FLASH INFORMATIQUE FI



Comment faire confiance à Internet ?


Comment faire confiance a Internet ? Des tablettes d’argile de Babylone aux certificats de sécurité corrompus



How can we trust the Internet ? Clay tablets from Babylon to corrupted security certificates


Laurent KLING


Dans notre monde en constante mutation, avec bientôt sept milliards d’êtres humains, l’individu doit se définir comme tel. Cette identité numérique peut être construite à partir d’élément définissant l’origine et la filiation de l’individu. Pour la Suisse, l’ancien numéro AVS contenait de manière codée le sexe, la nationalité, la date de naissance et le nom de famille. L’arrivé de migrants d’une autre culture que la nôtre, où le patronyme est accolé à tous les membres du même lieu entraîna l’apparition de doublons, car tous les éléments constitutifs du numéro de l’AVS existaient à plusieurs exemplaires. Le résultat fut la création du nouveau numéro AVS.
À ce titre, la seule identité plausible est peut-être celle d’un passeport, car elle est définie par une nation pour circuler entre les états.

Tablette d’argile, un support pour l’avenir

La limite communément utilisée pour séparer la préhistoire de l’histoire est l’invention de l’écriture. Celle-ci apparaît rapidement aux bords de l’Euphrate, dans la Mésopotamie fertile qui a engendré certains de nos premiers mythes : Babylone et sa tour de Babel. La technologie utilisée pour l’écriture de l’alphabet cunéiforme peut paraître rudimentaire : de la terre, argile et un stylet, le calame.
Peuple de bâtisseurs et de commerçants, les Babyloniens utilisaient l’écriture dans de nombreuses activités. Si nos archives numériques sont soumises à l’obsolescence des formats et à la fragilité des supports, l’argile séchée devient presque éternelle, car exposée à l’incendie, elle durcit.

Un commerce sécurisé il y a 5000 ans ?

Le Babylonien devait s’assurer que les transactions commerciales se déroulaient correctement. En particulier quand un tiers assurait le transport, par exemple le troc de bois de cèdre du Liban contre du bétail. Comment s’assurer que le transporteur n’augmentait pas les pertes pendant l’acheminement pour garantir ainsi sa bonne fortune ? Schématiquement :

expéditeur -> transporteur -> récipiendaire

Naturellement, par économie d’échelle, on pouvait réaliser un envoi groupé qui augmentait le risque de fraude. Une solution pour ce contrôle de qualité intrinsèque fut rapidement trouvée.

expéditeur -> transporteur -> récipiendaire
écriture du bordereau   envoi   comparaison du bordereau avec la marchandise reçue

Ainsi le bétail arrivait à bon port et l’expéditeur était rassuré sur la conformité de sa transaction.
L’addition de l’identité ajoute un degré supplémentaire de protection. Pour les Babyloniens riches, la signature se présentait souvent sous la forme d’un cylindre finement gravé, qui déroulé au dos du message permettait d’identifier le support par son empreinte dans l’argile.

expéditeur -> transporteur -> récipiendaire
signature du bordereau argile   envoi argile   comparaison du bordereau avec la lettre


Sceau babylonien – scène de présentation, première dynastie de Babylone, 1850-1700 av. JC en hématite, Musée des beaux-arts de Lyon, département des Antiquités, premier étage, salle 12

Naturellement, le transporteur pouvait être plus malin, imiter le sceau et ainsi réaliser une attaque sur le convoi (man-in-the middle attack). Pour pallier cette manoeuvre, les Babyloniens ont inventé un message encapsulé dans une enveloppe d’argile signée :

expéditeur -> transporteur -> récipiendaire
signatures du bordereau et de l’enveloppe en argile   envoi   comparaison de la signature extérieure avec le bordereau signé se trouvant dans l’enveloppe d’argile (après l’avoir cassée)

Cette méthode est directement transposée pour la sécurisation de nos conversations sur le Web. Par un curieux travers du progrès, on réinvente régulièrement des techniques antédiluviennes.


Communication sécurisée il y a 5000 ans. Cette lettre retrouvée avec son enveloppe intacte signée a été ouverte par le British Museum. Elle avait été envoyée à l’adjoint au gouverneur d’une province par un homme qui avait perdu son poste. Selon le contenu, c’est la 4e lettre de réclamation sans obtenir de réponse : « Pourquoi mon seigneur est silencieux, je remue la queue et cours comme un chien, j’ai envoyé trois lettres à mon seigneur. Pourquoi mon seigneur ne consent pas à envoyer une réponse à (ma) lettre ? Que mon seigneur me permette de revenir à mon bureau. J’ai servi votre père, alors laissez-moi maintenant vous servir ! ». (British Museum, 81-7-27,199 et 199A = ASA 15 288 15 289 & ASA ; photo par Greta Van Buylaere) - reproduit avec la permission du British Museum. © Mechanisms of communication in the Assyrian empire. History Department, University College London, 2009

Internet, parfaitement sécurisé ?

Après avoir imité les Babyloniens avec le protocole Secure Sockets Layer, deux points méritent une analyse plus poussée, le transport et l’identification.

Intéressons-nous plus particulièrement au transporteur

Maintenant, l’internaute identifie rapidement la présence d’un cadenas en bas de sa page de navigateur comme l’utilisation du protocole sécurisé SSL. Sans rentrer dans le détail technique, ce protocole utilise un certificat électronique qui identifie l’application (je suis licite, car je proviens de cette source). La parade est immédiate, générer un vrai-faux certificat qui permet d’usurper le service authentique.


un vrai certificat pour changer son mot de passe

Pour éviter ce problème, on demande maintenant aux fournisseurs d’applications sur Internet, par exemple votre système d’authentification, de disposer d’un certificat signé par une entreprise de confiance.
Dans un modèle capitaliste, ce service est payant et engendre des profits très rapides. Pour couronner le tout, les navigateurs standards signalent par des avertissements comminatoires tout manquement à ces principes. Ces certificats expirent régulièrement, leurs impacts sur les usagers sont importants (que répondre à la question de faire confiance à un nouveau certificat ?).


un vrai certificat autosigné apparaissant comme illicite

Censurer les communications

Face à ce déluge d’informations, le pouvoir peut vouloir s’immiscer dans les flux, désirer connaître le contenu de vos messages, particulièrement quand ils sont sécurisés. Par concept, TCP-IP, le protocole de transport de la toile résiste à un contrôle total. La fermeture des pipelines autorise les petits ruisseaux à sourdre à travers la masse de la censure. Un simple modem analogique suffit pour rétablir la connexion, la quantité d’information transmise sera par contre très limitée.
Heureusement dans notre modèle juridique, uniquement le pouvoir judiciaire peut demander à lever le secret des communications, voir l’article 13, alinéa 2 de la Constitution. Pour les messages non sécurisés, comme votre e-mail, l’interception est simple, il suffit d’écouter les autoroutes de l’information, car vos courriels circulent en clair. Par un heureux effet de la technologie employée, Internet et son modèle probabiliste favorisent les plus gros tuyaux. L’ouverture en grand des vannes d’Internet limite le nombre d’endroits à surveiller comme chez votre fournisseur d’accès Internet.

Cryptage, une difficulté supplémentaire

Skype ou BlackBerry utilisent un cryptage indépendant, cela peut donner l’illusion d’une sécurité plus élevée. La difficulté d’intercepter les communications est évidente pour le gouvernement de votre pays, nous rassurant sur la confidentialité de nos conversations. Cette certitude peut s’évanouir si les serveurs hébergeant les données sont soumis aux lois du pays hôte. Dans ce cas, Big Brother n’est pas Suisse, mais Américain ou Canadien !
Quand un gouvernement ne possède pas les serveurs de sécurité sur son territoire, il peut se sentir désemparé. Une parade peut être rapidement trouvée :

  • disposer d’une autorité de chiffrement,
  • utiliser un certificat générer par ses soins pour assurer une identité numérique,
  • signer une application,
  • la distribuer sur l’ensemble des appareils à surveiller,
  • attendre que cette application renvoie le contenu de toutes vos communications sur un serveur situé dans votre pays, donc soumis à votre pouvoir !

Ce scénario n’est pas de la Science fiction, mais un cas réel qui s’est passé aux Émirats Arabes Unis avec une mise à jour très spécifique des BlackBerry. À titre d’information, les BlackBerry et Skype sont interdits par le gouvernement français, pour les institutions scientifiques.
Cette menace peut prendre une tournure plus insidieuse :

  • votre navigateur reconnaît une série d’autorités de certification,
  • une autorité de navigation génère un certificat pour un fournisseur de services, par exemple google.com,
  • vous utilisez un accès Internet situé derrière la censure,
  • la censure substitue à votre demande licite un serveur sous son contrôle,
  • une fois l’identité interceptée, votre requête est conduite vers le serveur licite,
  • l’utilisateur n’a rien remarqué, par contre son flux encrypté est maintenant accessible par la censure.

Politique-fiction ? Malheureusement non, la méthode fut utilisée par le gouvernement iranien avec une autorité de certification des Pays-Bas.
La réponse tardive consiste au bannissement de l’autorité de certification de nos butineurs.
La conséquence économique est immédiate, comme plus aucun navigateur ne fait confiance à l’autorité, ces certificats perdent leur valeur ce qui entraîne la mise en faillite de l’entreprise.

Identité numérique, une adresse de messagerie ?

Face à ces dangers qui nécessitent un contrôle étatique, on pourrait croire que notre adresse de messagerie représente une identification suffisante. Après tout, si nous répondons à des messages, l’adresse est valide. Trois bémols viennent troubler cette certitude :

  • identité forgée
  • identité perdue
  • identité à jeter.

L’identité forgée

Tel un espion, il est facile de créer une identité virtuelle, il faut inventer une légende qui soit suffisamment plausible par le public cible. Pour éviter ce travail de conception complexe, la solution la plus simple consiste à créer un double.

Cible
Paul Dupont
paul.dupont@epfl.ch
Je crée
paul.dupont@hotmail.com
Aucune vérification de l’identité n’est demandée
Je fais parvenir à des destinataires un message plausible
Mon adresse de messagerie personnelle est
paul.dupont@hotmail.com
maintenant je dispose d’un clone électronique de
Paul Dupont
L’astuce paraît énorme, mais elle peut fonctionner, car nous ne vérifions pas systématiquement le domaine de l’adresse de messagerie.

L’identité perdue

Le courriel devient la preuve manifeste de votre présence sur Internet. Quand on souscrit à une boîte de messagerie privée, la perte du mot de passe entraîne l’arrêt de son accès. Dans ce modèle entièrement numérique, il est possible de récupérer le mot de passe. En clair, cela consiste souvent à répondre à une question secrète qui devient le garant de votre identité.

Votre réponse secrète est-elle ?
X1403kcWsfhYeQBmOZtj
Ou plus probablement :
Lausanne, Paris
Lucas, Emma
Marius, Augustine
Aloyse, Palmyre

Si par mégarde l’identité de votre trisaïeul et le nom de son compagnon canin favori existent sur le Web, votre réponse secrète est visible, elle n’est pas cachée ! Parfois, la réponse secrète est une tautologie, car c’est le mot de passe de votre compte (avec un indice clair, permettant de le retrouver).

L’identité à jeter

Tous nos désirs existent sous la forme d’un service Internet, même la possibilité de créer des adresses de messagerie à durée de vie très courte qui permet de récupérer le lien ouvrant l’accès contrôlé :

 Vous avez pu lire ce message électronique, c’est bien vous.
Mais
 Ce compte de messagerie n’est utile que pour cette vérification d’identité. Il s’autodétruira dans 10 minutes
Par rapport à de telles dérives, malgré son apparente simplicité, votre adresse de messagerie n’est pas suffisante pour vous définir, par contre votre navigateur Web est certainement unique (voir article cookies en folies).



Cherchez ...

- dans tous les Flash informatique
(entre 1986 et 2001: seulement sur les titres et auteurs)
- par mot-clé

Avertissement

Cette page est un article d'une publication de l'EPFL.
Le contenu et certains liens ne sont peut-être plus d'actualité.

Responsabilité

Les articles n'engagent que leurs auteurs, sauf ceux qui concernent de façon évidente des prestations officielles (sous la responsabilité du DIT ou d'autres entités). Toute reproduction, même partielle, n'est autorisée qu'avec l'accord de la rédaction et des auteurs.


Archives sur clé USB

Le Flash informatique ne paraîtra plus. Le dernier numéro est daté de décembre 2013.

Taguage des articles

Depuis 2010, pour aider le lecteur, les articles sont taggués:
  •   tout public
    que vous soyiez utilisateur occasionnel du PC familial, ou bien simplement propriétaire d'un iPhone, lisez l'article marqué tout public, vous y apprendrez plein de choses qui vous permettront de mieux appréhender ces technologies qui envahissent votre quotidien
  •   public averti
    l'article parle de concepts techniques, mais à la portée de toute personne intéressée par les dessous des nouvelles technologies
  •   expert
    le sujet abordé n'intéresse que peu de lecteurs, mais ceux-là seront ravis d'approfondir un thème, d'en savoir plus sur un nouveau langage.