Elle remonte à l’Égypte ancienne et fait référence à la pratique du codage et du décodage de l’information : rejoignez-nous pour déchiffrer la cryptographie moderne et comprendre pourquoi elle est un outil cybernétique indispensable à l’ère numérique. Qu’il s’agisse de documents gouvernementaux, de communications privées ou de données de cartes bancaires, les cybercriminels sont tapis dans l’ombre pour accéder à des données qui ne leur sont pas destinées, les intercepter et s’en emparer. Découvrez comment fonctionnent les méthodes cryptographiques et quels sont les risques, et prenez en charge votre cybersécurité avec Avira Internet Security.
Qu’est-ce que la cryptographie ?
Pour envoyer un message secret lorsque vous étiez enfant, vous avez peut-être créé votre propre code en attribuant à chaque lettre un symbole aléatoire ou en utilisant du jus de citron comme « encre » invisible. Vous étiez loin de vous douter que vous étiez un cryptographe en herbe. La cryptographie, ou cryptologie, est la pratique qui consiste à utiliser diverses techniques pour brouiller et sécuriser les communications afin d’empêcher des tiers non autorisés (comme votre mère, pour en revenir à notre analogie initiale) de lire des messages privés. Seules les personnes disposant des outils et des autorisations nécessaires peuvent déchiffrer et comprendre ce qui a été envoyé.
Voici le lexique incontournable de la cryptographie que vous rencontrerez dans tous les échanges sur le sujet, pour bien démarrer :
Chiffrement : méthode de transformation d’un message pour en dissimuler le sens. Il désigne un ensemble d’algorithmes appliqués à des données (également appelées texte clair ou en clair) pour les transformer en une forme incompréhensible.
Texte chiffré : texte illisible après avoir été transformé par un algorithme de chiffrement.
Algorithme cryptographique : procédure bien définie ou séquence de règles à la base du chiffrement. Il peut s’agir d’une série d’équations mathématiques.
Clé cryptographique : séquence de caractères aléatoires utilisée dans les protocoles de chiffrement pour modifier les données. Les informations restent illisibles pour quiconque ne possède pas la clé.
Cryptographie et chiffrement : ne s’agit-il pas de la même chose ? Pas tout à fait. Le chiffrement se réfère spécifiquement au processus de conversion des données en code. Il s’agit d’une partie essentielle de la cryptographie, mais la cryptographie va encore plus loin et implique une série complexe d’étapes pour coder, décoder et transmettre des informations en toute sécurité.
Les techniques de cryptographie sont basées sur des algorithmes et des codes utilisés pour chiffrer et déchiffrer. Vous avez probablement entendu parler des clés de chiffrement de 128 bits et 256 bits, par exemple. L’Advanced Encryption Standard (AES) est un algorithme de chiffrement moderne considéré comme pratiquement inviolable.
Comment fonctionne la cryptographie ?
La cryptographie moderne combine diverses disciplines telles que l’ingénierie, l’informatique et les mathématiques avancées pour transformer des données en texte clair lisible en texte chiffré incompréhensible. Bien entendu, la cryptanalyse est également nécessaire pour inverser le processus afin que le destinataire puisse décoder les données brouillées. De nombreuses techniques de cryptographie sont utilisées, notamment le chiffrement symétrique et asymétrique et les signatures numériques, sur lesquelles nous reviendrons plus en détail ultérieurement.
Alors qu’autrefois les chevaliers et les forts empêchaient tout accès indésirable, à l’ère numérique, c’est la cryptographie qui se bat contre les pirates et les menaces en ligne pour assurer la sécurité de nos données. Il s’agit d’une défense largement déployée, et vous la rencontrez sans le savoir tous les jours, lors de vos opérations bancaires en ligne, de vos achats ou de la saisie d’un mot de passe, par exemple.
Des momies aux machines : l’histoire de la cryptographie
Le mot « cryptographie » est dérivé du grec kryptós, qui signifie caché. La première partie ou préfixe (crypt-) signifie « caché » ou « coffre-fort », et le suffixe (-graphie) signifie « écriture ». L’homme utilise cette « écriture cachée » depuis des milliers d’années. En fait, la première cryptographie a été trouvée dans la tombe d’un noble de l’Égypte ancienne, dans une inscription gravée vers 1900 av. J-C. À l’époque de l’Empire romain, Jules César était connu pour envoyer des messages chiffrés aux généraux de son armée. Son « chiffre de César » était un chiffrement par substitution qui décalait chaque caractère de trois places. Ainsi, « A » est remplacé par « D », par exemple. Vous pouvez constater qu’une fois leur secret dévoilé, les chiffrements par substitution sont faciles à déchiffrer. Pour introduire davantage de variables et une plus grande complexité, les Français ont créé le chiffre de Vigenère au XVIe siècle. Il utilise une clé de chiffrement basée sur le carré de Vigenère (l’alphabet écrit 26 fois sur des lignes différentes). À différents moments du processus de chiffrement, le système de chiffrement choisit un alphabet différent sur l’une des lignes.
Au début du 19e siècle, la machine à rotor d’Hebern intégrait la clé secrète dans un disque rotatif. Cette clé codait une table de substitution et chaque pression sur une touche du clavier créait une sortie de texte chiffré. Pendant la Seconde Guerre mondiale, la machine allemande Enigma a poussé cette méthode plus loin et a utilisé quatre rotors ou plus pour produire un texte chiffré.
Après la guerre, la cryptographie a attiré l’attention au-delà de l’armée, les entreprises s’efforçant de sécuriser leurs données face à la concurrence. Les grands fabricants d’ordinateurs ont commencé à en tenir compte. Dans les années 1970, IBM a formé un « groupe de cryptographie » qui a conçu un cryptogramme appelé Lucifer. Diablement difficile à déchiffrer, Lucifer a fini par être accepté comme le DES ou Data Encryption Standard (norme de chiffrement des données). Il a tenu bon pendant de nombreuses années, mais en 1997, le DES a été percé. La petite taille de sa clé de chiffrement s’est avérée être la faille dans son armure et, avec l’augmentation de la puissance de calcul, il est devenu facile de forcer brutalement différentes combinaisons de la clé pour lire le texte en clair. (Lors d’une attaque par force brute, les pirates procèdent par essais et erreurs pour tenter de déchiffrer un message ou un mot de passe en insérant une infinité de caractères aléatoires, de symboles, de lettres et autres).
En 2000, l’AES (Advanced Encryption Standard, norme de chiffrement avancé) a vu le jour et constitue aujourd’hui la norme largement acceptée en matière de chiffrement. Avira utilise l’AES-256, car elle offre plus de possibilités de combinaison qu’il n’y a d’étoiles dans l’univers (apparemment, c’est un septillion ou 1042 étoiles si vous êtes curieux et que vous n’avez pas le temps de compter).
Pourquoi la cryptographie est-elle importante et où est-elle utilisée ?
La pratique consistant à gérer les risques liés aux données et à protéger nos systèmes de communication est appelée assurance de l’information ou AI. La cryptographie est essentielle à la protection des cinq piliers de l’assurance de l’information : intégrité, disponibilité, authentification, confidentialité et non-répudiation. Et si vous vous demandez ce qu’est la non-répudiation, elle fournit la preuve de l’origine, de l’authenticité et de l’intégrité des données. Grâce à elle, aucune des parties ne peut nier qu’un message a été envoyé, reçu et traité.
Voici les exemples les plus courants de cryptographie en action :
Mots de passe : la cryptographie joue un double rôle dans ce domaine. Elle est utilisée pour valider l’authenticité des mots de passe et brouille les mots de passe stockés. Une base de données de mots de passe en clair serait plus vulnérable aux pirates.
Navigation sécurisée sur Internet : Un site web doté d’un certificat SSL utilise la cryptographie pour créer une connexion plus sûre afin de protéger les informations qui circulent entre le navigateur et le serveur du site web. De cette manière, les utilisateurs sont mieux protégés contre les écoutes et les attaques de type « Man-in-the-middle » (MitM). Découvrez comment vérifier la sécurité d’un site web pour vous aider à protéger votre confidentialité et vos données.
Communications sécurisées : vous utilisez WhatsApp ou Signal ? Le chiffrement de bout en bout offre un niveau élevé de sécurité et de confidentialité aux utilisateurs d’applications de communication. Il est utilisé pour l’authentification des messages et permet de protéger les communications bidirectionnelles telles que les conversations vidéo.
Authentification : la cryptographie permet de confirmer l’identité d’un utilisateur et de vérifier ses privilèges d’accès, par exemple lorsqu’il se connecte à un compte bancaire en ligne ou accède à un réseau sécurisé dans le cadre de son travail.
Signatures électroniques : ces signatures électroniques sont utilisées pour signer des documents en ligne et ont souvent force de loi. Elles sont créées à l’aide de la cryptographie et peuvent être vérifiées pour éviter les fraudes.
Cryptomonnaie : les cryptomonnaies comme le Bitcoin et l’Ethereum reposent sur des chiffrements de données complexes dont le déchiffrement nécessite une puissance de calcul importante. Grâce à ces processus de déchiffrement, de nouvelles pièces, ou « coins » sont « frappées » et mises en circulation. Les cryptomonnaies s’appuient également sur une cryptographie avancée pour protéger les portefeuilles de cryptomonnaies, vérifier les transactions et prévenir les fraudes.
Réseau privé virtuel (VPN) : il permet de rediriger le trafic web à travers un tunnel privé et de chiffrer la connexion. Il masque également votre adresse IP, de sorte que votre emplacement réel est inconnu. Avira Phantom VPN est gratuit et masque les activités en ligne des utilisateurs pour les aider à devenir des « fantômes » anonymes en ligne. Pensez à la version Pro pour des données illimitées qui permettent de surfer et de télécharger presque sans fin. Et n’oubliez pas : Utilisez toujours un VPN si vous surfez sur un réseau Wi-Fi public !
Découvrez les types d’algorithmes cryptographiques
La cryptographie utilise différents types d’algorithmes en fonction de la nature des informations partagées et de leur degré de confidentialité. Voici les principaux types que vous rencontrerez :
Cryptographie à clé unique ou chiffrement symétrique : elle utilise une seule clé pour chiffrer et déchiffrer un message. L’expéditeur utilise donc la clé pour chiffrer un message en clair en une longueur fixe de bits appelée chiffrement par blocs. Le destinataire utilise ensuite la même clé pour déverrouiller le message. L’Advanced Encryption Standard (AES) est un exemple de cryptographie à clé symétrique. INCONVÉNIENT : si le message est intercepté, la clé est incluse et peut être utilisée pour décoder le message !
Cryptographie à clé publique (PKC) ou chiffrement asymétrique : les fonctions mathématiques créent des codes très difficiles à déchiffrer. L’expéditeur utilise la clé publique pour chiffrer un message, et le destinataire utilise ensuite une clé privée pour le déchiffrer. RSA a été le premier et reste l’implémentation PKC la plus courante. L’algorithme porte le nom de ses développeurs mathématiciens du MIT, Ronald Rivest, Adi Shamir et Leonard Adleman, et est utilisé pour le chiffrement des données, les signatures numériques et les échanges de clés. AVANTAGE : si le message est intercepté, son contenu ne peut être décodé sans la clé privée. Ceci permet aux personnes de communiquer de manière sécurisée, même sur des canaux non sécurisés.
Fonctions de hachage : ce processus ne repose pas sur des clés cryptographiques. Le hachage prend toute quantité de données d’entrée (un document Word, un fichier audio, un fichier vidéo, etc.) et applique un algorithme de hachage pour la transformer en une valeur d’une longueur fixe. Ainsi, un message d’un mot et un livre de 1000 pages produiront le même volume de texte codé (appelé valeur de hachage). Parmi les différentes fonctions de hachage cryptographique utilisées, MD5, SHA-1 et SHA-256 sont des exemples majeurs. Découvrez le hachage MD5 couramment utilisé et pourquoi il est considéré comme si sûr. AVANTAGE : il est pratiquement impossible de décoder un contenu qui a été haché, c’est pourquoi le hachage est généralement considéré comme une solution très sûre et populaire à des fins d’authentification. Vous rencontrez probablement le hachage quotidiennement. Par exemple, un fournisseur de services en ligne n’enregistrera pas votre mot de passe, mais une valeur de hachage.
Les différents types de cryptographie ont des fonctions différentes. Le chiffrement permet de préserver la confidentialité des données, tandis que le hachage permet de vérifier l’intégrité de ces données et de s’assurer que ce que l’on a reçu est identique à ce qui a été envoyé (en d’autres termes, les données ont-elles été manipulées pendant leur transit ?). Citons pour exemple le téléchargement de logiciels. La société qui distribue le logiciel affiche également la valeur de hachage du fichier. Si le fichier que vous avez téléchargé produit le même résultat de hachage que l’original, vous pouvez être sûr qu’il n’a pas été altéré (par un malware, par exemple).
Les vulnérabilités de la cryptographie : attaques et défaillances des clés cryptographiques
Quelle que soit leur complexité, les codes peuvent être cassés. Demandez aux créateurs d’Enigma. Les « défaillances cryptographiques » constituent un risque majeur pour la sécurité, car elles permettent aux pirates d’accéder aux messages et aux données protégés par des algorithmes de chiffrement. Malheureusement, les cybercriminels disposent d’un certain nombre de techniques d’attaque dans leur arsenal :
- Les attaques de type « Man-in-the-middle » : en exploitant le chiffrement, les attaquants peuvent s’insérer dans un canal de communication entre deux parties et intercepter leur trafic.
- Les attaques par force brute : les attaquants testent rapidement les combinaisons de clés possibles jusqu’à ce qu’ils trouvent la bonne. Les clés de chiffrement de petite taille sont les plus vulnérables.
- Attaques par collisions de hachage : les cybercriminels trouvent deux fichiers qui produisent la même valeur de hachage, ce qui leur permet de remplacer un fichier légitime par un fichier modifié. Ces attaques sont le plus souvent utilisées pour compromettre la sécurité des signatures numériques.
- Attaques des anniversaires : un type d’attaque par force brute par lequel les pirates produisent des collisions de hachage mathématiquement probables.
- Attaques par repli : lorsque les entreprises utilisent des protocoles SSL/TLS obsolètes, un cybercriminel peut forcer les connexions des clients à utiliser d’anciennes versions plus faibles et plus faciles à pirater.
Les violations de données peuvent faire des ravages dans notre monde numérique. La liste de tâches des pirates est longue et englobe le vol de propriété intellectuelle, la fraude financière, l’usurpation d’identité et le détournement de comptes en ligne, ainsi que l’infiltration et la perturbation des systèmes. La divulgation d’informations sensibles, via le doxing par exemple, peut également porter gravement atteinte à la réputation des entreprises et des individus.
L’avenir de la cryptographie : devons-nous nous inquiéter ?
Saviez-vous que les superordinateurs les plus puissants de la planète auraient besoin de milliers d’années pour casser mathématiquement les algorithmes de chiffrement (comme l’AES) ? Selon l’algorithme de Shor, il faudrait à un hacker plusieurs vies avant d’avoir une chance de casser un code complexe. Jusqu’ici tout va bien, mais… c’était avant que les ordinateurs quantiques n’apparaissent comme une perspective à l’horizon des technologies de l’information. Ces super-machines pourraient, en théorie, trouver la solution en quelques minutes seulement, ce qui représente une grave menace pour les systèmes de cybersécurité actuels. La recherche est lancée pour la cryptographie post-quantique !
En 2016, le National Institute of Standards and Technology (NIST) américain a appelé les communautés mathématiques et scientifiques à créer de nouvelles normes de cryptographie à clé publique capables de résister à un assaut des géants quantiques. Ils ont répondu présent. En mai 2024, le NIST a publié ses premières normes de cryptographie post-quantique et cherche à transférer tous les systèmes hautement prioritaires vers une cryptographie résistante aux ordinateurs quantiques d’ici 2035. Si vous vous sentez encore inquiet, détendez-vous (pour l’instant). Selon Dustin Moody, mathématicien à la division de la sécurité informatique du NIST : « Actuellement, il n’existe pas d’ordinateur quantique suffisamment grand pour menacer le niveau de sécurité actuel, mais les agences doivent se préparer à de futures attaques ».
La cryptographie quantique utilise les principes de la mécanique quantique pour sécuriser les données,
mais d’autres techniques cryptographiques évoluent également. La cryptographie à courbe elliptique est un système de cryptographie à clé publique qui utilise les propriétés mathématiques des courbes elliptiques pour assurer la sécurité des communications et du chiffrement. Elle est notamment idéale pour chiffrer le trafic Internet sur des appareils dont la puissance de calcul ou la mémoire est limitée, et est également utilisée pour sécuriser les réseaux de cryptomonnaies comme le Bitcoin.
Comment réduire les risques liés à la cryptographie et, ensemble, que pouvons-nous faire ?
Comme pour la plupart des choses de la vie, il est utile d’être préparé. Les entreprises et tous les fournisseurs de services en ligne doivent être proactifs et moderniser leur sécurité en matière de chiffrement pour garder une longueur d’avance sur les cybercriminels : des clés de grande taille, des algorithmes robustes et les protocoles TLS les plus récents sont les piliers d’une protection efficace par chiffrement. (Si vous vous posez la question, TLS est une pratique standard pour la création d’applications web sécurisées et fournit l’intégrité des données pour les communications Internet.) Les entreprises doivent également surveiller les anomalies telles qu’un trafic de chiffrement anormal et mettre en place des plans d’intervention en cas d’incident.
Mais ce n’est pas l’apanage des geeks de l’informatique. Nous avons un rôle à jouer dans nos propres défenses ! Ne réutilisez jamais vos mots de passe et créez toujours des mots de passe forts et uniques pour chaque compte en ligne. Stockez-les et gérez-les à l’aide d’un gestionnaire de mots de passe performant et tenez les logiciels et les applications scrupuleusement à jour afin qu’ils soient mieux protégés contre les failles de sécurité connues des pirates informatiques. Un programme de mise à jour de logiciels permet d’effectuer des mises à jour fiables et efficaces, et les mises à jour automatiques vous évitent de perdre du temps et de l’énergie à les effectuer vous-même. Avira Internet Security propose une gamme d’outils premium pour renforcer votre confidentialité et votre sécurité, notamment un gestionnaire de mot de passe, un programme de mise à jour logicielle, ainsi qu’une protection antivirus. Il y a aussi Browser Safety, le discret module complémentaire de navigateur Avira qui aide à bloquer les traqueurs, les publicités et les sites web infectés.
