"Le seul code "inviolable" met en œuvre une clé aussi longue que le texte à cacher"

Les codes que nous utilisons sont censés protéger nos informations : sont-ils sûrs ?
La sécurité de nos informations est comme une chaîne : c'est le maillon le plus faible qui cède en premier. Ce n'est sûrement pas les codes que nous utilisons mais, plus simplement, le système d'exploitation de l'ordinateur avec lequel nous travaillons ou... les erreurs de l'utilisateur qui posent le plus de problèmes.

Est-ce que les codes utilisent nos informations personnelles ?
Les codes ne font que protéger nos informations personnelles : ils sont en général mis en œuvre avec ce qu'on appelle des clés secrètes, suites de chiffres, de lettres ou de mots. L'accès à ces clés peut être conditionné par un mot de passe ou un PIN code et alors, il vaut mieux ne pas mélanger les choses. Choisir sa date de naissance ou son prénom comme mot de passe est à proscrire.

Comment définiriez-vous un bon code ?
Un bon code... est un code que je ne sais pas casser. Plus sérieusement, un "code" se compose d'un mécanisme ou algorithme de chiffrement qui transforme un texte clair en un texte incompréhensible et un algorithme de déchiffrement qui fait l'opération inverse. Ce qu'on demande c'est que -sans les clés secrètes qui mettent en œuvre le code et qui sont partagées par les utilisateurs légitimes- aucune information sur le texte clair ne soit accessible à un intrus.

Y a-t-il des codes inviolables ?
Le seul code "inviolable" est celui qui met en œuvre une clé aussi longue que le texte à cacher. C'est peu pratique... Mais c'est ce qui était utilisé entre Washington et Moscou pour le célèbre "téléphone rouge". Les codes utilisés en pratique ne sont pas inviolables mais les casser demande une puissance de calcul tellement grande qu'elle est inaccessible.

En quoi est-il important de travailler avec les algorithmes pour la connaissance des codes ?
Pour cacher un texte par un code on a le choix entre :
Faire un peu n'importe quoi et espérer que c'est plus ou moins inviolable.
Utiliser des algorithmes conçus avec une structure ou une analyse de type mathématique, dont on sait dire quelque chose, qui est -au moins- une tentative de prouver que casser le code est extrêmement difficile.

Quel est l'algorithme de cryptage le plus puissant au monde à ce jour ? Est-ce que la NSA ou autre organisation militaire a les moyens de casser un tel code. Si oui, en combien de temps ?
Actuellement, on recommande des algorithmes de chiffrement à l'AES (Advanced Encryptions Standard) pour le chiffrement disons d'un fichier. Les clés ont suivant le cas 128, 192 ou 256 bits, 256 bits c'est-à-dire 256 zéros ou un, cela fait un nombre de combinaisons gigantesque. La NSA ne me dit pas ce qu'elle sait faire mais je serais surpris qu'elle puisse venir à bout d'un tel code.

Quelle est l'espérance de vie d'un algorithme avant que celui-ci ne soit cassé (par des chercheurs ou des criminels) ?
Cela dépend de la qualité de l'algorithme : cela peut aller de quelques heures à des années. A cet égard, il faut plutôt faire confiance à des algorithmes qui sont publiés, puisqu'on a au moins l'assurance que quelqu'un peut les "tester".

Les meilleurs créateurs de système de cryptographie sont aussi les meilleurs "crackeurs" ?
La crypto c'est effectivement la défense et l'attaque. Suivant les goûts les spécialistes font l'un, l'autre ou les deux. Disons que si on ne sait pas voir les faiblesses des codes des autres, c'est sans doute difficile de voir les siennes.

Quelles techniques d'attaques crypto analytiques existe-t-il ?
Pendant longtemps, aucune technique n'était connue... ou du moins publiée. Aujourd'hui, on dispose de méthodes assez générales, qui font l'objet de travaux scientifiques : cryptanalyse dite linéaire ou différentielle. Ceci vaut pour le chiffrement de fichiers ou de communications. Pour la signature électronique et la mise en place d'un canal sécurisé, on utilise la crypto "à clé publique" pour laquelle les méthodes sont différentes.

Que pensez-vous des paiements en ligne, sont-ils moins sécurisés ?
Là aussi les choses évoluent : la méthode actuelle pour la sécurisation des paiements en ligne repose sur l'établissement d'un canal sécurisé suivant le protocole SSL. Ce type de méthode donne une bonne sécurité. Encore meilleure si le client dispose d'un mot de passe pour s'identifier et encore mieux s'il a un "certificat", ce qui est encore rare.

Qui a inventé le système de codes de paiement sur l'internet ?
Il n'y a pas d'inventeur du système de paiement mais plusieurs inventeurs qui ont mis au point une norme internet qui est SSL (Secure socket layer) aussi appelé TLS. Sur ce protocole on sécurise le trafic WEB. Cela se voit avec le s (sécurisé) de https et le cadenas qui s'affiche sur l'écran.

Est-ce que même déconnectés d'Internet, on peut encore se faire pirater notre code, notamment le numéro de compte ?
SSL s'il est mis en place correctement protège la communication. Donc ni en ligne ni ensuite hors ligne on ne peut se faire pirater... a moins que : l'établissement de SSL n'ait pas été correct, par exemple, on "parle" à un site qui n'est pas le bon. On a sur sa machine des programmes espions installés par intrusion.

Que pensez des signatures sur Internet ? Ce sont bien des codes, non ?
Une signature électronique est en fait ce qu'on appelle un algorithme à clé publique. Ce sont bien des codes : le signataire à un secret (qu'on appelle clé privée) et la vérification de la signature repose sur une clé publique correspondante incluse dans un certificat. C'est la seule méthode fiable qui reproduit la fonction des signatures manuscrites sur Internet.

Pensez vous que la restriction de la clef de cryptage en France est un bon élément ou cela nuit au bon cryptage des données ?
La réglementation sur les clés a évolué et -s'il reste des obligations pour les fournisseurs de produits -il n'y a essentiellement plus de limite pour l'utilisateur sur les tailles des clés, ce qui est une bonne nouvelle.

Qu'est-ce qu'un code à clé publique ? À clé privée ?
Dans la cryptologie conventionnelle, chiffrement et déchiffrement reposent sur une même clé partagée par deux personnes (ou machines) qui communiquent. Dans la crypto à clé publique, celui qui chiffre dispose d'une clé publique de son correspondant (qui peut la mettre sur une page WEB) et celui qui déchiffre d'une clé privée. Pour signer, c'est l'inverse, celui qui signe a une clé privée et celui qui vérifie récupère (par ex sur une page WEB) la clé publique correspondante du signataire.

Pourquoi on nous demande les 3 derniers chiffres derrière la carte bancaire ? Est-ce une sûreté de plus ?
C'est une sureté de plus : si un numéro de carte est récupéré par un fraudeur, alors s'il n'a pas la carte, il n'a pas en général ces 3 chiffres.

Le maillon le plus faible n'est-il pas le réseau sur lequel transitent les codes (Wifi par exemple) ?
Le maillon le plus faible c'est ... l'internaute qui reçoit un spam lui disant de se connecter sur le site de sa banque, qui clique, et qui se retrouve sur un site pirate... Le Wifi a pas mal progressé en termes de sécurité.

Le cryptage par empreinte digitale, c'est le codage absolu ?
Non, l'empreinte digitale est un mécanisme d'authentification (comme le PIN code) qui peut ensuite débloquer l'accès à une clé (par exemple sur une clé USB). C'est donc simplement un mécanisme commode (on a en général son doigt avec soi) et une sécurité supplémentaire.

Y a t-il quelqu'un qui connait les tenants et aboutissants des codes et cartes?
Sûrement, je crois même que beaucoup de choses sont parfaitement publiques sur ces questions. Si vous attendez "le secret des cartes" vous allez être déçu.

A quand la fin des codes secrets et l'arrivée de "l'ambient intelligence" ?
Je pense que plus on va faire des choses compliquées, des voitures qui se pilotent seules et de l'ambient intelligence, plus on aura besoin de sécurité et donc de codes secrets. Désolé, la fin des codes n'est pas pour demain.

Qu'en est-il de la cryptographie quantique ? Est-ce une avancée si révolutionnaire que cela ?
La cryptographie quantique est une voie de recherche très intéressante qui crée des codes inviolables reposant sur les lois de la physique. Cela dit, elle nécessite des équipements qui ont un coût élevé si on les compare à des algorithmes qui utilisent le temps de calcul de machines qui souvent ne font pas grand chose de leur puissance de calcul.

Le meilleur des cryptages n'est il pas plutôt la façon de faire circuler l'information plutôt que d'essayer de la cacher ?
Oui... Si vous n'avez rien à cacher. Maintenant, je pense qu'avec tous les "crawlers" qui peuvent récupérer de l'information sur le Net, il est préférable de ne pas faire circuler ses numéros de cartes de crédit, son numéro de sécu ni ses données médicales ou professionnelles.

Pourriez-vous me dire s'il existe des programmes espions qui sont efficaces malgré les spyware ?
Les outils de protection anti-virus anti spyware etc. fonctionnent en repérant les logiciels malveillants et les éliminant. Le danger est donc de ne pas être à jour des dernières attaques.

L'informatique a-t-il eu un lourd impact sur les codes ?
Considérable : ce sont entre autres les besoins de cryptanalyse des codes qui ont suscité la création de machines et donc la mise au point d'ordinateurs.

Depuis quand date l'utilisation des chiffres pour en faire des codes secrets ?
Les chiffres sont présents depuis toujours. D'ailleurs chiffres et codes sont synonymes. Si maintenant il s'agit de l'utilisation de grands nombres entiers dans la crypto à clé publique actuelle, cela remonte aux années 1976-78 qui ont vu l'invention de la clé publique et de ce qu'on appelle le système RSA.

Des cryptologues fameux se sont illustrés par le passé : Leonard de Vinci, Alan Turing pendant la 2ème Guerre Mondiale... Qui sont les cryptologues modernes ? Pour qui ou quelle institution travaillent-ils ? Sont-ils "nobélisables" ?
Il n'y a pas de Nobel pour les mathématiciens ni pour les informaticiens. Je pense que les cryptologues vivants les plus connus sont Whit Diffie et Martin Hellman, inventeurs de la clé publique et Ron Rivest, Adi Shamir et Len Adleman inventeurs de RSA (leurs initiales). Ce sont des universitaires.

Que pensez vous du livre " Da Vinci Code " et de son succès ?
Je l'ai lu en voyage… et je l'ai trouvé amusant. Un regret : que la cryptologue française du livre ait fait ses études en Angleterre au Royal Holloway College et non en France.

Quels conseils pouvez-vous donner en termes de création de mot de passe (comptes bancaires en ligne par exemple) ?
Un bon mot de passe :
- est assez long
- ne figure pas dans un dictionnaire
- comporte une certaine variété : minuscules, majuscules, signes de ponctuation, chiffres...
Tout cela complique la tâche de l'adversaire.

Comment devient-on crypto analyste ?
La cryptographie -et la cryptanalyse- nécessitent un mélange de compétences en informatique, mathématiques et ingénierie. Il faut donc les acquérir.

Qui utilise le plus les codes ?
Tout le monde : aujourd'hui il y a des codes :
- dans nos cartes de crédit
- dans nos téléphones portables
- sur l'Internet (paiements sécurisés achats en ligne)
Chacun de nous porte sur lui deux processeurs crypto en permanence (téléphone portable et CB) : il y a une véritable ubiquité de la cryptologie.

Merci pour toutes ces questions qui montrent un véritable intérêt pour la crypto.