Politique de défense, hachage faible, GPS et autres considérations Jerome Saiz le 5 octobre 2010 à 17h16, dans la rubrique Produits & Technologies Commentaires fermés sur Politique de défense, hachage faible, GPS et autres considérations anssiarcsibackboneenstgooglehachagehashhenry gilbertléonnetriguidelunion européenne Dernier volet de notre couverture du décidément très riche colloque de l’ARCSI, avec un pot-pourri de remarques particulièrement intéressantes entendues au détour des présentations d’un cryptographe, d’un universitaire et d’un opérationnel. SHA va pas si mal… A commencer par Henry Gilbert, responsable du laboratoire de cryptologie de l’ANSSI, venu faire le point sur la vulnérabilité des algorithmes de hachage actuels. Bilan : « MD5 a désormais atteint le niveau de passoire et doit être abandonné. SHA-1 doit quant à lui être remplacé dès que possible« , conseille Henri Gilbert. Et de préciser que le seul algorithme de hachage considéré comme fiable aujourd’hui est SHA-2 avec une taille de haché de 256 ou 512 bits (pour mémoire le Référentiel Général de Sécurité impose une taille de haché minimale de 200 bits). Afin de remplacer ces algorithmes vieillissants SHA-3 est bien entendu au programme. La compétition internationale chargée de distinguer l’algorithme qui sera utilisé est désormais dans sa phase finale : quatre à six finalistes seront annoncés à la fin de l’année 2010, sur les soixante-quatre candidatures initiales. La France y est d’ailleurs plutôt bien représentée avec notamment les projets ECHO et SHABAL. Le GPS stratégique A suivre avec Michel Riguidel, enseignant-chercheur à Télécom Paris Tech, qui observe deux changements selon lui stratégiques dans le paysage d’Internet. D’abord la prépondérance de la géolocalisation par GPS, qui deviendrait essentielle : « A l’avenir le routage des paquets sur les réseaux se fera en fonction de la latitude / longitude. Qui contrôlera les systèmes de GPS aura ainsi un pouvoir considérable« , explique le chercheur. Et il est inutile de préciser qu’en la matière l’indépendance – ne serait-ce qu’européenne – est loin d’être acquise. Autre évolution tout aussi notable : d’après Michel Riguidel le coeur d’Internet se contracte. « Le véritable backbone devient plus petit et plus dense. Et qui contrôle cette surface réduite a également un pouvoir accru« , poursuit le chercheur. La Network Defense Capability du Conseil de l’Union Européenne A conclure avec Sébastien Léonnet, ancien officier supérieur de l’Armée de l’Air devenu administrateur principal au Secrétariat Général du Conseil de l’Union Européenne. Il est désormais en charge de la politique de sécurité du Conseil de l’Union Européenne. Son témoignage est celui d’un homme de terrain confronté à des attaques incessantes et perfectionnées : « nous sommes désormais soumis à des attaques dans lesquelles un document pertinent publié dans la journée est intercepté par l’attaquant, piégé et renvoyé à la bonne personne chez nous qui suit ce dossier, afin de l’inciter à l’ouvrir« , explique-t-il. Et l’administrateur d’évoquer à son tour la menace, bien réelle selon lui, de type Advanced Persistent Threat (APT) rendue publique dans l’affaire du piratage chez Google. « Face à de telles attaques et aux efforts aussi ciblés des attaquants, il n’y a pas de solution miracle : on ne pourra jamais empêcher un utilisateur d’ouvrir un document pertinent pour son travail et on se rend compte que les antivirus n’arrêtent que 50% des menaces. Nous sommes donc arrivés à la conclusion qu’il faut accepter l’idée que nous serons attaqués et faire avec, en limitant notamment l’impact« , poursuit Sébastien Léonnet (ce qui évoque au passage le concept de tolérance aux intrusions à propos duquel nous écrivions l’année dernière) Afin de préparer le Conseil de l’Union à de telles pratiques Sébastien Léonnet a alors mis en place une « capacité de défense réseau » (network defence capacity) dont voici les grandes lignes : Prédire les problèmes (analyse de risque, ndlr) Résoudre les problèmes qui peuvent l’être (remédiation, ndlr) Restaurer une configuration de confiance Diffuser l’alerte au sein de l’organisation Recueillir de l’information complémentaire (veille, ndlr) Générer de l’information (analyser, ndlr) D’après Sébastien Léonnet une telle approche relève sans grande surprise pour 80% de l’organisationnel et pour 20% seulement de la technique. Les difficultés principales étant de « collecter », dit-il, les compétences au sein de l’organisation et de les intégrer au sein d’un mécanisme cohérent et fonctionnel. Vous avez aimé cet article? Cliquez sur le bouton J'AIME ou partagez le avec vos amis! Notez L'article Participez ou lancez la discussion!