Vous utilisez actuellement l'adresse IP : 38.107.179.217 Votre navigateur est : CCBot/1.0 (+http://www.commoncrawl.org/bot.html) Votre système d'exploitation : Système d'exploitation inconnu Votre page précédente : connexion directe Pays : United States Région : District of Columbia Ville : Washington Latitude : 38.91 Longitude : -77.08
La signature numérique
Depuis le 13 juin 2009, les documents d'Amylose_Infos disposent d'une signature numérique qui les transforment en certificats.
De ce fait, chaque document devient inviolable et comporte obligatoirement l'identité de son auteur. Pour cela, chaque membre du Bureau, pendant toute la durée de son mandat, dispose d'une clef fonctionnelle.
Pourquoi avoir décidé d'utiliser un système de cryptographie à clef publique ?
Dorénavant, seul un document signé numériquement sera officiellement reconnu appartenir à Amylose_Infos.
Nous pouvons certifier nos documents et nos e-mails.
Nous pouvons garantir la confidentialité de nos écrits.
Nous pouvons garantir la provenance et l'intégrité de nos écrits.
Nous pouvons garantir l'auteur de nos écrits.
Nous offrons la non-répudiation : le signataire ne peut pas nier être l'auteur de la signature.
Ceci constitue une mesure qu'Amylose_Infos applique afin de permettre à celles et ceux qui le souhaitent, adhérents ou pas, de s'assurer qu'ils ont bien les informations correctes.
Concrètement, jusqu'à présent vous pouviez, par exemple, télécharger un fichier "liste.pdf", mais vous ne disposiez d'aucun renseignement fiable concernant ce fichier : est-il bien un document officiel de l'association ? est-ce bien l'association qui l'a écrit ? ...
Maintenant, chaque document sera accompagné d'un petit fichier ayant le même nom mais avec en plus l'extension "sig". Exemple : "liste.pdf.sig"
Il s'agit de la signature numérique. Grâce à ce fichier, vous avez la possibilité de vérifier que ce document a bien été écrit par Amylose_Infos et que personne n'a pu faire une contrefaçon.
IMPORTANT : Il faut bien comprendre que cette mesure n'est efficace que pour celles et ceux qui le veulent, et uniquement pour eux. Pour les autres, elle est totalement inutile.
Ce qui signifie que la personne qui veut profiter de cette protection doit installer sur son ordinateur un logiciel particulier.
Amyose_Infos utilise GnuPG. C'est un Logiciel Libre qui peut être utilisé gratuitement sans aucune restriction. Il dispose également d'interfaces graphiques facilitant l'utilisation. Pour notre part, nous utilisons GPG4Win, et on trouve également d'autres logiciels équivalents.
Concernant les e-mails, cet outil apporte un avantage supplémentaire puisque c'est un logiciel de cryptographie.
Il préserve la confidentialité des e-mails et des fichiers. Il permet de créer une sorte d'enveloppe, ou un sceau,garantissant les e-mails et les fichiers contre toute lecture, tout en attestant l'identité de l'expéditeur.
La messagerie électronique ressemble au courrier classique (la Poste) avec une différence importante : la copie et la lecture du message.
En effet, l'envoi d'un e-mail implique sa copie dans différents ordinateurs où il peut être lu par les administrateurs système.
L'e-mail que vous envoyez transite par plusieurs serveurs, qui peuvent tous en garder une copie.
Arrivé à destination, l'e-mail est copié dans une zone d'attente dans laquelle il reste jusqu'à ce que le destinataire l'efface après l'avoir lu...
La comparaison de l'e-mail avec la Poste n'est donc pas correcte. Pour bien faire, il convient de préciser : l'e-mail est équivalent à la carte postale, mais pas à la lettre.
En effet, la lettre contient le texte. Elle est placée à l'intérieur d'une enveloppe que l'expéditeur ferme avant de l'envoyer.
Depuis le moment où la lettre est mise dans la boîte, jusqu'à son arrivée chez le destinataire, personne n'a pu la lire sans ouvrir l'enveloppe, ce qui est différent de l'e-mail que de nombreuses personnes ont pu lire à votre insu.
On peut donc dire que la lettre offre une certaine confidentialité, contrairement à la carte postale.
En les cryptant, les e-mails circulent comme les lettres à la Poste, pas comme les cartes postales, mais en plus avec une enveloppe que seul le destinataire peut ouvrir !
Concrètement
Si vous êtes équipé de cet outil gratuit (GPG4win), ou d'un outil équivalent et compatible, vous pouvez vérifier l'authenticité du document.
Un message vous dira par exemple :
Good SHA1-hashed signature made by Association_Amylose_Infos-President <Association_Amylose_Infos@President> (DSA/0x6938F48B) on 13/06/2009 07:30:34
ce qui signifie :
la signature est correcte, elle a été posée le 13/06/2009 et appartient au Président de l'association Amylose_Infos, la clef utilisée a le numéro 0x6938F48B.
Vous avez donc la certitude :
que le texte n'a subi aucune modification,
qu'il provient bien de l'association Amylose_Infos,
que c'est le Président qui a signé,
et vous avez le numéro de la clef. Vous pouvez donc vérifier ces informations en allant sur le site pour les contrôler.
De plus, le Président ne peut pas nier avoir écrit ce document puisque sa clef a été utilisée et qu'il est le seul à pouvoir l'utiliser !
Si le contenu du document a été modifié, ou si la signature est contrefaite, et quelle que soit la modification, vous obtiendrez le message suivant :
Bad signature made by Association_Amylose_Infos-President <Association_Amylose_Infos@President> (0x6938F48B).
ce qui signifie :
la signature provient de la clef numéro 0x6938F48B qui appartient au Président de l'association Amylose_Infos mais le contenu a été modifié.
Vous avez donc entre les mains un document qui est une malversation !
Cette protection s'applique également aux e-mails et aux textes, avec quelques différences dans la présentation. Dans un e-mail ou un texte, on peut voir les effets de la signature numérique.
Lorsque l'association envoyait un message, vous receviez par exemple :
Le numéro de téléphone de l'association est le 01 23 45 67 89.
Maintenant, vous recevrez ceci :
-----BEGIN PGP SIGNED MESSAGE-----
Hash: SHA1
Le numéro de téléphone de l'association est le 01 23 45 67 89.
-----BEGIN PGP SIGNATURE-----
Version: GnuPG v1.4.9 (MingW32) - WinPT 1.2.0
iEYEARECAAYFAkoyXUcACgkQWNqQe2k49ItEYQCgjit2FxJyjQ8VPaRvQv06ay7E
ZB0An2TZr1i7r9N9cVJMrh0ZjRyq+cvC
=BusN
-----END PGP SIGNATURE-----
EXPLICATION :
Le message proprement dit est inchangé mais il est "encadré" par 3 délimiteurs.
Le premier délimiteur indique le début du texte garanti :
-----BEGIN PGP SIGNED MESSAGE-----
Tout ce qui suit ce délimiteur est authentifié.
Le texte "Hash: SHA1" est une simple indication relative à la protection.
Le second délimiteur indique la fin du texte authentifié ainsi que le début de la signature :
-----BEGIN PGP SIGNATURE-----
La ligne suivante est une indication sur le logiciel : Version: GnuPG v1.4.9 (MingW32) - WinPT 1.2.0
Puis, ce qui est vu comme du charabia est en fait la signature numérique : iEYEARECAAYFAko...
Puis le dernier délimiteur marque la fin de la signature :
-----END PGP SIGNATURE-----
En effectuant la vérification avec GPG4win, vous aurez les mêmes indications que lors d'un fichier : soit le message est authentifié et correct, soit c'est une malversation.
IMPORTANT A SAVOIR
Si, juste pour voir, vous "touchez" au texte ou à la signature, vous prenez le risque irréversible de corrompre l'un ou l'autre, donc d'invalider le message.
La signature numérique s'applique aussi bien aux e-mails qu'aux fichiers (doc, pdf ou autre). Ainsi, à compter de maintenant, seuls les textes et documents signés numériquement seront reconnus provenant d'Amylose_Infos.
Quelques notions élémentaires
LA CONFIDENTIALITÉ
C'est la préservation du caractère privé d'informations dont les détenteurs ne souhaitent pas la diffusion publique, ces informations sont réservées aux seules personnes autorisées.
L'INTÉGRITÉ
C'est l'assurance qu'une information n'est modifiée que par son auteur et uniquement par lui. c'est la garantie du maintien des informations sans altération.
L'IDENTIFICATION
L'identification consiste à constater l'identité d'une personne dans un groupe d'individus connus. Cette identité est généralement connue mais peut facilement être usurpée.
L'AUTHENTIFICATION
c'est la vérification de l'identité d'une personne, à partir d'éléments connus ou détenus par elle-seule (mot de passe, badge...)
Elle va permettre d'avoir la garantie de l'identité de la personne. Un identifiant peut être utilisé par un groupe de personnes, et l'authentification ne doit concerner qu'un et un seul individu.
LA CRYPTOGRAPHIE
Ce terme vient de 2 mots grecs signifiant "caché" et "écrire". C'est la science qui utilise les mathématiques pour chiffrer et déchiffrer des informations.
La cryptographie permet de transmettre des informations confidentielles sur Internet. Autre avantage important : elle permet la signature numérique, ce qui permet au destinataire de contrôler l'authenticité de l'origine du message, et de vérifier l'intégrité du message.
Elle utilise une fonction mathématique combinée avec une clef (un mot, un nombre ou une phrase) pour chiffrer un texte clair en le transformant en texte incompréhensible.
Dans la cryptographie conventionnelle, également appelée "symétrique" ou "à clef secrète", une seule clef permet à la fois le chiffrement et le déchiffrement. Il faut donc faire parvenir la clef à tous les destinataires, ce qui fragilise considérablement la protection.
Cette faiblesse disparaît avec la cryptographie à clef publique.
Ce système utilise une paire de clefs : une clef publique et une clef privée, ces 2 clefs étant liées mathématiquement.
Toute personne qui possède une copie de votre clef publique peut, grâce à cette clef, chiffrer des informations que vous seul pourrez déchiffrer! Seule la personne qui détient la clef privée correspondante peut déchiffrer!
Il est mathématiquement impossible de retrouver la clef privée à partir de la clef publique.
Le chiffrement consiste à transformer une information lisible, on dit "en clair", en une information secrète, dite cryptogramme ou chiffre, à l'aide d'un algorithme et d'une clef publique. Le chiffrement utilise des méthodes de brouillage d'un texte en clair pour le rendre inexploitable par un tiers non autorisé.
L'opération inverse, le déchiffrement, permet de rendre le texte à nouveau lisible.
BIBLIOGRAPHIE
La sécurité informatique, de Christophe JAN & Guy Sabatier
La guerre des codes secrets, de David KAHN
Architecture de sécurité dans les réseaux informatiques, CIGREF
Sécurité et qualité des systèmes d'information, de D.GUINIER
Pretty Good Privacy, de Simson Garfinkel.
Une introduction à la cryptographie, news:fr.misc.cryptologie
