Rechercher
Contactez-nous Suivez-nous sur Twitter En francais English Language
 











Abonnez-vous gratuitement à notre NEWSLETTER

Newsletter FR

Newsletter EN

Vulnérabilités

Se désabonner

RSSIL : l’ESIEA … d’iAWACS au chiffrement par flot

juin 2010 par Emmanuelle Lamandé

L’ESIEA était particulièrement bien représentée lors de la 5è édition des RSSIL (Rencontres des Solutions de Sécurité et d’Informatique Libre) à Maubeuge. Anthony Desnos et Samir Megueddem sont revenus, dans un premier temps, sur les résultats du concours iAWACS, puis Eric Filiol s’est intéressé aux écueils du chiffrement par flot.

Quelques semaines après la seconde édition d’iAWACS, Anthony Desnos et Samir Megueddem, ESIEA, sont revenus sur les principaux résultats et enjeux d’un tel concours. Outre les défaillances évoquées des 14 antivirus testés cette année, le problème majeur repose, pour eux, sur l’illusion de sécurité éprouvée par les utilisateurs. En effet, l’antivirus est aujourd’hui perçu comme une unique défense pour une majorité d’entre eux, qui s’estiment, de surcroît, en totale sécurité avec. L’un des objectifs de ce concours est de faire prendre conscience aux utilisateurs des risques de sécurité. Les antivirus doivent être utilisés, mais tout en ayant conscience qu’ils restent contournables.

Ils ont également souligné l’absence de recherches opérationnelles, aussi bien du côté des éditeurs d’antivirus que des universitaires. De nouveaux systèmes de sécurité doivent être pensés.

Eric Filiol, ESIEA, a, quant à lui, mis en exergue les écueils du chiffrement par flot et démontré la simplicité de cryptanalyse de tels systèmes. Il s’est plus particulièrement intéressé aux algorithmes de chiffrement proposés par Microsoft dans ses suites Office 97 à 2003, ces dernières étant encore majoritairement utilisées en entreprises. Plusieurs alternatives s’offrent à l’utilisateur, même si le résultat au final est, comme il le démontre, relativement similaire. En effet, l’utilisateur peut préférer au chiffrement par défaut XOR (qui est un chiffrement faible) un chiffrement RC4 128 bits, présumé solide. Toutefois, dans ce système, de version chiffrée en version chiffrée, le modèle reste le même, avec le même mot de passe, le même vecteur d’initialisation et donc la même clé. Cette faiblesse d’implémentation compromet l’efficacité de ce type de chiffrement et donc la confidentialité des données.

Pour conclure, il souligne un décalage entre la théorie et la pratique en matière de crypto. La sécurité de l’application repose à 80% sur la configuration de la base de registre. Un système de chiffrement doit donc être pensé en fonction de l’OS, et surtout de manière dynamique.


Articles connexes:

Voir les articles précédents

    

Voir les articles suivants