Hollande ignore que casser du chiffre est à la portée de tout le monde

(PAR PATRICK CAHEZ)

 

François Hollande ordonne la mobilisation face aux cybermenaces lors du Conseil de défense et de sécurité nationale « Afin qu’aucune action malveillante ne puisse venir entacher la campagne et le vote, le président de la République a demandé une mobilisation de tous les moyens nécessaires de l’État « .

 

La sécurité sur le net est cependant nulle en droit comme en fait. A commencer par celle des sites des partis politiques. Ou ceux de la police.

L’insécurité sur le net est un débat d’intérêt général quand l’emprise numérique envahit le quotidien, au point de permettre l’espionnage de la vie privée ou des sabotages. L’industrie numérique ne propose donc pas grand-chose de sérieux en terme de sécurité (voir les automobiles volées par hacking de la télécommande) et il est inquiétant que les pouvoirs publics ne fassent rien d’efficace. Ce qui est vrai pour les automobiles l’est également pour les clefs de cryptage ou les login sur le net.

 

Le pourvoir n’a jamais imposé d’obligation sérieuse – et encore moins de résultat – aux opérateurs du net comme le révèlent les malversations des sites de commerce électronique. Il s’y passe donc n’importe quoi malgré une loi sur la confiance dans l’économie numérique et une loi pour une République numérique.

 

A cette insuffisance législative, l’absence d’obligation de résultat, le pouvoir favorise cette insécurité en imposant des failles dans les systèmes pour permettre une cybersurveillance de masse.

 

Le pouvoir n’a pas agi dans le sens de la sécurité informatique, numérique ou du réseau.

 

Sa responsabilité – dans la défaillance juridique à imposer une sécurité maximale par des obligations de résultat dans les contrats de vente de matériel ou de service – est d’autant plus importante que la technologie permet dorénavant, pour des budgets raisonnables, de casser facilement le chiffre protégeant les données personnelles des internautes.

 

Casey Cammilleri s’est bricolé – à partir d’un catalogue de produits publics – une machine capable de casser 28315 login en 25 minutes. Il démontre la fragilité du chiffre numérique (1) par une technologie abordable permettant de se doter d’une puissance de calcul pouvant donner accès aux données.

 

Casser du chiffre supposait jusqu’à présent une grande capacité de calculs, à l’origine des supercalculateurs, domaine dont la France est absente. Le prix inabordable de ces machines entretenait l’illusion d’un décryptage réservé à l’institutionnel.

 

Cela n’est plus vrai avec des machines équipées de cartes GPU d’accélération Nvidia Tesla (5000 $) et encore moins avec l’expérience de Casey Camillieri montant une machine complète pour 8000 euros.

 

Cette machine se compose de huit cartes graphiques GeForce GTX 1080 EVGA Founder’s Edition dans un rack, pilotées par deux processeurs Xeon E5-2620V3 LGA2011, avec 64 Go de mémoire DDR4 et un SSD Samsung de 1 To. La machine tourne sous système d’exploitation à noyau Linux,  Ubuntu 14.04.2 Server, et deux programmes de cassage de mots de passe : hashcat et hashview.

 

Casey Camillieri démontre l’incohérence du discours des pouvoirs publics sur la sécurité des réseaux, des clouds, des communications, des transactions après avoir persisté étonnamment à négliger le préalable essentiel, la nécessité impérative à imposer une obligation de résultat des opérateurs et fournisseurs de matériels et de services.

 

(1) Il n’existe qu’un seul mode de cryptage incassable : l’OTP. Il est manuel et ne sert qu’une fois à la différence des générateurs de clefs aléatoires, qui sont des algorithmes, dont les instructions se répètent. Leur manque de performance et/ou une grande puissance de calcul réduisent la résistance de la clef à néant. A la faiblesse algorithmique s’ajoutent celle des clefs ou login (souvent imposée par le service en ligne) et le défaut de précaution d’en changer régulièrement, contrariée par la multiplication des services connectés.

 

sources :

https://www.shellntel.com/blog/2017/2/8/how-to-build-a-8-gpu-password-cracker

http://www.fredzone.org/un-hacker-a-assemble-huit-geforce-gtx-1080-pour-casser-des-mots-de-passe-774

http://www.01net.com/actualites/il-a-assemble-8-geforce-gtx-1080-pour-casser-des-mots-de-passe-1103553.html

Une pensée sur “Hollande ignore que casser du chiffre est à la portée de tout le monde

  • 13 mars 2017 à 19 h 43 min
    Permalink

    Pour compléter :

    Le papa du www s’inquiète de l’état du Web

    par Guillaume Périssat, le 13 mars 2017 16:02 Article Rating

    Désinformation, publicité politique ciblée et collecte de masse de données à caractère personnel sont les trois grands maux actuels du Web que dénonce Tim Berners-Lee dans une tribune.

    Il y a 28 ans, un chercheur du CERN inventait un nouveau système de gestion de l’information, le World Wide Web. Aujourd’hui, auréolé de son statut de père fondateur d’Internet, Tim Berners-Lee s’inquiète. Dans une tribune publiée sur le site de la Web Foundation à l’occasion de cet anniversaire, il alerte sur les trois nouvelles menaces qui pèsent sur le Web.

    La première est, en quelque sorte, la source des deux autres. « Nous avons perdu le contrôle de nos données personnelles » constate Sir Tim Berners-Lee. Le fondateur du W3C ne fustige pas le modèle économique dominant, à savoir des données personnelles contre des contenus gratuits. Mais c’est le volume important des données collectées et l’absolutisme des conditions générales d’utilisation, « tout ou rien » qui posent problème. « Quand nos données sont conservées dans des silos propriétaires, hors de notre vue, nous perdons les bénéfices que nous pourrions en tirer si nous en avions le contrôle direct et si nous pouvions choisir quand et avec qui les partager. »

    http://www.linformaticien.com/actualites/id/43427/le-papa-du-www-s-inquiete-de-l-etat-du-web.aspx

Commentaires fermés.