Ce sont les petits suisses de l'Ecole polytechnique fédérale de Lausanne, aides par des potes de l'université de Bonn et de la compagnie NTT au Japon qui ont extrait les facteurs premiers d'un nombre qui totalise 307 chiffres. En clair, cette équipe a « presque » cassé la fameuse clé RSA de 1 024 bits (écrite sur 308 chiffres), souvent utilisée, par exemple, pour protéger les transactions sécurisées SSL sur Internet. Ce « presque » ne doit pas minimiser l'annonce car elle va remettre en cause toute la sécurité dans les prochaines années.

Cet exploit témoigne d'une montée en puissance des ordinateurs et du perfectionnement des techniques de cryptologie. Il leur a fallu onze mois de calculs et un siècle de « temps machine » pour parvenir à leurs fins. Autant dire que le cassage des clés RSA de 1 024 bits n'est pas à la portée de tout le monde et encore moins des pirates qui ne disposent pas d'une telle puissance de calcul.

Néanmoins, les laboratoires RSA eux-mêmes ont publié des recommandations pour le passage aux clés a 2048 bits, qui devraient nous permettre d'être tranquilles jusqu'en 2030 !

A suivre : Le projet TWIRL initie par Ali SHAMIR, l'un des 3 geniteurs de l'algorithme RSA.=> Le premier jet de son mémoire au format PDF

Autres liens : http://www.rsa.com/rsalabs/

Au carrefour de 2 themes de ce blog, la cryptographie et Apple, laissez moi vous raconter une belle histoire :-)

Un esprit curieux comme le votre pourrait legitimement se demander pourquoi Apple a choisi pour logo une pomme croquee ? Pas pour s'illustrer en tant que cooperative fruitiere comme pourrait le dire Forest Gump. Non, l'histoire est un peu plus subtile ...

Les esprits chagrins vous raconteront que c'etait une facon de prendre l'exacte contraposee du logo IBM.

Les plus cartesiens diront que c'est un hommage a la celebre pomme de Newton, qu'il vit tomber alors qu'il faisait la sieste sous un pommier, et qui lui inspira ainsi sa fameuse theorie de la gravitation universelle.

Mais tout cela ne rend pas justice a ce hero inconnu qui inspira rellement Steve Jobs : Alan Turing !

Ce mathematicien anglais, aujourd'hui admire comme le vrai pere de l'informatique moderne par une poignee d'inities, est connu pour la celebre machine a qui il a donne son nom. Ce que peu de gens savent, c'est a quoi a servi cette machine ?

Et bien pas moins qu'a permettre aux allies de gagner la deuxieme guerre mondiale ! En effet, ses travaux, bases sur les travaux preliminaires de mathematiciens polonais, ont permis in fine de decrypter le code Enigma de l'armee allemande, qui servait a crypter toutes les transmissions strategiques. Il serait trop long de raconter cette passionnante histoire ici naturellement, et je vous invite a vous pencher sur la biographie de Alan Turing pour cela.

En 1951, le mathematicien fut admis a la Royal Society of Sciences, couronnant ainsi son travail remarquable. Mais en 1954, il fut ecoute en proces pour homosexualite, et condamne a un traitement hormonal qui devait en faire un etre asexue et obese. Un an plus tard, il se donna la mort en croquant une pomme trempee dans du cyanure, une sorte de clin d'oeil a Blanche Neige.

25 ans plus tard naissait Apple, la firme a la pomme croquee aux couleurs de l'arc en ciel.

J'aime ces mythes fondateurs qui ont l'epaisseur du Sens, pas vous ?

Je n'invente rien : http://fr.wikipedia.org/wiki/Apple,_Inc.#Le_logo_d.27Apple

Je vous laisse reflechir la-dessus :-)

Déciément, c'est d'actualité la cryptographie. ET voici une nouvelle librairie très complète écrite en Actionscript 3 (donc pour Flash 9 et Flex 2 exclusivement) :

AS3Crypto ( http://crypto.hurlant.com )

La panoplie est très complète, jugez : AES, XTEA, ECB, CBC, CFB, CFB8, OFB, PKCS#5, RC4, SHA-256, SHA-224, SHA-1, MD5, RSA and PKCS#1.

Une bonne pépite pour flasheurs.

A l'heure où vous mettez peut-être en oeuvre des applications Flash/Flex connectées à des bases de données en ligne, la sécurisation des flux de données est cruciale !

Le recours aux échanges binaires en AMF, via des services RPC tels que AMFPHP, est certes intéressant mais bien loin d'être satisfaisant : N'importe quel proxy moderne sera en mesure d'examiner dans le détail les paquets de données qui transitent entre l'interface utilisateur et le service web.

Naturellement, vous franchirez un cap significatif en utilisant le protocole HTTPS, sécurisé avec un certificat SSL adéquat. Mais pour les plus paranos ou les moins fortunés, le recours ultime est de procéder vous-même à l'encodage et au décodage de vos données, à chaque bout de la chaîne.

Côté serveur pas de soucis, vous devriez disposer des librairies adéquates dans votre langage de scripting favori. En PHP, on utilise l'excellent librairie de chiffrement mcrypt.

Mais côté actionscript, il n'existe aucune classe ou fonction native dans Flash ou Flex à l'heure actuelle. Que faire ? Je m'étais déjà posé le problème en 2004, alors que je développais un jeu Flash primé pour le compte d'adidas. J'avais alors identifié une librairie publiée par un certain MEYCHI. La librairie s'appelle AScrypt, et j'ai constaté avec plaisir qu'elle est toujours maintenue par ce contributeur finlandais.

=> A découvrir ici, sur le blog de MEYCHI : http://www.meychi.com/archive/000031.phpAu programme, les algorithmes suivants : MD5, SHA-1, Base8, Base64, TEA, AES, RSA, ROT13, RC4 + la compression LZW.=> Pour compléter votre collection avec un bon vieux Blowfish, qui est toujours dissuasif : Actioncrypt ( http://sourceforge.net/projects/actioncrypt/ )

Rappelons les algorithmes les plus performants et donc recommandés : SHA-1 et AES

Bon, commencons l'annee en douceur avec une picorette q'il va falloir bien savourer sans la croquer.

La gestion de mot de passes unifiee sur toutes les plate-formes, vous vous souvenez ?

=> Cf. ce post assez recent.

Voici la reponse du monde libre : KEEPASS ! Disponible sur PC, Mac, Linux, Pocket PC ... Localise en francais ... et gratuit.

Chapeau bas, je vais poser un cierge a Notre Dame de la Garde !

Gerer ses mots de passe est devenu la preoccupation quotidienne de plus d'un internaute, et ce ne sont pas les logiciels qui mnquent, a la fois sur Mac et sur PC.

Le vrai probleme, c'est de trouver un logiciel qui existe A LA FOIS sur les 2 plates-formes !

Pour un usage perso, ne necessitant l'usage que d'une seule base de donnees, je vous recommande l'excellent PasswordVault en version Lite :=> Version 5.2 qui temoigne de sa maturite,=> Existe bien sur Mac et PC, mais aussi sur Linux !=> Est livre avec un lecteur standalone pour cle USB=> Encrypte vos donnees sur 896 bits, ce qui le place dans la tranche haute en la matiere,=> Est cote 5/5 par Softpedia, MacUpdate, et Version Tracker.

Rendez-vous sans plus attendre chez Lavasoftware.

Toutefois, si comme moi vous etes plus exigeants, et souhaitez gerer plusieurs carnets de mots de passe, il existe une alternative commerciale : Password Retriever, depuis peu renomme Data Guardian.

A priori, cette question peut être comprise de façon très triviale, et c'est bien souvent qu'on qualifie quelqu'un de "calculateur". Mais prise au pied de la lettre, la question recouvre un véritable intérêt !

Je me souviens avoir lu dans un S&V de 2002 qu'un mathématicien français, Jean-Louis Krivine, développait une théorie selon laquelle les couches fonctionnelles logiques de base du cerveau, juste au dessus de l'architecture physique des neurones, parleraient un langage proche ou analogue au lambda-calcul. Ce dernier est un langage logique inventé en 1932, donc avant l'apparition des ordinateurs, par le mathématicien Alonzo Church. Il permet trois opérations grammaticales élémentaires, dont les programmeurs ont découvert ultérieurement qu'elles étaient à la base de toutes les opérations commandées à un ordinateur : => préciser l'adresse des instructions, => préciser l'adresse des données,=> et exécuter.

L'apport de Jean-Louis Krivine est d'avoir montré que ces mêmes opérations se retrouveraient à la base de tous les raisonnements et structures mathématiques. Celles-ci seraient des superpositions de couches de plus en plus complexes, au fur et à mesure que le mathématicien s'élève dans l'abstraction, pouvant toujours être ramenées aux règles de programmation du lambda-calcul.

Dans ce cadre, le mathématicien a par exemple montré que la démonstration du théorème d'incomplétude de Gödel pouvait être ramenée à un simple programme d'ordinateur exprimé en lambda-calcul. Un programme qui "ressemblerait au programme réparateur de fichiers" mis en ouvre par un système d'exploitation d'un ordinateur en cas d'arrêt inopiné du système.

Ce programme lui-même, selon une hypothèse de Krivine, pourrait être semblable à ce qui se passe dans le cerveau quand, durant le sommeil, tous les programmes de veille sont éteints pour permettre la restauration des contenus cognitifs en vue d'affronter les aléas de la journée suivante, opérations de maintenance dont les rêves pourraient être de vagues échos.

Est-ce la réduction de l'Homme à un vulgaire PC ? Pour la boutade oui, mais en réalité, ce sont des horizons immenses qui s'ouvrent. A suivre !

P.S. : A noter que le lambda-calcul est un élément cardinal dans la théorie de la calculabilité, initiée par Alan Turing, le célèbre casseur du code Nazi Enigma, à l'aide des machines qui ont porté son nom ;-)

Un indispensable dans la collection de tout cryptographe amateur. Voici le résumé de l'éditeur :

De tous temps, les codes secrets ont été un outil indispensable dans les affaires d'ordre politique, diplomatique, militaire. Ils ont décidé du sort des peuples, des armées, quelquefois des amants...De l'arrestation de Marie Stuart à l'entrée en guerre des Etats-Unis pendant la Seconde Guerre mondiale, des messages cachés dans la chevelure des émissaires grecs aux salles de calcul de la National Security Agency, ce livre, aussi excitant qu'un roman policier, déploie une véritable fresque historique.Il nous montre aussi comment la guerre continuelle du codage et du décodage a entraîné des découvertes et des progrès multiples en linguistique, en mathématiques, et, pour finir, dans la mise au point des ordinateurs. Mais surtout, il attire notre attention sur un enjeu capital de notre civilisation. A l'ère des satellites et de l'Internet, jamais la notion de cryptage n'a été aussi centrale dans la protection de la vie privée...L'Histoire des codes secrets se lit comme un polar C'est aussi une magistrale vulgarisation des techniques de chiffrement et de déchiffrement.Paul Loubière, Sciences et avenir.Au sommaire * Le chiffre de Marie, reine d'Ecosse. * Le chiffre indéchiffrable. * La mécanisation du codage. * A l'attaque d'Enigma. * La barrière de la langue. * Alice et Bernard s'affichent en public. * Pretty Good Privacy. * Saut quantique dans le futur

Il en existe un, mais pour cela il vous faudra remonter à une très ancienne version : la 6.02

=> http://www.pgpi.org/cgi/download.cgi?filename=PGPfreeware602i.exe

Pour info, c'est la version qu'utilise le "Security Response Team" de la société Skype, preuve que ça rend encore des services : http://www.skype.com/security/

Mettre en place une architecture privée de sécurité à clés publiques, dans votre entreprise ?

Et oui, c'est possible, et à moindre coût !

Pour cela, je vous invite à acquérir une licence de site pour le package logiciel Crypto4 files et Crypto4 PKI : Le pack à 300 est intéressant si votre organisation compte plus de 10 personnes. Sinon, prenez des packs individuels.

Installez Crypto4 PKI sur un poste administrateur sécurisé, et une fois le logiciel installé, exécutez le Certificate Manager. il vous permet de voir les clés et certificats déjà présents et recensés sur le poste :

OK, maintenant procédons à la création d'un premier certificat privé, qui sera propre à l'administrateur. Une bonne idée est de créer un compte mail spécifique, du type pkiadmin@masociete.fr => demandez cela à votre IT.

[... rédaction en cours ...]