« »Nos cibles principales aujourd’hui n’utilisent plus le chiffrement gouvernemental ou militaire mais plutôt de la cryptographie grand public, car nous travaillons à 90% sur l’anti-terrorisme ». C’est Bernard Barbier, le Directeur Technique de la DGSE, qui le dit.
Il était l’invité de l’ARCSI à l’occasion de l’excellent colloque de l’association de réservistes. Comment les grandes oreilles de la DGSE abordent-elles alors Internet et son chiffrement grand public facile, souvent gratuit et surtout très efficace ? Pas bille en tête en tout cas.
Car la DGSE a beau être dotée d’une conséquente puissance de calcul à faire pâlir le CEA (« nous nous chauffons grâce à notre super-calculateur », s’amuse Bernard Barbier), ce n’est pas toujours suffisant.
« Je pense qu’avec AES 256 nous sommes arrivés à la fin de l’histoire. Nous ne savons pas le casser par une recherche exhaustive des clés », avoue le Directeur Technique. La partie est terminée, alors ? Pas vraiment.
Car il y a tout un monde entre la qualité intrinsèque de l’algorithme (très bonne) et celle de ses mises en oeuvre, notamment au sein de produits grand public (très variable). « L’implémentation d’un algorithme de chiffrement est délicate et donc souvent ratée : la génération de l’aléa est mal gérée ou bien il existe des canaux auxiliaires, par exemple » précise Bernard Barbier.
Et même si, par hasard, l’implémentation est du genre solide, la DGSE n’est pas à court de moyens pour autant : « les mots de passe sont le plus souvent stockés et utilisés sur des systèmes d’exploitation qui ne manquent pas de failles eux non plus », reconnait le Directeur Technique.
L’approche est donc très pragmatique et certainement efficace : la DGSE récupère les mots de passe directement sur les systèmes ciblés, et elle se constitue au passage un stock de tables de hachage de mots de passe certainement bien alimentées (les fameuses tables arc-en-ciel que l’on trouve aussi dans le commerce, d’ailleurs, mais probablement moins copieusement garnies). On pourrait facilement imaginer la DGSE tel un collecteur de mots de passe particulièrement vorace, essayant frénétiquement des millions de hashes à longueur de journée grâce a un super-calcultateur sous amphétamines.
Mais en réalité les espions n’ont finalement pas franchement besoin de chercher les mots de passe. Voire ils se moquent de savoir ce que contient le message intercepté ! « Aujourd’hui le contenant est devenu plus important que le contenu.
Il y a de plus en plus d’information dans les méta-données des messages, notamment avec le protocole TCP/IP », explique Bernard Barbier.»…
http://www.securityvibes.com/community/fr/blog/2010/10/01/quand-la-dgse-casse-la-crypto-grand-public
L' INTELLIGENCE CYBER par Jean-Paul Pinte 
Laisser un commentaire