La science cryptographique vous concerne

par Jean-Paul Delahaye - SPS n°322, octobre / décembre 2017

La science cryptographique et de la sécurité informatique est entrée dans vos vies, que vous le vouliez ou non. On sait déjà que la fiabilité des cartes bancaires est assurée par une série de procédés cryptographiques, et que le commerce en ligne lui aussi s’appuie sur des algorithmes de protection provenant des développements de la cryptographie mathématique. Ce que je veux évoquer ici est plus indirect mais sans doute au moins aussi important.

Débutée le vendredi 12 mai 2017, une attaque mondiale par le virus informatique WannaCry [1] a contaminé en quelques jours plus de 200 000 ordinateurs dans près de 150 pays différents, rendant inaccessibles leurs données. Aujourd’hui le virus est contrôlé, mais les dégâts sont considérables. Leurs coûts, d’après la firme Cyence, pourraient s’élever à quatre milliards de dollars.

Le virus en question est d’un type particulier, c’est un « rançongiciel » (ransomware en anglais), c’est-à-dire un programme qui s’installe dans l’ordinateur infecté, en chiffre les fichiers (c’est-à-dire les rend illisibles, sans les détruire), et demande une rançon pour reconstituer l’état original des fichiers. La rançon doit être payée en bitcoin [2], la monnaie cryptographique créée en 2009, dont le succès semble se confirmer d’année en année : la valeur totale des bitcoins émis dépasse aujourd’hui les 63 milliards d’euros.

Ne croyez pas que cela ne concerne que les autres utilisateurs d’ordinateurs : demain un virus du même type pourrait bien s’en prendre à vos données. On vous conseillera alors de ne pas payer la rançon, et il est vrai que la payer ne vous garantit pas toujours de retrouver vos fichiers et encourage les hackers à créer d’autres rançongiciels. On vous conseillera préventivement de faire les mises à jour des logiciels que vous utilisez et d’opérer des sauvegardes pour ne pas être pris au dépourvu quand cela arrive, et il est vrai qu’on ne le répétera jamais assez : il faut sauvegarder soigneusement et très régulièrement toutes les données auxquelles on tient, non seulement à cause des rançongiciels mais aussi à cause des pannes qui peuvent soudainement rendre illisible votre disque dur, ou à cause des vols d’ordinateurs. Un conseil en passant, ne rangez pas côte à côte votre ordinateur et le disque dur qui en contient la sauvegarde !

Reste que l’histoire de WannaCry est bien le résultat des progrès de la science mathématique cryptographique. Cela pour une double raison. D’une part, les méthodes de chiffrage (et éventuellement de déchiffrage) de vos données que le virus exploite sont des méthodes classiques, publiques et utilisées dans de très nombreuses applications. Il s’agit des algorithmes AES et RSA soigneusement mis au point, testés et validés par la communauté des chercheurs en cryptographie et dont on ne connaît pas de faille, autrement dit dont l’usage assure l’efficacité de l’attaque de WannaCry (ce qui n’exclut pas d’éventuelles maladresses dans la mise en œuvre de ces algorithmes).

L’autre progrès de la science cryptographique qui a facilité la conception de WannaCry est le moyen de paiement utilisé pour que les pirates touchent l’argent de la rançon sans se faire attraper. Il s’agit comme on l’a vu de la monnaie bitcoin, née dans l’esprit d’un concepteur anonyme qui se fait appeler Satoshi Nakamoto. Elle se fonde sur trois primitives cryptographiques classiques, elles aussi mises au point, testées et validées par la communauté des chercheurs : les fonctions de hachage SHA256 et RIPEMD-160, le système de signature à double clé ECDSA.

Cette monnaie cryptographique n’est gérée par aucune autorité centrale, mais par les nœuds d’un réseau pair-à-pair (donc par une sorte de démocratie numérique). Il n’est pas exigé, pour ouvrir un compte, de dévoiler son identité. Le bitcoin permet donc de recevoir anonymement de l’argent. C’est une formidable et géniale invention, mais elle facilite la conception des rançongiciels et d’ailleurs de bien d’autres usages frauduleux de cet argent liquide numérique dont on se demande finalement si son existence n’est pas bien plus nuisible qu’utile.

Un premier dilemme se trouve donc posé par l’attaque de WannaCry : faut-il laisser prospérer les monnaies cryptographiques que leurs défenseurs présentent comme une nouveauté technologique aussi importante que le courrier électronique ou les protocoles TCPIP au cœur du fonctionnement d’Internet, ou faut-il les encadrer strictement et peut-être les interdire (comme ce fut le cas en Russie un moment) ?

Un autre dilemme tout aussi délicat se trouve posé par l’attaque WannaCry. La diffusion et l’installation du virus sur les ordinateurs (uniquement ceux équipés de systèmes d’exploitation Windows) a utilisé des failles « zero-day » volées à la NSA et rendues publiques par un groupe de hackers qui se présente sous le nom de « The Shadow Brokers ». Rappelons qu’on nomme faille « zero-day » les faiblesses d’un système informatique qui n’ont pas été rendues publiques et qui permettent de l’attaquer ou d’y mener des intrusions. Rechercher de telles failles est un travail de spécialistes de la sécurité informatique et il existe un commerce de ces failles. Si vous en trouvez une, vous pouvez la vendre soit à la firme (Microsoft, Apple, etc.) qui est concernée et qui pourra corriger ses produits pour supprimer la faiblesse repérée, soit à des personnes intéressées pour en faire un usage à leur profit en exploitant la faille, sans bien sûr qu’elle soit corrigée.

Dans le cas de WannaCry la question posée, et que Microsoft ne s’est pas privé de poser, est la suivante. Lorsqu’une agence de sécurité comme la NSA prend connaissance d’une faille « zero-day » (par exemple parce que certains de ses spécialistes l’ont identifiée et sont les seuls), doit-elle le plus rapidement possible prévenir les firmes concernées pour que la faille soit corrigée, ou doit-elle la garder pour elle, ce qui lui permettra peut-être d’aller espionner ou attaquer des ordinateurs ennemis, voire de s’opposer à une attaque en cours ? Le risque, si elle garde pour elle la faille découverte, est qu’elle lui soit volée, rendue publique et exploitée comme cela s’est produit pour les failles ayant permis WannaCry.

Des mathématiques dont vous ne soupçonnez pas l’existence et la subtilité déterminent ces situations nouvelles qui vous concernent... et vous mettent en danger. Ces dilemmes, dont nous avons donné deux exemples, sont importants et chacun doit faire un effort pour les comprendre.

Références

[1] Berr J, “WannaCry ransomware attack losses could reach $4 billion”, CBS News, 16 mai 2017. Sur le site www.cbsnews.com
[2] Favier J, Takkal Bataille A, Bitcoin, la monnaie acéphale, CNRS Editions, 2017.
Sur toutes ces questions, Wikipedia en français ou en anglais vous donnera d’excellents compléments et une multitude de renvois bibliographiques. En anglais, avec les entrées WannaCry_ransomware_attack, Cryptocurrency, Zero-day_(computing) ou Ransomware. En français avec les entrées WannaCry, Crypto-monnaie, Vulnérabilité_Zero_day ou Ransomware.

Mis en ligne le 7 février 2018
1062 visites

Explorer par thème


Valid HTML 4.01 Transitional CSS Valide !