Académique Documents
Professionnel Documents
Culture Documents
2
SÉQUENCE 3 - METTRE EN ŒUVRE
LA SIGNATURE NUMÉRIQUE DES COURRIELS, LE CHIFFREMENT
ET LE HACHAGE DES FICHIERS ET LES CERTIFICATS SSL
SYNTHÈSE
Contenu
1. Rappels théoriques������������������������������������������������������������������������������������������������������������������������������� 1
2. Applications pratiques�������������������������������������������������������������������������������������������������������������������������� 6
3. Conseils������������������������������������������������������������������������������������������������������������������������������������������������� 9
NOTIONS CLÉS
— Principes de la sécurité : disponibilité, intégrité, confidentialité, preuve.
— Protection et archivage des données : principes et techniques.
— Chiffrement, authentification et preuve : principes et techniques.
1. Rappels théoriques
1A. Introduction
Depuis des siècles, tous, des rois aux généraux en passant par les étudiants, veulent s'assurer de
l'authenticité de leurs communications.
Une fonction de hachage est un moyen de transformer les données en un nombre relativement petit qui
peut ensuite servir d'empreinte digitale des données. L'algorithme utilisé remplace ou transpose les
données pour créer cette empreinte digitale unique. Ces empreintes digitales peuvent être appelées
sommes de hachage, valeurs de hachage, codes de hachage ou simplement hachages. Les hachages
cryptographiques servent à diverses fins dans les applications de sécurité de l'information. Ils sont
utilisés pour effectuer des contrôles d'intégrité des messages et fournir des signatures numériques
dans diverses applications de sécurité de l'information, telles que l'authentification et l'intégrité des
messages.
1C. Le MD5
Défini dans la RFC 1321, le MD5 (Message Digest algorithm 5), avec sa valeur de hachage de 128 bits, a
été utilisé dans une grande variété d’applications de sécurité. Il est également couramment utilisé pour
vérifier l’intégrité des fichiers.
Ronald Rivest a conçu le MD5 en 1991 pour remplacer l’ancienne fonction de hachage du MD4. Cinq ans
plus tard, en 1996, une faille a été découverte dans la conception du MD5. Bien que cette faille ne soit
pas une faiblesse fatale, la communauté de la cryptographie a commencé à recommander l’utilisation
d’autres algorithmes, comme SHA. Ironiquement.
1D. Le SHA
Le SHA (secure hash algorithm) est un algorithme de hachage considéré comme cryptographiquement
sécurisé. En général, les fonctions de hachage sont utilisées pour trier et organiser les données
numériques en paquets plus petits et plus catégorisés. Les algorithmes sont les programmes qui
pilotent les fonctions et la sécurité de ces algorithmes est importante dans la mesure où elle contrôle
la facilité avec laquelle les données peuvent être déverrouillées et réorganisées. Le degré de sécurité
nécessaire dépend généralement des circonstances. De nombreux développeurs de logiciels et de
codes veulent des algorithmes impénétrables parce que leurs méthodes de tri des sujets et de dessin
des connexions sont propriétaires, et qu’ils les utilisent pour gagner de l’argent. Dans d’autres cas, les
données elles-mêmes sont très sensibles, comme c’est souvent le cas pour des choses comme les
dossiers médicaux ou certains documents gouvernementaux. La mécanique des SHA est généralement
très compliquée et il faut généralement un certain degré de connaissances techniques pour comprendre
1D1. Normalisation
Le gouvernement américain a normalisé au moins six algorithmes de hachage sécurisés. SHA-0 et
SHA-1 ont été les premiers modèles développés dans les années 1990. La série SHA-2 développée dans
les années 2000 comprenait SHA-224, -256, -384 et -512. Ces modèles sont conçus de telle sorte que
deux documents au contenu différent produisent généralement deux ensembles uniques de valeurs de
hachage, ce qui est très utile pour éviter les collisions de hachage.
2B. Principe
Pour comprendre les signatures numériques, nous devons commencer par examiner les systèmes de
signature numérique et leurs points communs. Tous les systèmes de signature numérique ont un certain
nombre d’exigences préalables.
La première exigence est la qualité des algorithmes. Certains des algorithmes à clé publique disponibles
ont été remis en question en ce qui concerne la sécurité. D’autres sont connus pour être peu sûrs, car
des attaques prévisibles ont été lancées contre eux.
La deuxième exigence est la qualité des implémentations. Cela signifie que même si vous disposez d’un
algorithme de qualité, s’il est mal implémenté, il ne vous aidera pas. La troisième exigence est que la
clé privée doit rester secrète. Si cette clé privée est compromise, un attaquant peut créer une signature
numérique exacte de tout ce qu’il veut. La quatrième exigence est que la distribution des clés publiques
doit être faite de manière à garantir qu’une clé publique appartenant à un utilisateur donné appartient
bien à cet utilisateur.
Souvent, cela se fait à l’aide d’une infrastructure à clé publique. L’association d’utilisateurs de
clés publiques est attestée par l’opérateur de l’infrastructure à clé publique, l’AC. Dans le cas des
infrastructures à clé publique « ouvertes » - c’est-à-dire celles dans lesquelles n’importe qui peut
demander une telle attestation - incorporées dans un certificat d’identité, le risque d’erreur d’attestation
n’est pas négligeable. Malheureusement, les fournisseurs commerciaux d’infrastructures à clé publique
ont souffert d’un certain nombre de problèmes connus du public. De telles erreurs peuvent conduire
à des documents faussement signés, et donc à des documents attribués de manière incorrecte.
Le maintien d’un système d’infrastructures à clé publique « fermées » est plus coûteux pour les
organisations, mais moins facilement subverti, offrant un niveau de sécurité plus élevé à ceux qui
peuvent prendre de telles mesures. Enfin, au-delà de l’infrastructure à clé publique et des mesures
que les administrateurs doivent prendre pour assurer la sécurité, le cinquième et dernier domaine de
3B1. Certificats
De nombreux protocoles Internet utilisent des certificats X.509 pour permettre aux navigateurs et aux
systèmes d’authentifier les sites web et les serveurs à l’aide de la cryptographie à clé publique.
3C. Conclusion
Comme le chiffrement des données s’applique à la fois aux données actives ou passives, il offre une
protection cohérente qui pourrait conduire à la tranquillité d’esprit des personnes qui manipulent les
informations.
Les recherches montrent qu’un pourcentage croissant d’entreprises sait qu’il est essentiel de créer
un plan de chiffrement. Selon une étude sur les activités des organisations en 2018 effectuées par le
Ponemon Institute 55 % des entreprises ont déclaré ne pas avoir de stratégie de chiffrement globale
appliquée de manière cohérente dans l’ensemble de leur organisation, parmi elles 75 % ont mentionné
avoir une stratégie de chiffrement limitée et utilisée seulement pour certaines applications ou certains
types de données, et environ 15 % ont déclaré ne pas avoir de stratégie.
Même lorsqu’elles ne sont pas tenues de chiffrer les données en raison de la réglementation sur la
protection de la vie privée, certaines entreprises choisissent de le faire pour montrer à leurs clients
qu’elles prennent la protection de la vie privée au sérieux. Cette affirmation est particulièrement
importante en raison de l’érosion de la confiance de nombreuses personnes dans l’Internet.
Selon l’enquête mondiale CIGI-Ipsos 2019 sur la sécurité et la confiance sur Internet, 53 % des
personnes interrogées ont déclaré qu’elles étaient plus préoccupées par la protection de la vie privée
en ligne aujourd’hui qu’il y a un an. La même enquête indique que près de la moitié des personnes
interrogées ont déclaré que leur méfiance à l’égard d’Internet les poussait à divulguer moins
d’informations personnelles en ligne. Il est surprenant de constater que seulement 19 % des personnes
interrogées ont déclaré utiliser davantage de chiffrement pour accroître la sécurité.
Ces résultats offrent aux entreprises la possibilité de renforcer la confiance des consommateurs en
indiquant explicitement comment elles chiffrent les données des clients. Bien que les utilisateurs finaux
doivent également assumer leurs responsabilités, les entreprises peuvent consolider leur réputation
en mettant l’accent sur l’engagement à intégrer les dernières technologies de chiffrement dans leurs
activités.