Cryptographie

Samedi dernier, dans le cadre de la fête de la science, j'ai assisté à une conférence sur la cryptographie à la médiathèque de Bures sur Yvette. L'auteur, Genma, a promis de mettre sa présentation sur son blog [1]. Dans le hall, les panneaux sur Alan Turing méritaient le détour. Ils illustreront donc ce billet.



Jeudi dernier, un technicien des systèmes d'information de la préfecture de police, Mickaël Harpon, a tué quatre de ses collègues. Il était sourd. Il était d'origine martiniquaise. Sa carrière n'évoluait pas. Je ne vais pas jouer les expertes de terrorisme ou de psychologie du travail. Ce billet sera sans doute un peu technique. Nul doute que Castaner ou le préfet Lallement n'y comprendraient rien. Ceux que le terroriste appelaient les "utilisateurs", c'est-à-dire ses collègues policiers ne sont pas forcément mieux armés que ceux qui les gouvernent...

Cadenas es-tu là ? 

Pour lire ce blog, vous pouvez utiliser deux adresses (URL) :
http://zazaa.blogspot.com
https://zazaa.blogspot.com

Celle avec https fait apparaître un petit cadenas. Quand on clique dessus, on a plus de détails. On retrouve ce cadenas sur tous les sites sérieux (banque, commerce, etc...). Il n'est pas indispensable sur les sites qui ne demandent pas de se connecter. Par exemple, si vous n'avez pas l'intention de commenter quoi que ce soit sur ce blog, l'affichage de la page en http est un peu plus rapide.


Dernièrement, j'ai commandé le livre Anoptikon [3] d'Olivier Aubert [4] sur lalibrairie.com [2]. Il m'aurait été difficile de le commander sur le site d'une librairie qui ne possède pas de petit cadenas. Tant que le but est uniquement de rechercher des informations sur un livre, ce n'est pas un énorme problème.


Un cadenas, ça sert à quoi ? 

Lors de sa conférence, Genma a présenté les différents types de chiffrement, symétriques et asymétriques (avec l'histoire de Bob et Alice qui s'échangent leurs clés). J'ai été surprise qu'une chercheuse connue demande "mais à quoi ça sert tout ça ?", avant tout parce que dans le milieu de la recherche, il y a des cadenas partout... Certains pensent même que les administrateurs systèmes sont un peu parano. 

Tout d'abord, pour le commerçant, ça évite de faire fuir les clients. Si je veux créer un compte sur un site non sécurisé, Firefox m'alerte.


Pour le client, le mot de passe circule "en clair". C'est-à-dire qu'il peut être intercepté par n'importe quel individu utilisant un logiciel comme Wireshark [6] connecté au même réseau que l'utilisateur. Par exemple, si j'essaie de me connecter avec l'utilisateur "zazaa" et le mot de passe "blof" tout en lançant Wireshark pour m'écouter moi-même :


Je retrouve ces informations :

Sur le site de la librairie sécurisée, je ne vois rien du tout :


Agent d'exécution

Sur le second site, on remarque de petits détails qui perturbent la navigation, comme l'absence de "é" à "échapper" ou le logo qui se place par-dessus le "Ajout panier". Là encore, rien de dramatique, mais cela indique un site fait "à la main".
Corriger ce genre de petites erreurs (typiquement, un problème css et de l'encodage Windows) n'est pas très gratifiant pour le développeur web, en général satisfait de voir que son site permet d'afficher les livres et de les mettre dans un panier.

Je ne sais pas quelles étaient les tâches confiées à Mickaël Harpon, mais ses journées étaient peut-être remplies de logiciels à mettre à jours, de petits trucs à corriger. Dans son point presse du 15h le 4 octobre, le préfet Lallement a parlé d'un agent de catégorie C, d'un agent d'exécution [5]. Outre le jeu de mot laid, cela révèle la méconnaissance du métier.


L'informatique évolue. On est obligé d'apprendre, de remettre en cause ses connaissances en permanences. Ce n'est pas possible de dire je connais Ubuntu 14.04 (sorti en 2014), je ne mettrai pas à jour mon système... Donc même un "agent d'exécution" va devoir évoluer, c'est-à-dire apprendre à maîtriser Ubuntu 16.04 (en 2016) et 18.04 (en 2018) ou Windows 10. Cela dit, j'espère que les machines de la préfecture ne dépendent pas de Microsoft  ! Ce serait un coup à se radicaliser pour le logiciel libre et à s'insurger contre les décideurs qui ont pris une telle décision.

Le geek invisible donc un peu idiot

A l'instar du préfet Lallement ou de Castaner, que pour beaucoup d'hommes blancs dans la soixantaine, un sourd, un noir, une femme, un homosexuel ou un geek comme Snowden qui travaille dans l'informatique est forcément un "agent d'exécution", quelqu'un que l'on ignorera, surtout s'il n'en fait pas des tonnes pour épater la galerie et obtenir des promotions avec des gros mots comme "cyber-sécurité" ou "intelligence artificielle".


Il suffit de voir le mépris de certains enseignants pour les élèves qui souffrent d'un handicap, pour imaginer ce que ça pourrait donner dans un milieu plein de testostérone comme une préfecture. Si pour le professeur, un collégien dysgraphique est juste un paresseux qui ne fournit aucun effort pour écrire lisiblement, un informaticien sourd dans une préfecture est forcément idiot. Je ne parle même pas le racisme ou sexisme qui feraient que quiconque ne serait pas un mâle blanc dominant serait juste là pour rendre service et accomplir des tâches subalternes.

Dans son livre "Mémoires Vives", Edward Snowden écrit page 71/72 :
" Il faut toujours laisser les gens vous sous-estimer. Parce que quand ils sous-évaluent votre intelligence et vos aptitudes, ils ne font que souligner leurs faiblesses - les trous béants dans leur jugement doivent rester comme ça pour qu'ensuite vous puissiez parader. "   

Je ne connais aucun collègue, qu'il ait juste le bac ou une thèse en informatique qui n'ait souffert de trou béant dans le jugement des "utilisateurs" à qui il rend service ou des "responsables" qui jugent son travail. La fonction publique ne parvient pas à recruter, et vu les grilles de salaire, ce n'est pas très étonnant. Licencier Mickaël Harpon parce qu'on le soupçonne de radicalisation, ça impose de recruter quelqu'un d'autre, et c'est sans doute bien plus difficile que de faire comme si on n'avait rien entendu après les attentats de janvier 2015.

Mots de passe

Lors de sa conférence, Genma a conseillé d'utiliser le logiciel KeepassXC [7] pour générer des mots de passe. C'est ce que j'ai fait pour le site de la librairie locale. Comme toutes les informations circulent en clair, si jamais j'utilisais le même mot de passe que pour lire ma messagerie, me connecter à certains sites, ou application, autant dire que celui qui le trouve aurait accès à tout. 

Keepass m'a proposé comme mot de passe : xTqXWTsV2y1HZ9wZfL87



Genma a indiqué qu'il s'inscrivait sur beaucoup de sites, et que juste après avoir créé un compte, il cliquait sur "mot de passe oublié" pour voir comment le site gérait sa sécurité...

Je l'ai fait sur le site de la librairie non sécurisée, et j'ai reçu le mail suivant :


Le mot de passe est en clair dans le mail envoyé. Cela veut dire qu'il est écrit ainsi dans un fichier texte ou dans une base de données. Celui a a conçu le site sait parfaitement comment le récupérer.

J'ai fait le même test sur  lalibrairie.com [2] et j'ai obtenu un mot de passe temporaire, ce qui laisse à penser qu'ils n'ont pas décrypté celui que j'ai fourni.


Je chiffre, je déchiffre, le pirate décrypte. 

Ce qui s'est passé à la préfecture jeudi est un attentat pour notre sécurité à nous tous. C'est une véritable bombe, car il ne fait aucun doute que Michael Harpon connait des outils bien plus performants que Wireshark pour espionner un réseau. Sur ce blog, j'avais râlé (oui encore), contre la loi renseignement de Valls et les IMSI catcher [8].

Imaginons que j'utilise le même mot de passe et la même adresse email partout. Le libraire pourra vérifier si je commande chez Amazon ou la FNAC. Il pourrait souhaiter effacer quelques passages de ce billet, mais en faisant ça, il se dévoilerait. Si un terroriste a des informations utiles, il ne va pas le crier sous les toits, il va juste les exploiter de la manière la plus discrète possible.

J'imagine qu'aujourd'hui, tous les policiers de l'hexagone, tous les journalistes, tous les ministres et députés sont en train de changer de mots de passe, de crainte que tout cela soit dans les mains de Daech ou d'Al Qaïda. S'ils ne l'ont pas fait, c'est qu'ils n'ont rien compris, qu'ils voient encore  Mickaël Harpon comme un agent de catégorie C, un agent d'exécution [5].


 Les "voisins vigilants" en liaison immédiate avec la police municipale feraient aussi bien de jeter un œil à leur sécurité...

  1.  Annonce - Conférence L’usage de la cryptographie dans le cadre de l’hygiène numérique
  2. https://www.lalibrairie.com/
  3. Olivier Auber, Anoptikon, FYP éditons, 2019, 224 pages.
  4. Poietic Generator
  5. Tweet de Sébastien Jallamion
  6. Wireshark
  7. KeepassXC.
  8. E. Piotelat, Rien à cacher, 07/2015 

Commentaires