PRINCIPES DE SÉCURITÉ
Authentification
Alice est sûre de parler avec Bob et pas Mallory
Confidentialité
La conversation privée d’Alice et Bob n’est pas lue par
Facebook
Intégrité
Les messages reçus par Alice sont bien ceux écrits
par Bob
Disponibilité
Alice doit toujours pouvoir joindre Bob
Non-répudiation
Bob ne peut pas dire « Mais non, j’ai jamais écrit ça
! »
SÉCURITÉ.
JE PASSE EN PREMIER
Serge Karamazov

PRINCIPES DE SÉCURITÉ
Alice Bob
Mallory
Man in the middle

01
• Introduction & Bref historique
• Principe de Kerckhoffs
• Chiffre de César
• Chiffre de Vigenère
• Chiffre de Vernam
ALICE ET BOB VOYAGENT
DANS LE TEMPS

INTRODUCTION
Ils sont nés en 1978 mais on peut également les
situer à l’Antiquité ou lorsqu’on évoque la 2nde
guerre mondiale
Ils ont utilisé ICQ, MSN, Caramail, AOL, BlackBerry
Aujourd’hui : WhatsApp, Facebook Messenger,
Snapchat…
Ils se sentent plus en sécurité sur Telegram, Olvid,
Wire, Skred
Ils ont migré sur Signal avant tout le monde
Dans le futur ils utilisent la cryptographie
quantique et post-quantique

Principalement militaire
400 av JC - Grèce antique
Guerre du Péloponnèse
50 av JC - Empire Romain
Guerre des Gaules
IXe - Philosophe / mathématiciens Arabes
Début cryptanalyse
XVe – Occident
Cryptanalyste au sein des cours européennes
XIXe et XXe – Conflits en Europe
Sécurité des communication télégraphiques et radio
BREF HISTORIQUE
Scytale grecque
Enigma

PRINCIPE DE KERCKHOFFS
1883 – Auguste Kerkhoffs – Cryptologue
militaire néerlandais
« La sécurité d’un système ne doit reposer que sur la
clé »
Tous les autres paramètres doivent être supposés
connus
Maxime de Shannon
« L’adversaire connait le système »
LA SÉCURITÉ NE REPOSE PAS SUR LE
SECRET DE L’IMPLÉMENTATION MAIS
SUR LA ROBUSTESSE DES ALGOS DE
CHIFFREMENT.

CHIFFRE DE CÉSAR
Décalage alphabétique /
ROT13
JE SAIS CHIFFRER PAR DECALAGE
MH VDLV FKLIIUHU SDU GHFDODJH

Attaque par force brute
Rapide : clé 25 possibilités
Analyse fréquentielle
CHIFFRE DE CÉSAR

CHIFFRE DE VIGENÈRE (XVIE)
Intérêt
2 caractères identiques ne donnent pas forcément la
même lettre chiffrée
message : Je sais chiffrer avec Vigenere!
clé déroulée : ba teau bateauba teau bateauba
-------------------------------
résultat : Ke leim dhbjflfr tzew Wizinyse!
La clé est un mot

CHIFFRE DE VIGENÈRE (XVIE)
Attaque par analyse fréquentielle impossible
Recherche de séquences
Analyse fréquentielle de chaque séquence
Indice de coïncidence

CHIFFRE DE VERNAM
(DIT « MASQUE JETABLE »)
Théoriquement incassable
Utilisé pour la « hotline Moscow-Washington »
La clé est de la même
taille que le message

CHIFFRE DE VERNAM (DIT « MASQUE JETABLE »)
Incassable
N’importe quel texte peut être obtenu à partir du message chiffré
Il existe une clé pour n’importe quel texte
Difficilement utilisable en pratique
Clé trop longue
CeNestPasMonMessageSecretAh
BVKDGNSKPDPAYCCPPSSIJCZGBVX
PHXRCVAKJZLIFJLLXAOGSYGGUVQ
CeNestPasCeluiLaNonPlusAhah
RLKVUOPKBLZVRNDDXGSYWAXKNVX
PHXRCVAKJZLIFJLLXAOGSYGGUVQ
MonMessageEstTresSecretAhah
DTKFYDIKDVHQMQUHFIKEBUNGNVJ
PHXRCVAKJZLIFJLLXAOGSYGGUVQ

TERMINOLOGIE

02
• Hashage
• Somme de contrôle
• Fonction de hashage
• Chiffrement symétrique
BOB EN A MARRE DE SE
FAIRE SPOILER PAR ALICE

Fonction dite « à sens
unique »
Très rapide
Impossible de retrouver le
message original
Empreinte numérique
Permet de faire des
comparaisons
Vérification intégrité
Checksum
Stockage mot de passe
HASHAGE Intégrité

Formule de Luhn (collisions
importantes)
Numéro de sécurité sociale
Numéros de carte bancaire
SIRET
SOMME DE CONTRÔLE Intégrité

Une fonction de hashage
parfaite ne comporte aucune
collision
Impossible si le texte original
est plus grand que la taille du
hash
Exemples :
md5
SHA-1 / SHA-2
Bcrypt
Argon2
FONCTION DE HASHAGE
SÉCURISÉE CRYPTOLOGIQUEMENT

FONCTION DE HASHAGE
UTILISATION ET LIMITES

FONCTION DE HASHAGE
SEL ET POIVRE
Contrer l’attaque par dictionnaire / Rainbow tables
Sel : chaine aléatoire par utilisateur
Poivre : Chaine aléatoire commune
Itérations
Risque
Déni de service
Time based user enumeration
md5(md5($pass).md5($salt)) ou md5($salt.$pass.$salt)
Calculer le hash même si l’utilisateur n’existe pas

Partage d’une clé secrète
La clé secrète permet de
chiffrer et déchiffrer
Perfs ++
CHIFFREMENT SYMÉTRIQUE Confidentialité

AES (2^128 clés)
Très utilisé
Chiffrement disques et fichiers (BitLocker)
Gestionnaire de mot de passe
Messagerie (WhatsApp, Signal…)
Blowfish
DES (2^56 clés)
Obsolète
Triple DES
Trop lent
Enigma (Turing)
CHIFFREMENT SYMÉTRIQUE
USAGE

Physiquement
Réglages Enigma
Valise diplomatique
CHIFFREMENT SYMÉTRIQUE
ECHANGES DES CLÉS

03
• Echange de clés - Diffie-Helman
ALICE ET BOB ENTRETIENNENT
UNE RELATION À DISTANCE

ECHANGE DE CLÉS - DIFFIE-HELMAN

ECHANGE DE CLÉS - DIFFIE-HELMAN

ECHANGE DE CLÉS - DIFFIE-HELMAN

04
• Alice et Bob arrivent avec RSA
• Chiffrement asymétrique
ALICE ET BOB ONT 3 PAPAS

ALICE ET BOB ARRIVENT AVEC RSA
RON RIVEST, ADI SHAMIR, LEONARD ADLEMAN
1978 – Publication des recherches
1976 – Diffie / Hellman publient des résultats
théoriques
1970 – Découverte en secret par le GCHQ
(Government Communications Headquarters)
CLÉ PUBLIQUE / CLÉ PRIVÉE

Chacun garde sa clé secrète
Partage d’une clé publique
personnelle
Perfs - -
CHIFFREMENT ASYMÉTRIQUE Confidentialité

CHIFFREMENT ASYMÉTRIQUE
Chiffrement
Seul Bob peut déchiffrer le message chiffré avec sa clé publique
Confidentialité
Hello ! Jx(q%2A Hello !
Bob Bob
Bob

CHIFFREMENT ASYMÉTRIQUE
Signature
Seul Alice peut avoir écrit un message chiffré avec sa clé privée
Confidentialité
Intégrité
Hello ! Jx(q%2A Hello !
Alice Alice
Alice

05
• Client - Serveur
Application avec TLS/SSL
BOB IS A BOT

CLIENT - SERVEUR
APPLICATION AVEC TLS/SSL
Bot génère un couple clé privé / clé publique
Bot

CLIENT - SERVEUR
APPLICATION AVEC TLS/SSL
Bot génère un CSR (Certificate Signature Request)
Bot

CLIENT - SERVEUR
APPLICATION AVEC TLS/SSL
Bot génère un couple clé privé / clé publique
Bot

CLIENT - SERVEUR
APPLICATION AVEC TLS/SSL
Alice récupère le certificat et la clé publique du serveur
Bot
Alice
https://bob.fr

CLIENT - SERVEUR
APPLICATION AVEC TLS/SSL
Alice vérifie l’authenticité du certificat via la liste d’Autorités du navigateur
Alice

CLIENT - SERVEUR
APPLICATION AVEC TLS/SSL
Alice génère une clé de chiffrement symétrique
Elle chiffre cette clé à l’aide de la clé publique de Bot
Alice Bot

CLIENT - SERVEUR
APPLICATION AVEC TLS/SSL
Alice et Bot partagent un canal sécurisé par un chiffrement symétrique
Alice Bot

06
• Top 10 – OWASP
• Choix des composants tiers
• Choix des algos de chiffrement /
hashage
ALICE ET BOB SONT DES
BONS DÉVELOPPEURS

TOP 10 - OWASP

CHOIX DES COMPOSANTS TIERS
Vulnérabilités connues dans les dépendances
Outils automatisés
Détecter
Mettre à jour

CHOIX DES ALGOS DE CHIFFREMENT / HASHAGE

CHOIX DES ALGOS DE CHIFFREMENT / HASHAGE
THÉORIE / PRATIQUE
Dans son édition du 6 septembre 2013, le journal The Guardian(1) affirmait que la NSA(2) était
capable de déchiffrer la plupart des données chiffrées circulant sur Internet. De nombreuses
sources ont cependant indiqué que la NSA n'avait pas mathématiquement cassé les
chiffrements mais s'appuierait sur des faiblesses d'implémentation des protocoles de
sécurité.
(1) https://fr.wikipedia.org/wiki/The_Guardian
(2) https://fr.wikipedia.org/wiki/NSA

07
• Injection SQL
• Cas concret
ALICE ET BOB NE SAVENT JAMAIS
SUR QUOI ILS VONT TOMBER

TOP 10 – OWASP
INJECTION SQL
Input non vérifiée :

TOP 10 – OWASP
INJECTION SQL

CAS CONCRET
VÉRIFICATION DES ENTRÉES

CAS CONCRET
VÉRIFICATION DES ENTRÉES

CAS CONCRET
VÉRIFICATION DES ENTRÉES

08
• Problème de l’échange de clés
• Se prémunir de la menace d’un
calculateur quantique
CRYPTOGRAPHIE QUANTIQUE

CRYPTOGRAPHIE QUANTIQUE
PROBLÈME DE L’ÉCHANGE DE CLÉS
Distribution quantique de clés
Ensemble de protocoles permettant de distribuer une clé de chiffrement en assurant la
sécurité de la transmission grâce aux lois de la physique quantique
Garantie que l’espionnage sera toujours détecté
Utilisation d’un algorithme de chiffrement symétrique classique
BB84 - Protocole développé en 1984
E91 – Protocole développé en 1991
Mis en pratique en 2004 – Transaction financière
2007 – Transmission des résultats des élections nationale à Genève

CRYPTOGRAPHIE POST-QUANTIQUE
SE PRÉMUNIR DE LA MENACE D’UN CALCULATEUR QUANTIQUE
Pas de menace concrète actuelle
Grande inconnue
Les algorithme classique sont extrêmement vulnérables
Cassés très facilement
Complexité réduite

Straight to
the point
www.spikeelabs.fr