Vous n'avez pas encore de notification

Page d'accueil

Options d'affichage

Abonné

Actualités

Abonné

Des thèmes sont disponibles :

Thème de baseThème de baseThème sombreThème sombreThème yinyang clairThème yinyang clairThème yinyang sombreThème yinyang sombreThème orange mécanique clairThème orange mécanique clairThème orange mécanique sombreThème orange mécanique sombreThème rose clairThème rose clairThème rose sombreThème rose sombre

Vous n'êtes pas encore INpactien ?

Inscrivez-vous !

Mozilla lance Codemoji pour sensibiliser la jeunesse au chiffrement

Un autre genre de jeu d'éveil
Logiciel 3 min
Mozilla lance Codemoji pour sensibiliser la jeunesse au chiffrement
Crédits : zmeel/iStock

Rebondissant sur l’importance du chiffrement, Mozilla a décidé d’en rendre les bases accessibles à tout un chacun. Comment ? En proposant des exercices simples fournissant explications et pratique. Au centre du concept, l’utilisation des emojis pour rendre l’apprentissage ludique.

Mozilla fait partie des entreprises qui promeuvent largement le chiffrement. Depuis les débuts de l’affaire Snowden, le père de Firefox n’a de cesse de marteler que cette technologie est essentielle pour la vie privée. Quand on connait l’attachement de l’éditeur à cette valeur, on comprend mieux notamment pourquoi le lancement d’une campagne de sensibilisation du public sur l’importance du chiffrement.

Cette campagne, débutée en février, doit se poursuivre sur le long terme, avec une augmentation des contenus. L’objectif est ambitieux, puisqu’il s’agit de sensibiliser des populations qui n’ont pas réellement d’affinités et/ou de connaissances particulières en informatique, ou même le monde technologique en général. Des questions qui peuvent paraître abstraites à la plupart donc. Or, le pouvoir d'un public informé, comme souligné par Snowden en juin 2015, est crucial. On peut par exemple voir actuellement l’EFF critiquer des magistrats américains pour certaines décisions aux lourdes conséquences. Selon l’association, ces juges ne comprennent pas les technologies impliquées dans certaines affaires.

Des emojis pour attirer les jeunes utilisateurs

Fournir des explications, informer et fonctionner par analogies permet de dépeindre un tableau général, mais Mozilla veut aller beaucoup plus loin : sensibiliser aux principes fondamentaux du chiffrement en fournissant des contenus ludiques. Pour s’adresser aux plus jeunes, l’éditeur utilise donc les emojis, espérant sans doute que leur immense succès sera une motivation suffisante pour aller « jouer » au chiffrement.

L’idée est de faire comprendre ce qu’est une suite cryptographique avec Codemoji. Mozilla explique donc que dans les formes de chiffrement les plus basiques, chaque lettre est remplacée par une autre, selon un décalage dans l’alphabet. Ici, les lettres seront remplacées par des emojis. On choisit ensuite un emoji qui va servir de clé et affecter le résultat final. L’utilisateur est ensuite invité à envoyer le message chiffré à un contact, en lui fournissant des indices sur le moyen de retrouver la clé.

codemojicodemoji

Il ne s’agit évidemment qu’un exercice visant à faire assimiler par les plus jeunes ou ceux n’ayant aucune notion de chiffrement l’un des concepts fondamentaux dans ce domaine. Mozilla indique d’ailleurs sur la page, avant même de commencer à se servir de Codemoji, que personne ne devrait l’utiliser pour communiquer de manière sécurisée : « Heureusement, les outils modernes de chiffrement sont bien plus forts que les emojis ».

Il faudra aller plus loin

Mark Surman, Directeur Exécutif de Mozilla, explique pour l’occasion : « Si nous souhaitons que les gens soient de plus en plus nombreux à soutenir le chiffrement, il est crucial de les sensibiliser à son fonctionnement et ses enjeux. C’est particulièrement important aujourd’hui, alors que le chiffrement est menacé aux quatre coins du monde. De la France à l’Australie en passant par le Royaume-Uni, les gouvernements proposent des mesures allant contre la sécurité des utilisateurs en affaiblissant le chiffrement. Aux États-Unis, le FBI a récemment demandé à Apple d’alléger les mesures de sécurité sur ses propres produits »

Nous avons demandé à l’éditeur s’il prévoyait par la suite de renforcer cette dimension d’apprentissage par des exercices supplémentaires. Nous mettrons à jour cette actualité avec la réponse.

37 commentaires
Avatar de Donk INpactien
Avatar de DonkDonk- 28/06/16 à 14:33:09
Avatar de vampire7 INpactien
Avatar de vampire7vampire7- 28/06/16 à 14:47:21

Quelle blague... Quand on voit l'état de délabrement de la cryptographie actuelle, je crois qu'il y aurait mieux à faire dans ce domaine.

Avatar de ColinMaudry Abonné
Avatar de ColinMaudryColinMaudry- 28/06/16 à 14:56:23

Tu pourrais développer sur cet "état de délabrement" et "mieux à faire" ? Là ça fait un peu ronchon yakafokon :chinois:

Avatar de Jarodd Abonné
Avatar de JaroddJarodd- 28/06/16 à 15:23:04

Alors bon appétit !

:faim:

Avatar de vampire7 INpactien
Avatar de vampire7vampire7- 28/06/16 à 15:30:57

yakafokon ? Ça fait 3 ans que je développe une application de chiffrement de fichiers. Alors libre à toi de croire ou pas ce qui suit.

  • Il y a 3 ans, les sources d'AES (l'algo Rijndael présenté au concours) étaient tout simplement indisponibles. L'algo de chiffrement le plus utilisé : disparu ! J'ai vérifié ça pendant plusieurs mois. J'ai regardé à nouveau récemment : elles sont à nouveau disponibles.
    Du coup, j'ai dû me rabattre sur une autre implémentation, celle optimisée de Gladman. Et ma plus grand surprise fut de constater que les tables produites après la préparation des clés sont exactement celles utilisées par les instructions AES-NI de Intel. En gros, Intel a littéralement pompé le travail Gladman.

  • Beaucoup d'algorithmes n'ont plus la moindre source. J'ai récemment bossé sur SHACAL-2, l'un des finalistes du concours européen NESSIE. La seule implémentation disponible était celle de la librairie Crypto++. J'ai (indirectement) contacté un des auteurs : il n'avait même plus les sources.

  • XTS, le fameux mode de chiffrement utilisé pour les disques durs, existe pour des algos chiffrant des blocs de 128 bits. Si tu utilises un algo de chiffrement utilisant des blocs de 256 bits (comme SHACAL-2), tu dois utiliser XTS en 256 bits. Sauf que personne ne l'a jamais fait, et qu'il n'existe aucun "vecteur de test".

  • La fonction de dérivation de clé Argon2, vainqueur du "Password Hashing Competition", a été changée... après le concours. A cause d'une faiblesse de design. J'ai lu la description de l'attaque. Même un petit programmeur comme moi aurait fini par la trouver. Et pourtant, il a quand même été sélectionné. A ce niveau-là, je trouve ça plus que suspect.
    Et bien sûr, accessoirement ça m'a ruiné 2 mois de temps libre utilisés pour adapter l'algo à mon application, vu que maintenant, les résultats sont différents.

    Alors oui, le mot "délabrement" n'est pas trop fort. Si Mozilla veut faire quelque chose d'utile, ils pourraient déjà commencer par archiver les algos existants. Et je crois que je m'investis suffisamment pour pouvoir critiquer.

Avatar de vampire7 INpactien
Avatar de vampire7vampire7- 28/06/16 à 15:41:15

Ah bah en fait, les liens pour le code source de AES sont à nouveau invalides.
Si quelqu'un a le code source d'origine de AES, en pouvant garantir qu'il s'agit bien du code présenté au concours, je serais intéressé.
Edit: je viens de le trouver ici.

Édité par vampire7 le 28/06/2016 à 15:43
Avatar de Ricard INpactien
Avatar de RicardRicard- 28/06/16 à 15:51:54

vampire7 a écrit :

Quelle blague... Quand on voit l'état de délabrement de la cryptographie actuelle, je crois qu'il y aurait mieux à faire dans ce domaine.

:ouioui: Merci de nous faire part de ta solution et des ta proposition. :chinois:

Avatar de vampire7 INpactien
Avatar de vampire7vampire7- 28/06/16 à 15:55:47

Merci de lire mes messages jusqu'au bout.

Avatar de CryoGen Abonné
Avatar de CryoGenCryoGen- 28/06/16 à 16:13:57

vampire7 a écrit :

  • Il y a 3 ans, les sources d'AES (l'algo Rijndael présenté au concours) étaient tout simplement indisponibles. L'algo de chiffrement le plus utilisé : disparu ! J'ai vérifié ça pendant plusieurs mois. J'ai regardé à nouveau récemment : elles sont à nouveau disponibles.
    Du coup, j'ai dû me rabattre sur une autre implémentation, celle optimisée de Gladman. Et ma plus grand surprise fut de constater que les tables produites après la préparation des clés sont exactement celles utilisées par les instructions AES-NI de Intel. En gros, Intel a littéralement pompé le travail Gladman.

Je suis loin d'être un expert mais pourquoi des implémentations différentes du même chiffrement devraient donner des résultats différents ??

Avatar de vampire7 INpactien
Avatar de vampire7vampire7- 28/06/16 à 16:31:14

Petite parenthèse :
Ce qu'il y a de bien en crypto, c'est que 1 source = 1 délire.
Je ne sais pas si ce que je viens de récupérer comme code d'AES est bien le code proposé au concours (c'est fort possible), mais ça ressemble fortement à ce que j'ai obtenu après avoir passé une semaine à écrémer le code de Gladman.
En conclusion, Intel n'a peut-être pas eu besoin de Gladman...

Pour ta question, ce qui peut différer n'est pas le résultat final, mais les calculs préalables.
En gros, le mot de passe est dérivé en clé de 256 bits (pour AES-256). Cette clé est transmise à une fonction d'initialisation qui produit des tables, et ces tables sont utilisées par les fonctions de chiffrement/déchiffrement. Mais ces tables peuvent différer d'une implémentation à l'autre.
Ça fonctionne comme ça pour la plupart des algos.

Il n'est plus possible de commenter cette actualité.
Page 1 / 4