOTTR
DQTOT
NWDRN
YETGP
RGLNS
ESDIW
KOTRB
LDDGE
QQPVZ
YDDFW

BEEQS
SRSCU
CFSKO
SDHTL
IPSAO
ELAPN
SNEKZ
EKONH
OWMDA
IMOEI
WEPZG
AUCTE

RSA

Difficult : 4/5
RSA avec cl 11 bits
Cl publique : RSA(1370477, 377)
Cryptogramme :
1278281 1180729 1168560 1105842 1168560 0827986 0231383 0042925 0167338 0002372
1349403 0726411 0902962 0277609 0363080 0794055 0565269 0129271 0060967 0827986
1274266 0827986 0420867 0633528 1274266 0709512 0794799 0792163

Cryptologie

Page 46 / 50

14

Anecdotes en vrac

14.1

Kama-sutra

Le Kama-sutra est un texte crit au 5e sicle par le brahmane Vatsayayana, mais fond sur des manuscrits du
4e sicle avant J.-C.
Le Kama-sutra recommande que les femmes apprennent 64 arts, entre autres cuisiner, s'habiller, masser et
laborer des parfums. La liste comprend aussi des domaines moins vidents, comme la prestidigitation, les
checs, la reliure et la tapisserie.
Le numro 45 de la liste est le mlecchita-vikalpa, ou l'art de l'criture secrte, qui doit leur permettre de
dissimuler leurs liaisons.

14.2

Georges Sand et Alfred de Musset

Voici la lettre envoye par Georges Sand Alfred de Musset :


Cher ami,
Je suis toute mue de vous dire que j'ai
bien compris l'autre jour que vous aviez
toujours une envie folle de me faire
danser. Je garde le souvenir de votre
baiser et je voudrais bien que ce soit
une preuve que je puisse tre aime
par vous. Je suis prte montrer mon
affection toute dsintresse et sans calcul, et si vous voulez me voir ainsi
vous dvoiler, sans artifice, mon me
toute nue, daignez me faire visite,
nous causerons et en amis franchement
je vous prouverai que je suis la femme
sincre, capable de vous offrir l'affection
la plus profonde, comme la plus troite
amiti, en un mot : la meilleure pouse
dont vous puissiez rver. Puisque votre
me est libre, pensez que l'abandon ou je
vis est bien long, bien dur et souvent bien
insupportable. Mon chagrin est trop
gros. Accourrez bien vite et venez me le
faire oublier. A vous je veux me soumettre entirement.
Votre poupe

Classe non ? Et pourtant, si vous saviez lire entre les lignes ...
La rponse d'Alfred de Musset n'est pas mal non plus :
Quand je mets vos pieds un ternel hommage,
Voulez-vous qu'un instant je change de visage ?
Vous avez captur les sentiments d'un coeur
Que pour vous adorer forma le crateur.
Je vous chris, amour, et ma plume en dlire
Couche sur le papier ce que je n'ose dire.
Avec soin de mes vers lisez les premiers mots,
Vous saurez quel remde apporter mes maux.

Vous ne lirez plus jamais les auteurs classiques de la mme faon...

Cryptologie

Page 47 / 50

14.3

Le tlgramme de Zimmermann

Nous sommes en janvier 1917. La guerre entre l'Allemagne et les Allis fait rage. Le conflit s'enlise, les
tranches ennemies se font face. De l'autre ct de l'Atlantique, les tats-Unis sont prudemment rests neutres.
En 1916, le prsident Woodrow Wilson a d'ailleurs t rlu avec le slogan He kept us out of the war (il nous
a prserv de la guerre). Il a mme dclar que ce serait un crime contre la civilisation de laisser entraner
les tats-Unis dans la guerre.
En janvier 1917, l'tat-major allemand s'impatiente. Il propose au Kaiser de dclencher une guerre sous-marine
totale, afin de couper les approvisionnements de l'Angleterre. Le problme pour l'Allemagne est qu'en coulant de
nombreux bateaux civils amricains, cette stratgie aurait pour probable consquence l'entre en guerre des
tats-Unis. Arthur Zimmermann, alors ministre allemand des affaires trangres, a une ide afin de retarder
l'envoi de renforts amricains : il faut occuper les troupes amricaines sur d'autres fronts, crs par le Mexique
et le Japon. Ainsi, si le Mexique envahit le sud des tats-Unis (les 2 pays ont alors un contentieux autour de
certains territoires), avec le soutien logistique, financier et militaire allemand, l'arme amricaine sera toute
accapare par la dfense de son propre territoire, et ne pourra intervenir en Europe.
Le 16 janvier 1917, Zimmermann envoie sa proposition dans un tlgramme cod destination de Bernstoff,
ambassadeur d'Allemagne aux tats-Unis (Berlin n'a pas de liaisons directes avec le Mexique). A charge pour lui
de le faire parvenir son homologue mexicain, qui lui-mme le transfrera au Prsident mexicain. Bernstoff
dchiffre le message, et l'envoie au reprsentant allemand au Mexique, Johann Eckardt, avec un code commun
entre lui et Eckardt. Ce dernier tlgramme est intercept par les services secrets britanniques, et
immdiatement confi au prestigieux Bureau 40 qui se consacre au chiffrement. L'quipe, dirige par le
rvrend Montgomery, parvient aprs un mois de labeur le 22 fvrier 1917 dcrypter ce message. Et voici ce
qu'ils ont pu lire :
Nous avons l'intention de dclencher partir du 1er fvrier une guerre sous-marine totale. Malgr cela, nous
tenterons de maintenir les tats-Unis dans la neutralit. Si nous n'y parvenons pas, nous proposerons au
Mexique une alliance sur les bases suivantes : faire la guerre ensemble, faire la paix ensemble, large soutien
financier et accort de notre part pour la reconqute par le Mexique des territoires perdus du Texas, du
Nouveau Mexique, et de l'Arizona. Le rglement des dtails est laiss vos soins. Vous informerez
secrtement le Prsident du Mexique ds que l'entre en guerre des tats-Unis sera certaine, et vous lui
suggrerez que, sous sa propre initiative, il peut immdiatement solliciter la participation du Japon, et en
mme temps servir de mdiateur entre le Japon et nous-mme. Prire d'attirer l'attention du Prsident sur le
fait que l'emploi sans limites de nos sous-marins offre dsormais la possibilit d'obliger l'Angleterre faire la
paix dans peu de mois.

Les Britanniques envoient immdiatement le rsultat de leurs travaux aux tats-Unis, et le 1er mars, toute la
presse nord-amricaine rpand l'information. L'opinion publique, dsormais prvenue des intentions allemandes,
change d'avis, et le Prsident Wilson fait voter par le Congrs, le 6 avril 1917, une dclaration officielle de
guerre l'Allemagne. C'est sans doute la premire fois que la cryptanalyse d'un message cod a autant chang
le cours de l'histoire.

14.4

Le chiffre ADFGVX

14.4.1

Le contexte

1918. Les armes allemandes et franaises sont exsangues. L'tat-major franais, dirig par le marchal Foch,
redoute l'imminence d'une offensive massive de l'ennemi, qui enfoncerait les lignes de dfense jusque Paris.
Cinq points d'offensive sont possibles, mais les forces franaises de rserve ne permettent de se concentrer que
sur un seul. Il est vital, pour l'issue de la guerre, de ne pas se tromper.
14.4.2

Le code

Depuis mars 1918, l'arme allemande utilise un nouveau code pour communiquer, le chiffre ADFGVX, ou
GEDEFU 18 (GEheimschrift DEr FUnker 18, chiffre des tlgraphistes 18). Ce chiffre est constitu d'une
substitution de type carr de Polybe, suivie d'une transposition. Pour raliser la substitution, les 26 lettres de
l'alphabet et les 10 chiffres sont rangs dans un tableau 66, aux extrmits desquelles on a ajout les lettres
ADFGVX.

Cryptologie

Page 48 / 50

X 1
5
J
9
W
B
Chaque lettre est cod par le couple de lettres qui
correspond sa ligne et sa colonne. Ainsi, R est cod
DF, et le message RENFORT COMPIEGNE 16H10
devient :
DFAXV VFAFD DFGFD DFDFG VAGDA XGGVV AXXAV
FDVXA DX
On choisit ensuite, pour faire la transposition, une cl
qui est un mot courant, par exemple DEMAIN. On crit
le texte intermdiaire sous ce mot, puis on rordonne
les colonnes par ordre alphabtique croissant :
Il ne reste plus qu' relire le tableau de gauche droite, et de haut en bas :
XDFVA VDFAD FFDGF FDGDV AAGXV GGAVX FXADV VXXAD
Les lettres ADFGVX ont t choisies pour ce code car l'essentiel des
tlcommunications est transmis par radio, et les lettres ADFGVX ont des codes
morses trs diffrents. Les utiliser vite les confusions pendant la transmission.
14.4.3

Le travail des Franais

L'quipe franaise de cryptographie est particulirement talentueuse au cours de


la Premire Guerre Mondiale. Ds le dbut des hostilits, la majorit des messages
chiffrs allemands sont compris, mais malheureusement ces exploits sont gchs
par des indiscrtions dans la presse. Avec l'apparition du chiffre ADFGVX, la
situation se complique srieusement...
Le cryptologue le plus dou de la Section du chiffre est le palontologue Georges
Painvin, ancien major de l'cole Polytechnique. Aprs un travail acharn, il
parvient le 2 juin 1918 dchiffrer les fameux messages allemands, dont un
radiogramme destination d'une unit situe au nord de Compigne (voir cicontre). Le marchal Foch est immdiatement averti des intentions de l'ennemi, et
fait masser les troupes au lieu adquat. L'assaut allemand a lieu le 9 juin 1918. Il
est stopp net. La dynamique de la victoire s'enclenche. Pas tonnant que ce
message chiffr ait reu le nom de Radiogramme de la Victoire.
Allis 2 Allemagne 0

14.5

Olivier Levasseur

Olivier Levasseur plus connu sous le nom de "La Buse", surnomm ainsi en raison de sa rapidit fondre sur sa
proie est un authentique pirate.
La Buse, cuma l'ocan Indien au dbut du 18me sicle. Il aurait cach un trsor estim 4,5 milliards d'euros
quelque part La Runion. Aujourd'hui encore, des chercheurs et des scientifiques se lancent la recherche de
ce trsor prcieusement conserv depuis plus de 280 ans.
14.5.1

Son histoire :

Olivier Levasseur est n Calais la fin du XVII sicle. En 1721, La Buse est associ au pirate anglais Taylor.
Ils se sont empar au mois d'avril du riche vaisseau portugais de 72 canon La Vierge du Cap qui avait cherch
Cryptologie

Page 49 / 50

refuge contre les temptes dans le port de Saint-Denis (le Bourbon).


A bord du vaisseau se trouvaient le comte Ericeira, vice-roi des Indes et
l'archevque de Goa. La Buse fit main basse sur les objets d'inestimable
valeur : rivires de diamants, bijoux, perles, barres d'or et d'argent,
meubles, tissus, vases sacrs et cassettes de pierres prcieuses, et la
crosse d'or de Goa constelle de rubis pesant une centaine de kilos, le tout
valu 4,5 milliards d'euros.
La Vierge du Cap, radoube et remise neuf, devint le vaisseau de La
Buse et prit le nom de Le Victorieux.
Mais l'anne d'aprs, Duguay-Trouin et le commodore anglais Matthews
vinrent se chercher querelle dans les parages. La Buse et Taylor se sont
mfis et ont prfr prendre "le large". Taylor s'enfuit aux Antilles et La Buse se retira l'le Sainte-Marie prs
de la cte de Madagascar.
Il est certain qu'il
trsor...mais o ?

cach

son

On a avanc le nom de 6 les : Maurice,


La Runion, Frigate, Mah, Rodrigues,
Sainte-Marie.
Vers 1729, exerant le mtier de pilote
dans la baie d'Antongil (Madagascar), il
offrit des services au vaisseau La Mduse,
de la Compagnie des Indes, qui voulait
entrer dans le port.
Le Capitaine d'Hermitte, commandant de
bord, le reconnut, et se souvenant que le
pirate avait maintes fois arraisonn des
navires de sa compagnie, il l'arrta.
Le 7 juillet 1730, La Buse tait condamn
mort.
Quand il monta sur l'chafaud pour expier
ses crimes de pirate, Olivier Levasseur, dit
La Buse, lana dans la foule un
cryptogramme et s'cria :
"Mes trsors qui saura
comprendre !"
Qu'est devenu le trsor?
Nul ne saurait le dire, mais depuis plus de
deux sicles, l'ocan Indien, des les Seychelles la pointe de Madagascar, est le centre de recherches
incessantes et foisonne de documents cls, de rbus et de signes gravs qui tous, selon la tradition, se
rapportent aux prodigieux trsors de La Buse.
14.5.2

Cryptanalyse

La Buse utilise le chiffre dit de Pig Pen (parc cochons) qui est un simple chiffre de substitution
monoalphabtique
Soit
14.5.3

Exercice

Trouvez le trsor et rapportez le au prof.

Cryptologie

Page 50 / 50