juin 2006

Des précisions sur l'Unik d'Orange

Des précisions sur l'Unik d'Orange

01Net a pu tester Unik, le téléphone Wi-Fi/GSM d'Orange. Commercialisé à partir de septembre, il permettra aux abonnés haut débit d'appeler à partir de chez eux en Wi-Fi et à l'extérieur sur le réseau mobile GSM. L'avantage d'appeler en Wi-Fi est la gratuité du service.

"Premier terminal annoncé pour Unik, le Nokia 6136 sera vendu 99 €. Par défaut, il se connecte automatiquement en Wi-Fi dans la zone de couverture de la LiveBox de l'abonné (la couverture est indiquée sur l'écran du téléphone par une icône). Mais il est possible de le paramétrer, pour que l'abonné choisisse son réseau à chaque appel. De même, il peut saisir dans le téléphone jusqu'à cinq clés WEP, identifiants nécessaires pour se connecter à d'autres réseaux Wi-Fi, mais uniquement des LiveBox. La LiveBox de l'abonné peut quant à elle accepter trois communications Unik simultanées, si plusieurs membres de la famille possèdent un terminal mixte. A noter que si un utilisateur téléphone de chez lui avec Unik (donc en Wi-Fi), la ligne fixe de LiveBox reste libre." [01Net]

Microsoft se lance dans la télé !

Club-Internet se prépare à basculer à la fin du mois son offre d'accès Internet vers un « Triple-Play » comprenant Internet, téléphonie illimitée et télévision numérique. Pour lancer ses services liés à la télévision, le fournisseur d'accès à Internet s'est allié à Microsoft. L'abonnement sera proposé en zone dégroupée au tarif de 29,90 euros mensuels, auxquels s'ajoutent 3 euros de location du modem.

Illustrations sur neteco

Pour se démarquer des autres fournisseurs d'accès déjà bien installés sur le marché, Club Internet met en avant son alliance avec Microsoft. «Nous lançons vraiment une nouvelle génération de télévision numérique, en partenariat avec Microsoft qui a développé la plateforme technique et qui apporte son expérience en terme de convivialité, d'ergonomie et d'interactivité», explique Marie-Christine Levet, présidente de Club Internet. «Cela se traduit par exemple par un temps de zapping instantané alors qu'il est beaucoup plus long chez nos concurrents.» (source www.lefigaro.fr)

Le courant clair et le génie? Décryptage !

Je rongeais mon frein depuis plusieurs semaines en écoutant la chronique judiciaro-médiatique de l’affaire Clearstream : je ne vais pas revenir dans le détail de cette affaire (chronologie détaillée dans le Monde à cette adresse), mais j’aimerais m’attarder sur un point particulier, qui relève (un peu) de ma spécialité.

Bref rappel : à l’origine de ce scandale, un listing décrivant des références de comptes bancaires, les dits comptes appartenant à des personnalités. Ce listing aurait été récupéré par un mathématicien et informaticien génial (il est notamment titulaire d’un DEA de « probabilité et processus aléatoires »), Imad Lahoud, qui aurait « pénétré » le réseau de la société Clearstream.

Pour mémoire, ce génial informaticien, appointé (disait-il) par la DGSE pour ses talents, « sort de prison, [le 7 octobre 2002] où il vient de purger 108 jours de détention provisoire pour une affaire d'escroquerie. Son frère, Marwann Lahoud, haut dirigeant d'EADS, le met en contact, lors d'un déjeuner le 8 octobre, avec M. Gergorin. Celui-ci le fait recruter chez EADS, en février 2003. Entre-temps, il l'a présenté au général Rondot, qui l'a aussi recommandé à la DGSE. » (lire le Monde). On nous dit ensuite qu’à partir de Juillet 2003, l’informaticien « pénètre le système informatique de Clearstream ». Et que c’est à compter de ce moment que les fournitures de listings se multiplient. Listing qui contiennent des noms de titulaires de comptes de plus en plus inquiétants (ministres, parents de ministres, industriels …).

Fin du rappel !

Nous avons donc, c’est ce qui attire mon attention, un informaticien capable de pénétrer dans le réseau informatique d’une grande chambre de compensation, et d’en extraire de l’information. C’est en tout cas ainsi que nous furent présentés les faits depuis le début de l’affaire.

Et c’est là que moi, je bloque (comme un PC mal embouché) : car pour pénétrer un système informatique bancaire, à ce niveau de l’infrastructure (les logiciels de gestion d’une banque - le back office -, qui eux seuls peuvent fournir des références de comptes), il ne sert absolument à rien d’être un génie. Il faut, nous allons le voir, soit être astucieux, soit être muni d’une grande puissance de calcul. L’explication qui nous était donnée depuis le début sur les fameux listing Clearstream et la méthode qui présida à leur récupération sonnait donc vraiment très faux.

Posons le problème : le réseau informatique d’une entreprise bancaire ou financière est aujourd’hui sécurisé par des systèmes de cryptages à base de clé (le plus souvent dérivant des algorithmes RSA). Ces systèmes de sécurisation sont fiables et déployés par des entreprises sérieuses. En d’autre terme, le seul moyen de les violer (pour intercepter ou extraire des données, par exemple), c’est de trouver cette fameuse clé, qui aujourd’hui atteint parfois une taille de 2048 bits.

On peut dire que dans la plupart des cas, le décodage d’une clé de ce genre se résume à une attaque proche du principe de la force brute. On essaye de découvrir la clé par une factorisation de grands nombres.

Pour information, un bon étudiant de Master Informatique avec option cryptographie connaît la méthode et il n’est nul besoin de « génie de l’informatique » pour cela , il faut surtout une puissance machine phénoménale (c’est un cluster d’ordinateurs qui est généralement mis en action, ). Le dernier record en la matière a été obtenu avec une grappe de 30 processeurs Opterons cadencés à 2,2 Ghtz, qui ont réussi à décoder une clé RSA de 640 bits en … 5 mois (voir le descriptif de la méthode ici) !

On est donc encore bien loin de savoir percer le secret des clés à 1024 ou 2048 bits qui peuvent être en vigueur sur un réseau bancaire. Et avant qu’une institution financière attende tranquillement que vous fassiez joujou pendant cinq mois avec ses codes sans avoir modifié ses clés, vous pouvez toujours vous accrocher ! Il faudrait voir à ne pas prendre les responsable de sécurité des SI des grandes banques pour des canards sauvages : génies, ils ne se proclament pas, mais compétents, assurément ils sont !

En l’état actuel de la recherche sur ce thème, le seul moyen envisagé pour casser ce type de clés dans un délai court est l’ordinateur à bits quantiques (qui intéresse les militaires justement pour ses capacités de décryptage). Lui seul est en mesure de faire fonctionner des algorithmes (celui de Peter Shor d’AT&T), extrêmement performants de factorisation de grands nombres (de nombreux sujets de thèse portent sur ce thème, voir notamment le site du Cnrs ). Mais ce n’est que de la recherche …

Pour la petite histoire, on pourra aussi ajouter que si un génie informatique réussissait par le plus grand des hasards à décrypter une clé de 1024 ou 2048, il n’aurait nul besoin d’aller voler des données dans une entreprise de compensation financière pour se faire de l’argent de poche puisque le RSA offre un prix au génie en question : ça s’appelle le RSA Challenge Number, c’est connu de tous les étudiants et chercheurs informaticiens et mathématiciens (mais aussi des banquiers), et ça rapporterait 100 000 US$ pour une clé de 1024 bits cassée (le double pour une clé de 2048 bits) ! (règlement du concours à cette adresse). On notera aussi qu’un tel génie verrait son avenir doublement assuré par les centaines d’offres d’embauches qu’il ne manquerait pas de recevoir de la part des universités les plus prestigieuses que compte notre planète !

Ajoutons qu’il est bien évident que ce RSA challenge sert de référence à toutes les institutions financières du monde qui s’en servent pour évaluer le degré de vulnérabilité de leurs propres clés.

Donc ? De génie, il ne saurait y avoir et sur ce point, on nous a vraiment pris pour des gogos.

En revanche reste la possibilité de « l’homme du milieu ». Un individu ayant accès aux données de l’entreprise de l’intérieur, sans avoir besoin d’en briser les protections. Signalons perfidement que de ça, il ne fût jamais question dans aucun des articles qui se sont succédés depuis des semaines.

Et bien évidemment, c’est pourtant ce qui s’est produit comme on pouvait s’en douter : un article de Libération d’hier est venu le confirmer. Où l'on découvre ainsi que "Les Cédéroms et autres listings transmis par Jean-Louis Gergorin, ancien vice-président d'EADS, au juge d'instruction Renaud Van Ruymbeke, en charge de l'affaire des frégates de Taiwan, ne seraient que le fruit d'un simple bidouillage de tableau Excel, à la portée du premier venu". En clair, "l’informaticien de génie" avait un contact (ce qu'on appelle dans le jargon, justement, un "homme du milieu"), Florian Bourges, qui avait audité le système informatique de Clearstream, en tant que consultant du cabinet Arthur Andersen.

Conclusion évidente, qui malheureusement, aurait mérité d’être livrée à la sagacité des lecteurs et auditeurs de tous les médias, depuis le début de l’affaire. Car si il n’y avait pas pénétration de système, il y avait forcément récupération de données internes, qui elles-mêmes avaient pu subir toutes les formes possibles de manipulations (alors qu’une véritable violation de système aurait permis, par exemple aux agents de la DGSE, de visiter eux-même les ordinateurs de Clearstream, et d’en extraire des informations dont la véracité et la qualité auraient été avérées puisque puisées à la source).

On m’objectera qu’un journaliste n’est que rarement un chercheur en mathématiques ou en informatique et qu’il se contente donc de retransmettre l’information qui lui est fournie : j’objecterais qu’une information, ça se vérifie, et qu’il y a suffisamment de laboratoires d’informatique et de mathématiques en France pour y parvenir. Un simple coup de fil à un Maître de Conférence spécialisé aurait suffit pour obtenir les informations que je viens de développer …

Ce qui ne veut pas dire - d'ailleurs - que cette mise au point vous ait mieux informé : il sort en ce moment des livres et des documents tellement édifiants que bien malin celui qui saura la vérité dans toute cette histoire ... Moralité ? Coupez la télé, fermez la radio, et partez à la plage !