Vendredi 08 janvier 2010
La cryptographie aide à assurer notre sécurité sur internet. Par exemple en chiffrant les pages web (HTTPS), en signant des documents électroniques (impôts, emails) ou en protégeant nos données bancaires.
On le sait, les progrès en matière de cryptanalyse, mathématiques et informatique permettent de mettre à mal certains algorithmes cryptographiques auparavant considérés comme sûrs.
S'il est bien un algo médiatique en cryptographique, c'est le RSA, de ses inventeurs Rivest, Shamir et Adleman qui ont même déposé un brevet (qui a expiré en septembre 2000) et fondé une société qui vends des services cryptographiques.
Cependant, des chercheurs sont parvenus à casser une clé RSA de 768 bits, ce qui est une belle prouesse.
Est-ce que cela remet en cause l'algo RSA pour autant ? Pas vraiment. D'abord parce que cela leur a pris 2 ans et demi, ensuite parce que tout le monde utilise depuis longtemps des clés qui font au minimum 1024 bits. Et il y a un gouffre entre 768 et 1024 bits.
Cela ne pose donc pas de danger immédiat, mais il va falloir passer progressivement à des clés plus grandes (2048 ou 4096 bits), tout comme il va falloir progressivement abandonner MD5 et SHA1.
En cryptographie, il est important de ne pas se reposer sur ses lauriers et suivre les avancées scientifiques et techniques (les deux étant très liées en cryptographie). D'autant plus que c'est un domaine particulièrement délicat, difficile à appréhender et même de bons algos peuvent mener à une mauvaise sécurité s'ils sont mal utilisés. Par exemple, beaucoup de logiciels en php stockent les mots de passe sous forme de MD5, ce qui est une énorme connerie particulièrement mauvais (surtout quand on trouve des bases de données de MD5 comme celle-ci ou cella-là.) Il y a pourtant de bonnes façons de faire, mais les développeurs ne sont généralement pas bien formés à la cryptographie, voir pas du tout.
Conséquence: Ne faites pas confiance aux webmasters pour la sécurité. Utilisez des mots de passe différents pour chaque site web et ne faites pas confiance aux logiciels pour mémoriser vos mots de passe.
En cryptographie, ce n'est pas tant la sécurité des algorithmes eux-mêmes qui pose problème que leur (mauvaise) utilisation.