La cryptographie vise à protéger le secret des communications. L’essor d’Internet et le besoin de protection de la vie privée en ont favorisé l’essor. Les terroristes et autres mafias ont les mêmes besoins que les États et leurs citoyens. Un arsenal juridique fleurit dans de nombreux États, et s’accompagne de techniques destinées à attaquer les communications chiffrées. La majorité des gens sont convaincus d’être en sécurité dès que la cryptographie est employée, cet article montre le contraire.
Communications chiffrées : et si le ver n'était pas (que) dans la pomme ?
Enciphered communications: a can of worms?
The aim of cryptography is to ensure the confidentiality of communications, and the widespread use of the Internet has led to its increased application. Yet terrorists and other mafias have the same needs as governments and citizens. There is a flourishing legal arsenal in many states, and it is accompanied by techniques used to attack enciphered communications. Most people believe that cryptography provides them with security, but this article shows that this is not so.
Article available in english version 
C’est devenu une banalité, mais l’information constitue le nouveau nerf de la guerre : qui accède au plus vite à l’information, la plus fiable possible, dispose d’un avantage certain. De tout temps, la principale protection a consisté à empêcher un adversaire de lire le contenu des messages ; c’est l’objectif de la cryptographie (écriture secrète littéralement), à savoir assurer — entre autres — la confidentialité des données.
Si, théoriquement, les algorithmes cryptographiques semblent difficilement vulnérables, la réalité est tout autre. Bien souvent, la transcription dans un ordinateur ou sur une puce, affaiblit grandement la sécurité. On ne sait pas, en effet, prouver la sécurité de l’implémentation d’un algorithme. De nombreuses entités (étatiques ou industrielles) ne tiennent pas compte de la réalité de l’implémentation et se satisfont de la complexité théorique pour évaluer la sécurité. Ainsi, la sécurité des systèmes d’information est globalement surestimée. Très régulièrement, des polémiques — justifiées ou non, ce n’est pas à nous de juger — viennent remettre en cause la sécurité apportée par ces produits. Qu’en est-il vraiment ? Telle est la problématique que nous présentons dans cet article.
Levons le voile tout de suite : il est techniquement simple d’introduire des faiblesses (invisibles) dans toutes les protections cryptographiques et, ce, que ce soit au niveau des algorithmes mathématiques (les fameuses trappes) ou au niveau de leur implémentation. De là à dire que des personnes, des entreprises ou des gouvernements le font volontairement ou systématiquement… les enjeux pour les uns et les autres ne sont pas du tout les mêmes. Le problème dans cette histoire, et on le voit régulièrement avec le BlackBerry par exemple, est que personne ne peut prouver qu’il y a une telle faiblesse ou qu’il n’y en a pas. Inversement, en tant qu’utilisateur, nous ne pouvons que croire les représentants de l’éditeur qui nous assurent qu’il n’y a pas de telles faiblesses. Bref, on ne peut prouver, ni l’absence, ni la présence d’une faiblesse, d’où les spéculations récurrentes.
Il reste 91 % de l'article à lire
Plan de l'article
Un peu d’histoire
La cryptographie, une arme à triple tranchant
Première lame : protection des données
Deuxième lame : le passage secret vers les systèmes d’information
Troisième lame : cryptographie offensive pour renforcer les attaques
Attaquer la cryptographie
Ajouter des trappes
Attaques par fuites d’information
Attaques sur le canal
La cryptographie, un enjeu stratégique ?
cryptographie, Internet, cryptanalyse
