Mettre en place une architecture privée de sécurité à clés publiques, dans votre entreprise ?

Et oui, c'est possible, et à moindre coût !

Pour cela, je vous invite à acquérir une licence de site pour le package logiciel Crypto4 files et Crypto4 PKI : Le pack à 300 est intéressant si votre organisation compte plus de 10 personnes. Sinon, prenez des packs individuels.

Installez Crypto4 PKI sur un poste administrateur sécurisé, et une fois le logiciel installé, exécutez le Certificate Manager. il vous permet de voir les clés et certificats déjà présents et recensés sur le poste :

OK, maintenant procédons à la création d'un premier certificat privé, qui sera propre à l'administrateur. Une bonne idée est de créer un compte mail spécifique, du type pkiadmin@masociete.fr => demandez cela à votre IT.

[... rédaction en cours ...]

Bon, pour ceux qui ne font pas confiance au cryptage unilatéral d'archives ZIP (ou similaires), il faut pousser un cran plus loin et mettre en place une infrastructure à clés de cryptage assymétrique, chaque membre du réseau de communication disposant d'un jeu de clés, comportant une clé privée (à protéger) et une clé publique (à diffuser).

Rappelons le principe d'un message encodé en mode PKI :

• Je pose sur le message le cadenas de mon destinataire, en quelque sorte sa clé publique,
• Mon destinataire peut accéder au message en ouvrant son cadenas avec sa clé privée.

L'usage le plus simple de ce procédé d'échange sécurisé est le transfert par e-mail encrypté avec un certificat numérique :

Dès lors tout l'enjeu est de s'entendre d'une part sur un algorithme permettant d'apparier clés privées et clés publiques, et d'autre part sur un annuaire recensant et authentifiant les clés publiques.=> La première option consiste à s'insérer dans une infrastructure publique reconnue : C'est ce qu'on fait quand on achète un certificat numérique après d'autorités comme Verisign, Thawte, Comodo, Certinomis, etc ... C'est un système centralisé.=> La deuxième option consiste à créer une infrastructure privée : C'est par exemple la logique du système PGP ( http://www.pgp.com ). Dans ce cas, il n'y a plus d'autorité de certification : Chaque utilisateur accrédite (ou pas) les clés publiques émises par ses partenaires (contre-signature) : C'est un système décentralisé.

Alors évidemment, difficile de passer outre le célèbre PGP, aujourd'hui disponible en version 9 pour 100 HT la version domestique. Il reste LA référence car pluri-fonctionnel et à la pointe :

Toutefois, il existe des alternatives à faible coût intéressantes, et j'aimerais ici en citer au moins deux :

• iSafeGuard Security Suite : http://www.mxcsoft.com Logiciel Freeware capable de gérer des certificats auto-signés et des certificats autentifiés, pour l'encryptage et la signature de fichiers. Il encrypte en 3DES 168 bits et HASHe en SHA-1.
• Crypto4 Files : http://www.eldos.comLogiciel commercial (15 !) capable de gérer des certificats numériques authentifiés pour l'encryptage et la signature de fichiers. Couplé avec Crypto4 PKI (20 !), il peut gérer des certificats auto-signés. Il encrypte jusqu'en AES 256 bits, et HASHe en SHA-2 512 bits ! Quel luxe :-)

=> Je vous invite à vous équiper et à vous familiariser avec ces outils sans délai, et surtout à évangéliser vos partenaires d'affaires pour qu'ils acquièrent un certificat numérique et qu'ils installent le même logiciel de cryptographie que vous ;D

Tout le monde le sait, une des façon les plus simples de protéger un ou plusieurs fichiers, est de les stocker dans une archive compressée avec mot de passe. Plusieurs logiciels permettent de faire cela, et parmi les plus connus sous Windows (les homologues Mac et Linux opèrent de même) :

• Winzip : http://www.winzip.com
• WinRar : http://www.rarlab.com
• Power Archiver : http://www.powerarchiver.com
• Zip Genius : http://www.zipgenius.it
• 7-Zip : http://www.7-zip.org

Je conseille vivement Zip Genius qui est gratuit, disponible en français, et doté d'une sécurité de haut niveau (Rijndael AES 256 bits).

Ceci dit, quelques règles de base doivent être respectées :=> Il existe de nombreux logiciels capables de percer des mots de passe assez simples, en "force brute". Ils sont capables de tester jusqu'à 15 millions de mots de passe par seconde sur un simple pentium 4 ! Face à ce type d'attaque, il apparait qu'une mesure de protection efficace consiste à choisir des mots de passe d'une longueur d'au moins 10 caractères.=> La plupart des logiciels permettent de restreindre le nombre de combinaisons à claculer en se basant sur des dictionnaires de mots usuels et de noms propres. Pour vous prémunir contre cela, veillez à utiliser des mots de passe innintelligibles, ou a minima "corrompus" par des pho!tes d'orthographe ou des caractères non alpha-numériques (ponctuation et autre).=> Enfin, certains logiciels pratiquent le recoupement "plaintext" : Cette méthode redoutable peut être utilisée sur la base de comparaisons entre des fichiers compressés et des fichiers non compressés, collectés par exemple au fil d'échanges successifs. L'astuce consiste à disposer d'une version non compressée d'un fichier présent également dans une archive compressée. Ca peut être la cas d'une vCard, d'une image (icone, d'un index de vignettes de type Thumbnails.db, etc ... En bref, pour vous prémunir contre ce genre d'attaque, d'une part changez souvent de mot de passe de compression, et veillez à ne pas envoyer de fichiers redondants dans vos envois successifs !

Evidemment, le fait de changer souvent de mot de passe (autrement dit de clé de cryptage), pose le problème de la communication des clés à vos destinataires ! C'est ce qui nous amènera à examiner un atelier de niveau 2, pour les paranoïaques :-)Pour info, voici les principaux outils de "cassage" de mots de passe :

• Passware password Recovery Kit : http://www.lostpassword.com
• Password Recovery : http://www.elcomsoft.com
• Ultimate Zip Cracker : http://www.vdgsoftware.com

Trop de mots de passe tue les mots de passe !

C'est bien connu, à force de devoir choisir et utiliser des mots de passe, et pour des raisons mnémotechniques, nous finissons par utiliser toujours les mêmes ! Pas terrible pour sécuriser vos divers espaces de travail électroniques.

Par ailleurs, la feignantise nous pousse à utiliser les fonctions de mémorisation des navigateurs web : IE, Firefox et Opera proposent cette fonctionnalité trop pratique ! Au final, votre poste de travail devient une vraie passoire une fois le mot de passe Windows passé (lui-même facile à cracker).

Halte là : Il est temps de procéder à une leçon d'hygiène ! Voici les 3 leçons à retenir :=> Ne laissez plus aucun logiciel mémoriser vos mots de passe : désactivez ces fonctionnalités dans vos navigateurs, utilitaires FTP, Telnet, etc ...=> Choisissez un bon logiciel de gestion de mots de passe. En voici quelques uns gratuits ou pas chers :

• Password Agent : http://www.moonsoftware.com/pwagent.asp
• My Password manager : http://www.mypasswordmanager.com/
• Password Keychains : http://www.nfxtech.com
• Keepass : http://keepass.sourceforge.net

=> Choisissez un mot de passe Maître digne de ce nom : Au moins 8 caractères alpha-numériques, non déductible socialement (pas de numéros fétiches ou noms de proches, etc ...), et si possible épicés avec des caractères exotiques, comme de la ponctuation.

Ainsi équipés, vous pourrez facilement accéder à tous vos mots de passe classés par catégorie. Tous ces logiciels disposent de générateurs de mots de passe automatiques, de façon à vous éviter de vous creuser la tête.

Pour ma part, je recommande Password Agent, qui est standalone (un seul fichier EXE), ce qui le rends facile à transporter sur une clé USB. de plus il gère des fichiers très légers (ma boite à clés comporte plusieurs centaines de mots de passe et ne pèse que 110 ko !), fortement encryptés en AES/Rijndael 256 bits.

Sous Outlook Express et Outlook 2kx, l'encryptage d'e-mail est nativement proposé dans la barre d'outils. L'objet de cet article est d'étudier des solutions alternatives (pour Opera 8 par exemple) et plus robustes.

Rappelons le principe de l'encryptage : Dans notre environnement moderne dit PKI (Public key infrastructure) les messages email sont encryptés avec la clé privé de l'émetteur (vous) et la clé publique des destinataires. Cela signifie qu'un pré-requis est que vous devez disposer de la clé publique de votre destinataire !

Ceci étant dit, je propose d'examiner le processus avec Crypto Anywhere, excellent logiciel qui présente l'avantage d'être à la fois gratuit, intégrable dans Outlook et compatible avec le protocole OpenPGP.

=> Télécharger le logiciel sur http://www.bytefusion.com et l'installer=> Au premier démarrage, un assistant propose les premiers pas. Le point important est la création d'un premier jeu de clés de type SecEx, basés sur les algorithme RSA et TwoFish (format propriétaire) :- Saisir votre nom, email- Choisir ensuite la taille de la clé : de 1 kbit à 8 kits ! Je conseille 2 kbits pour un usage quotidien : - L'écran suivant invite à choisir une phrase clé : La choisir avec soin pour vous en souvenir, et assez longue : - L'écran suivant permet de générer une base de dombres aléatoires, à partir de multiples clics de souris : Astucieux ! - Finalement, la clé SecEx est créée et sauvegardée, sous la forme de 2 fichiers :---> Un fichier {email}#.pubrsa qui contient la clé publique : A COMMUNIQUER---> Un fichier {email}r#.privrsa qui contient la clé privée : A PROTEGER => le problème est qu'une clé SecEx n'est exploitable qu'avec Crypto Anywhere. D'où notre impatieence de créer une clé openPGP. Attention cela n'est possible que si vous avez déjà créé une clé SecEx. - La création de la clé se déroule en mode DOS, avec les étapes visibles ci-dessous : - Une fois les phrase clé saisie et confirmée, la clé est sauvegardée : Vous pouvez envoyer des fichiers encryptés en openPGP !

Peu de personnes le savent, mais il est parfaitement possible, sinon sérieusement recommandé, d'authentifier non seulement des emails, mais de nombreux types de documents avec un simple certificat numérique de type Thawte freemail.

Dans cet article je vous propose de tester cette fonctionnalité avec :

• Open Office : Fichier > Signatures Numériques > Ajouter => Sélectionnez une de vos signatures numériques valides. Enregistrez votre document : Celui-ci est signé, et cela est indiqué dans la barre de titre de Open Office. Si ce document était modifié et réenregistré par une autre personne, la signature serait automatiquement détruite : Une bonne façon de se prémunir contre les contrefaçons documentaires. Signalons au passage que c'est à peu près le même principe avec MS Office.

   

• Acrobat : On peut signer des documents PDF avec Acrobat Pro version 5+ : http://studio.adobe.com/us/tips/tip.jsp?p=1&id=100682&xml=acr7digsign .Toutefois, je prégère évoquer ici une solutions plus légère et plus universelle : Le recours à une imprimante PDF virtuelle supportant les signatures numériques. En voici quelques unes :- CutePDF Pro : http://www.cutepdf.com - EasyPDF Printer : http://www.gohtm.com/easypdf/- eDoc Printer PDF pro : http://www.iteksoft.com- Aloaha PDF Suite : http://www.aloaha.com

  Je suggère la suite eDocPrinter PDF Pro Enterprise Pack pour son ergonomie, son caractère complet, son faible coût (~50) et le fait qu'il soit disponible en français. Une fois le pack installé, depuis n'importe quel logiciel, on utilise l'imprimante virtuelle ERP2PDF : On clique sur OK, et la boite de dialogue de l'impression s'affiche :

  - Cocher l'option "Signé avec PDFSealer".- Appuyer sur le bouton "Option" et sélectionner le certificat à utiliser, puis paramétrer le format de la signature visuelle.- Valider et enregistrer le document PDF produit. La signature générée apparait alors comme suit :=> Si vous n'avez pas encore approuvé la signature de l'émetteur => Dès que vous aurez approuvé sa signature :

Voilà, j'espère que cela vous permettra de mieux garantir l'authenticité de votre production intellectuelle ;-)