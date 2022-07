Avant de commencer, une petite devinette

Nous sommes Ă une Ă©poque trĂšs lointaine. Les chiffres n'existent pas encore.Â

Un Ă©leveur de moutons gagne de l'argent en Ă©levant les moutons des autres. Un investisseur apporte ses moutons Ă l'Ă©leveur pourqu'il les fasse grandir.

Il les rĂ©cupĂšrera plus tard.Â

Comment les deux peuvent s'assurer que le contrat est respecté :

Que seuls les deux sont au courant des données de la transaction

Que le bon nombre de moutons sera rendu

Que l'éleveur ne pourra pas déclarer ne pas connaitre l'investisseur et garder tous les moutons pour lui

Que quelqu'un d'autre ne puisse pas se faire passer pour l'investisseur en venant rĂ©cupĂ©rer les moutonsÂ

Attention, ils ne savent pas compter, il n'y a pas d'état civil, c'est limite la préhistoire.

Petite PAUSE ici pour rĂ©flĂ©chirÂ

C'est le début de la cryptographie.

Comment garantir l'intégrité, la confidentialité, l'authentification, la non-répudiation d'un échange :

Confidentialité : l'information est rendue illisible aux personnes non autorisées.

Intégrité : une donnée n'a pas été modifiée par une autre personne

AuthenticitĂ© : la source de donnĂ©es est bien celle qu'elle prĂ©tend ĂȘtre

Non-répudiation : l'émetteur du message ne pourra pas nier avoir émis le message dans le futur

Revenons à nos moutons (hihi, je suis fier de celle-ci 😬) :

Les certificats permettent exactement ça.

C'est un mĂ©canisme de cryptographie asymĂ©trique.Â

Asymétrique, parce qu'on utilise deux "clés" : Quand on chiffre un message avec l'une, il n'y a que l'autre qui puisse la déchiffrer

Je vais rester light sur la notion de clé, mais pour faire simple

Il y a une clé publique. Elle est visibile et connue de tout le monde.

Il suffit de demander Ă quelqu'un et il te la montre.

Il y a une clé privée. Celle-ci n'est connue de que de son détenteur. Elle est souvent protégée par un mot de passe et gardée précieusement.

Si on reprend le principe des clĂ©s :Â

Un message chiffrĂ© par la clĂ© publique ne peut ĂȘtre dĂ©chiffrĂ© que par la clĂ© privĂ©e

Un message chiffrĂ© par la clĂ© privĂ©e ne peut ĂȘtre dĂ©chiffrĂ© que par la clĂ© publique

Donc maintenant, voyons les usages :Â

Confidentialité Alice veut rendre confidentiel un message à destination de Bob Alice utilise la clé publique de Bob pour chiffrer son message Elle est assurée que seul le détenteur de la clé privée associée pourra lire le message

Authenticité Je signe un message avec ma clé privée. Et je l'envoie. Mon destinataire utilise ma clé publique pour déchiffrer la signature. S'il y arrive, il a la garantie que c'est bien moi l'expéditeur que c'est bien ma signature. Seule ma clé privée fonctionne avec ma clé publique. Donc il vérifie l'authenticité de mon message.

Intégrité En chiffrant un message avec une clé, la modification du message chiffré rend le déchiffrement impossible. Un message ainsi altéré est tout de suite détecté. Et on peut donc considérer qu'il n'est plus intÚgre.

Non-rĂ©pudiation En signant un message avec une clĂ© privĂ©e, on ne peut plus dire que l'on n’est pas l'auteur. On a dĂ» utiliser une clĂ© privĂ©e pour le faire. Et la clĂ© privĂ©e c'est top confidentielle



On voit ici l'importance de bien protĂ©ger sa clĂ© privĂ©e sous peine d'usurpation d'identitĂ©.Â

On retrouve l'utilisation des clĂ©s partout :Â

Les protocoles sĂ©curisĂ©s (https, ...)Â

SSH et SFTP

Signature d'email et document officiel d'Ă©tat ...

Pour aller plus loin.

Lors d'échanges informatiques, chiffrer et déchiffrer avec des clés asymétriques coutent cher en calculs et en temps (il faut utiliser des principes mathématiques complexes pour garantir la sécurité).

On peut utiliser des clĂ©s symĂ©triques (la mĂȘme clĂ© permet de chiffrer et dĂ©chiffrer). Dans ce cas, il est nĂ©cessaire que l'expĂ©diteur et le destinataire aient prĂ©alablement Ă©changĂ© entre eux cette fameuse clĂ© de façon sĂ©curisĂ©e.Â

Donc en mixant les deux, on établit une connexion sécurisée une premiÚre fois avec de l'asymétrique. Lors de cette connexion, on s'échange une clé symétrique qui a une durée de validité. Puis pour les échanges qui suivent, on utilise la clé symétrique pour aller plus vite.

Les certificats que l'on trouve sur les sites web sont aussi composés d'une clé publique (le certificat tel qu'on peut le voir sur le navigateur web), d'une clé privée (cachée sur le serveur web et protégée).

Il y a une 3eme composante : l'autorité de certification qui garantit que mon certificat est bien le mien

Sans cela, on pourrait gruger.

Je suis Imrane, je crĂ©e moi-mĂȘme une paire clĂ© publique et clĂ© privĂ©e au nom de Bob. Maintenant que j'ai une paire, je peux signer des documents et me faire passer pour Bob. Personne n'a vĂ©rifiĂ© que j'ai le droit d'avoir une paire de clĂ©s au nom de Bob. C'est lĂ qu'entrent en jeu les autoritĂ©s de certifications qui se chargent de signer les "clĂ©s" attestant que ces clĂ©s appartiennent bien Ă la bonne personne.

Maintenant, tu n'as plus besoin de me faire confiance, tu fais confiance Ă une autoritĂ© tierce de plus grande ampleur. Cette autoritĂ© a fait tous les contrĂŽles pour bien vĂ©rifier que je suis bien Bob et non quelqu'un d'autre.Â

Bon lĂ , on va trĂšs loin. Ça pourra faire l'objet d'un autre article si ça t'intĂ©resse (dis-le-moi en commentaire)

La réponse à la devinette :

Maintenant que t'as tout compris, comment l'Ă©leveur et l'investisseur pourraient faire ?Â

Tu as besoin d'une paire de clés, d'un message ...

Je te donne pas totalement la rĂ©ponse, mais des indices :Â

Pot de terre

Petits cailloux

Poterie brisée

Objet personnel ...

Oula ! Bien compliquĂ© tout ça ! Juste pour des moutons !Â

ConclusionÂ

La cryptographie, ça existe depuis longtemps, ça a un but clair et c'est pas pour faire joli. On parle d'usurpation d'identité, de corruption de données ... Des choses importantes ...

C'est utilisé partout et tout le temps maintenant.

Les principes mathématiques derriÚres sont aussi pas mal utilisés dans la Blockchain et les Crypto (Monnaie, NFT...)

Donc en tant que Dev, ça fait partie du job d'intégrer la sécurité dans les projets.

VoilĂ :)

Bon c'Ă©tait dense, t'hĂ©sites pas Ă poser des questions.Â

À vendredi prochain

Imrane 🏖

