L'expert en sécurité
informatique
La cryptanalyse 3/3

Pour le cas particulier des mails, en général la méthode de cryptage est dite « asymétrique » ce qui signifie que l'on n'utilise pas les mêmes clefs pour crypter et décrypter. Succinctement, chacun des correspondants possède une clef privée et une clef publique calculée à partir de sa clef privée. La clef publique a pour but d'être diffusée au plus grand nombre et la clef privée doit restée confidentielle. L'envoyeur crypte son message avec sa clef privée et la clef publique du destinataire et celui-ci décrypte le message avec sa clef privée et la clef publique de l'envoyeur.

D'autre dispositifs utilise le système de clefs publique / clef privée, et il est aussi possible de lancer des attaques par cryptanalyse sur ces échanges.

En terme de solution, une méthode classique pour éviter de se faire casser une communication cryptée consiste à changer régulièrement de clefs durant la communication, un peu comme pour le cryptage de canal plus. Il est aussi conseillé d'utiliser un cryptage basé sur une clef de 128 bits.

Les seules solutions qui tiennent la distance impliquent des clefs très grandes, 1024 à 2048 bits, et l'utilisation d'algorithmes efficace, AES par exemple. Une méthode encore plus efficace consiste à crypter plusieurs fois successivement les archives en utilisant des algorithmes différents à chaque fois.

 

Bon à savoir :
Le test d'intrusion, qu'il soit externe ou interne, permet de vérifier son niveau réel d'exposition face à des personnes qui seraient mal intentionnées. L'audit de sécurité peut être "ouvert" en whitebox avec mise à disposition des accréditations ou des sources, ou "fermé" en blackbox. Un audit de sécurité peut être partiel ou exhaustif selon le besoin du client, mais il est avant tout collaboratif. La sécurité informatique est avant tout un processus et non pas une accumulation de produits. Le cadre légal français est très précis en sécurité informatique et la formation sécurité permet à tous de comprendre ses droits et devoirs. La formation RSSI permet de connaitre le cadre d'exercice légal tout autant que les référentiels de sécurité de la norme ISO 27001. La formation en sécurité informatique pour le RSSI permet de faire monter un collaborateur en compétence afin qu'il occupe ce poste.
© NBS System 2000-2007. Tous droits réservés. Entreprise spécialisée dans la sécurité informatique. Nous vous proposons des prestations telles que l'audit de sécurité ou encore le test d'intrusion.