CR de la séance du 2 avril de l’atelier « Protégeons nos vies numériques »

Après avoir vu les aspects théoriques du chiffrement informatique et notamment les algorithmes et les mécanismes de fonctionnement du RSA, nous sommes passés à la pratique en étudiant les moyens de chiffrement et de signature des mails à l’aide de la suite gpg.

L’atelier a été présenté par Nicolas Vinot – développeur professionnel, membre de l’association April et expert en sécurité à titre personnel.

Dans un premier temps nous sommes revenus sur les problématiques de la confidentialité des échanges sur l’Internet. Nicolas a insisté sur l’importance d’utiliser des outils de chiffrement pour assurer la confidentialité de nos données privées.
Il a pointé du doigt les faiblesses de certains moyens de chiffrement comme SSL/TLS et leur implémentation dans le protocole HTTPS

 

Le présentateur nous a indiqué que l’interception des données en clair sur un réseau est très facile à mettre en œuvre, une fois que l’on ait accès au réseau physique, typiquement sur un reseau WiFi. Du fait que les données traversent plusieurs nœuds avant d’arriver à leur destination, les données en clair peuvent être interceptés à tout moment sur Internet. Nous avons proposé à Nicolas d’axer un prochain atelier sur le thème de l’interception et de la prévention.

En ce qui concerne l’atelier du jour, nous avons utilisé gpg – un outil libre et déjà installé dans la plupart des distributions GNU/Linux, pour expérimenter le chiffrement et la signature des mails. Le logiciel permet d’utiliser RSA, DSA ou Elgamal comme algorithmes de chiffrement asymétriques.

Chacun des participants a pu faire les activités suivantes :

–  Générer d’une pass-phrase sûre à l’aide de la méthode diceware

– Générer une paire de clés publiques/prives. Le présentateur a attiré l’attention sur des points précis comme :

– Pourquoi il faut utiliser des clés d’une taille minimale de 4096 bits. Nicolas a insisté sur le fait qu’en deçà la sécurité n’est pas suffisante (en présumant les moyens techniques importants des agences nationales de renseignement).

– On a pu constater que la génération de clés de 4096 bits peut échouer si l’entropie est trop faible sur le PC . D’où l’importance de solliciter son système lorsque l’on génère ses clés (par exemple bouger la souris, lancer des programmes, écrire quelque chose au clavier). Nous avons vu que le niveau d’entropie est visible dans /proc/sys/kernel/random/entropy_avail. Il existe un outil qui permet de générer de l’alléatoire qui s’appelel Entropy Key. C’est un produit commercial qui se distribue sous forme d’un dongle USB qui contient un CPU qui génère de bruit, puis ce bruit est retravaillé afin d’avoir un aléa propre.

– Nous avons discuté sur l’importance de limiter la durée de vie des clés. Nicolas nous a conseillé de choisir une durée d’un an. La raison pour cela est que si la clé est compromise d’une certain façon, il devient beaucoup plus difficile d’invalider la clé. Pour cela, avec une date fixée à un an, nous limitons les dégâts possibles en cas de compromission de la clé.

– Nous avons discuté également sur les différents moyens d’échanger une clé publique. Entre l’échange physique, l’utilisation d’un dépôt publique et la publication sur un site perso, chaque méthode a ses avantages et ses inconvénients.

– Nous avons vu le processus de signature d’une clé publique dans le but d’établir un réseau de confiance. Dans une certaine mesure ce processus peut s’avérer plus sûr que le fait de laisser la gestion de son certificat par une autorité de certification.

– Nous avons vu les étapes pour configurer correctement son client de messagerie.

– Nous avons terminé avec des exercices de chiffrement et déchiffrement de mails.

Cette séance a été une excellente introduction sur les outils de chiffrement disponibles librement en ligne. Nous avons revu quelques aspects théoriques, mais surtout vu les aspects pratiques de la mise en place d’une solution de chiffrement des mails. L’atelier a été animée de façon excellente par Nicolas Vinot qui maîtrisait pleinement le sujet et a pris le temps de répondre à nos questions et incompréhensions lors des exercices.

Leave a Reply

Your email address will not be published. Required fields are marked *