Le père de la cybersécurité : la cryptographie n’est plus la solution !

Shares

Dans le climat actuel de cyber-attaques et d’intrusions régulières dans les systèmes informatiques, la cryptographie devient de moins en moins importante. De ce fait,  il faut inventer de nouvelles façons de protéger les données sur les systèmes. Cette prise de conscience s’est produite suite à la déclaration du père de la cryptographie RSA, Adi Shamir, mardi 26 février, lors de la RSA Conférence 2013, à San-Francisco.

Adi Shamir, de l’Institut WEIZMANN en Israël et récompensé par le prix TURING en 2002 (équivalent du Prix Nobel d’informatique), avec Leonard M. Adleman et Ronald Rivest, a fait sensation en déclarant devant des experts en sécurité qu’il fallait se préparer à un monde “post-cryptographie”.

Soyez informés en temps réel ! Suivez-nous sur...


Adi Shamir a déclaré lors de la conférence RSA : “Je crois vraiment que la cryptographie est de moins en moins importante. Même les systèmes informatiques les plus sécurisés dans les endroits les plus isolés ont été pénétrés au cours des deux dernières années par une série d’APT (Advanced Persistent Threat) et d’autres attaques avancées”.

“Nous devons repenser notre façon de nous protéger. Traditionnellement, nous avons conçu deux lignes de défense. La première consistait à empêcher l’insertion de l’APT par un antivirus et d’autres défenses. La seconde consistait à détecter l’activité de l’APT une fois qu’il était là. Mais l’histoire récente nous a montré que l’APT peut survivre à ces deux défenses et fonctionner pendant plusieurs années. “

Shamir, qui s’est exprimé avec Ron Rivest du MIT, Dan Boneh de l’Université de Stanford, Whitfield Diffie de l’ICANN et Ari Juels de RSA Labs, a déclaré que les agressions continues sur les réseaux d’entreprises et de gouvernements  par des assaillants sophistiqués, ces dernières années, constituaient le développement le plus important dans le monde de la sécurité. Le temps, a-t-il dit, est venu pour les chercheurs en sécurité et autres personnes impliquées dans la défense des réseaux, de rechercher d’autres  méthodes que la cryptographie, qui soient capables de sécuriser leurs données sensibles.

Selon Adi Shamir: “Il est très difficile d’utiliser la cryptographie efficacement si vous supposez qu’une APT est en train de regarder l’intégralité du système”. “Nous devons penser à la sécurité dans un monde post-cryptographie.”

Selon les intervenants, une façon d’aider à consolider les défenses consisterait à améliorer – ou remplacer – l’infrastructure existante d’autorisation des certificats. La récente vague d’attaques contre les Autorités de certification, comme Comodo, DigiNotar et d’autres, a montré les faiblesses inhérentes à ce système et un travail sérieux doit être réalisé sur ce qui peut être fait pour y remédier.

“Nous avons besoin d’une infrastructure à clef publique dans laquelle les gens puissent préciser à qui ils veulent faire confiance, et nous n’avons pas cela ” a déclaré Ron Rivest du MIT, un autre des co-auteurs de l’algorithme RSA. “Nous avons vraiment besoin d’une infrastructure à clef publique (PKI) qui soit, non seulement flexible dans le sens où la Partie utilisatrice (Relying Party) précise ce qu’ils croient, mais aussi dans le sens d’être capable de tolérer des pannes, ou peut-être des échecs ordonnés par le gouvernement. Nous avons encore une approche très fragile et trop optimiste de la PKI. Nous avons besoin d’avoir une vision plus robuste à ce sujet. “

Shamir a souligné l’incident récent dans lequel TurkTrust, une Autorité de certification Turque, a été reconnue coupable d’avoir délivré des certificats subordonnés pour les domaines Google à deux parties distinctes, dont l’une était un entrepreneur du gouvernement turc. Il a dit qu’il ne serait pas surpris de voir de tels incidents survenir.

“Je pense que vous verrez de plus en plus d’événements de ce genre, dans lesquels une Autorité de certification sous la pression d’un gouvernement se comporte de façon étrange”, a-t-il dit. “Il remet en question la base de la sécurité, l’infrastructure PKI, est mise à rude épreuve.

Shares

RetweeTech

Rejoignez nos 2 940 abonnés et recevez nos derniers articles directement sur votre e-mail.