fbpx

Le futur de la cryptographie et des cryptomonnaies

Le futur de la cryptographie et des cryptomonnaies

Dans la première partie d’une interview avec Jean-Baptiste Prunel, ancien élève de l’école 42, nous parlions  du concept révolutionnaire de cet établissement sans cours ni professeurs mais où projets, formations et surtout une volonté d’acier permettent d’« y arriver ».

Nous avons aussi parlé de Poleon.co, start-up que Jean-Baptiste a créé en 2017 pour suivre et prédire les mouvements de ce qui bouge dans une ville, par exemple le nombre de bicyclettes disponibles sur une station Vélib spécifique selon les plages horaires. Le projet partait d’un concept prometteur, mais a dû s’arrêter suite à un manque de données structurées et en temps réel.

La carrière de Jean-Baptiste, elle, ne s’est pas arrêtée là : il a rebondi et trouvé un emploi chez un leader mondial de la sécurité des cryptomonnaies.

Regarder l’interview (en anglais)

(à partir de la 17e minute)

Ledger, de Vierzon à New York

Quelques mois avant son embauche, Jean-Baptiste Prunel avait déjà rencontré l’un des fondateurs d’une start-up nommée Ledger. Les deux hommes avaient eu un bon contact et lui s’était dit qu’il y aurait peut-être à faire de ce côté. Pris par Poleon.co, il avait quelque peu oublié Ledger, mais vu le tour pris par les événements, l’option redevenait tentante. Bien lui a pris de s’en rappeler, puisque deux mois à peine après la fermeture de Poleon, Ledger l’embauchait comme agent de liaison (outreach officer).

Créée à Vierzon en 2014, la startup Ledger visait à aider les propriétaires de cryptomonnaies à en assurer la sécurité. Comme le disait Éric Larchevêque, l’un des fondateurs, « après quelques affaires de vols de grande et petite ampleur entre 2013 et 2014, il nous est apparu primordial de protéger efficacement les portefeuilles et les transactions, et d’anticiper tout problème de sécurité potentiel. »

Les BitCoin, comme toutes les autres cryptomonnaies construites sur le même modèle, sont immatérielles et décentralisées. Leur production par « minage » les met à la base entre les mains d’entreprises et de particuliers investisseurs plutôt que de banques centrales, et leur caractère foncièrement anonyme les rend d’autant plus facilement échangeables. Cependant, ces forces sont aussi de potentielles faiblesses. Comment garantir que des unités de blockchain ne seront pas volées par le premier pirate venu ?

Les cryptomonnaies sont sécurisées par un mot de passe principal (master password) de 64 caractères alphanumériques choisis aléatoirement. Ce mot de passe est impossible à retenir pour un être humain normal et doit être noté quelque part. La procédure ne vient pas sans défauts : le mot de passe prenant un temps fou à saisir, la plupart des utilisateurs le copient-collent sur un fichier non-encrypté. Si un pirate vous vole votre mot de passe et s’en sert, ou si vous le perdez, adieu les bitcoin !

Dans le monde des cryptomonnaies, il n’y a pas d’option de récupération du mot de passe. Si vous perdez votre mot de passe, vous perdez votre argent.

Outre le mot de passe principal, les portefeuilles en ligne proposent, voire obligent, à utiliser une authentification à facteurs multiples (2FA). Dans ce cas, vous devrez avoir en plus de ce mot de passe très long un mot de passe normal, plus court et donc que vous pouvez retenir, ainsi qu’une liste de codes que vous recevez tout au départ, code dont vous devrez saisir un élément précis à chaque fois que vous vous authentifierez ou opérerez une transaction. C’est déjà plus efficace, mais le second mot de passe et la liste peuvent être volés aussi.

Les produits Ledger utilisent une autre méthode. Ils vous permettent de déconnecter vos cryptomonnaies d’Internet en plaçant tout ce qu’il faut pour les utiliser sur un support physique. L’accès à ce support devient alors nécessaire pour acheter ou vendre depuis ce portefeuille. Simple, en apparence, mais efficace.

Le premier produit sorti par Ledger, qui demeure le plus connu de la marque, est la clé USB Nano S Wallet. Le fameux mot de passe de 64 caractères se trouve dans la clé, et celle-ci, qui doit être connectée à un ordinateur, permet de gérer plusieurs cryptomonnaies. Elle s’est très bien vendue avec plus d’un million d’unités écoulées dans près de 165 pays. Au fil des années, Ledger a également travaillé sur plusieurs produits du même type, dont un portefeuille basé sur une carte à puce NFC, une solution pour smartphone et des portefeuilles autonomes dotés d’un écran et mini-clavier.

Début 2018, l’entreprise a levé environ 61 millions d’euros pour confirmer leur position de leader mondial de la sécurité des cryptomonnaies. Si la startup a déjà des produits spécialement conçus pour les entreprises, elle ambitionne néanmoins d’aller encore plus loin et de proposer des solutions de gestion aux banques et aux institutions financières.

Votre portable n’est pas sûr

Certaines technologies dites nouvelles s’appuient sur des procédés plus anciens qu’on ne le pense. C’est le cas des cryptomonnaies. Le BitCoin use de « technologies qui datent des années 70 ». La cryptographie, en effet, a pris son essor pendant la guerre froide. Il s’agissait de « dissimuler des informations à l’aide de mots de passe, de clés de sécurité et de processus d’encryption-décryption ». Le principe est simple, les applications et détails techniques peuvent être extrêmement complexes. Et c’est autour de cela que Ledger se serait construite : « on a besoin de maîtriser la cryptographie pour gérer des cryptomonnaies et assurer la sécurité » de l’ensemble.

Tout comme l’air que nous respirons, la cryptographie se trouve partout autour de nous. À chaque fois que nous nous connectons sur Facebook ou consultons nos mails sur le smartphone, chiffrement et déchiffrement sont à la manœuvre. Nous l’oublions facilement, emportés que nous sommes dans le flux des messages, des actualités et des tâches quotidiennes, pourtant le sujet est loin d’être trivial.

Quand je demande à Jean-Baptiste si ses collègues spécialistes de la sécurité pourraient cracker mon smartphone, il me répond aussitôt, « mais ton portable est une blague ! » Puis, en nuançant un peu_: «_tout dépend du type de portable tu as. Les smartphones qui tournent sur Android sont les plus faciles à cracker. Les données n’y sont pas du tout sécurisées. Surtout quand tant d’utilisateurs qui gardent des données sensibles en clair, sur le bloc-notes par exemple. » Pour ce qui est des données cryptées, mon interviewé pense possible d’acheter un logiciel sur le deep web et de « cracker les mots de passe et autres données cryptées en quelques heures ».

Les iPhones seraient plus difficiles à cracker. Construits avec des cœurs plus récents, ils laissent les données sensibles plus isolées du reste du système, qui y accède moins facilement, moins fréquemment, et recèle donc moins de failles potentielles.

Mi-figue mi-raisin, je poursuis sur la lancée et demande à Jean-Baptiste en combien de temps il serait possible d’obtenir mes mots de passe. Là encore, cela dépend : si mes mots de passe ne sont faits que de chiffres, le nombre de combinaisons potentielles est très restreint et le « crackage » facile.

« Si tes mots de passe font 4 caractères et ne sont faits que de chiffres, en quelques heures, c’est plié. S’ils font 6 caractères, cela peut prendre quelques jours. » À noter que ceci vaut uniquement pour les attaques par bruteforce, c’est-à-dire par la grande porte, par l’accès à l’information que tout le monde connaît. Toutes les attaques ne sont pas aussi rudimentaires. Comme nous allons le voir, les failles, les flux cachés d’information et autres zero day peuvent fortement faciliter la tâche aux pirates. « Cracker un mobile est facile pour les gens qui ont le savoir-faire et le matériel qu’il faut, comme la police, ou certains hackers. »

Devrait-on créer un Linux de la téléphonie mobile ? Les systèmes et logiciels open source ont la réputation d’être plus sûrs que les propriétaires. Windows est « connu pour être une passoire », me dit Jean-Baptiste. MacOS serait déjà plus sûr, sa structure demeurant plus récente, mais le mieux resterait Linux dont le format libre laisse une communauté de développeurs passionnés l’améliorer sans cesse.

La sécurité de Linux tient d’un pouvoir participatif. Les développeurs peuvent examiner le code source et surveiller le flux des informations dans le système. Ils aiment trouver des problèmes ou des failles potentielles et y proposer des corrections, ce qui permet aux mises à jour de venir beaucoup plus vite. Ici, l’esprit d’émulation ou de compétition semble donner de meilleurs résultats dans un software libre qu’au format propriétaire. (L’entreprise consciente est déjà autre chose.) Pour Jean-Baptiste, si tous les logiciels étaient open source, c’est l’informatique dans son ensemble qui serait beaucoup plus sûre.

Votre niveau de risque dépend (aussi) de qui vous êtes

Tous les pirates ne sont pas égaux. Certains sont ce qu’on appelle des script kiddies, des hackers plutôt jeunes qui reprennent des scripts d’attaque qu’ils ne comprennent pas et piratent la première entité vulnérable qu’ils rencontrent. À l’autre extrême, certains hackers sont des experts de niveau mondial, qui travaillent dans des agences de renseignement ou au sein de petites cliques élitistes.

« Les attaques par bruteforce sont les plus simples. » Elles ne consistent après tout qu’à tester des combinaisons de caractères en guise de mot de passe. Pour éviter ces attaques, un mot de passe alphanumérique d’au moins huit caractères peut suffire. Quelque chose comme «_jeanm0tdep4ssedelaMottePicquet » peut prendre des années pour qu’une attaque de ce genre réussisse ! Certains, pourtant, connaissent mieux les flux d’information et éviteront soigneusement ce genre d’attaque frontale. Ceux-là peuvent se servir de failles encore inconnues du public, qu’on appelle zero day parce qu’elles sont connues depuis zéro jours. Autrement dit, seuls quelques initiés les connaissent. Il peut s’agir de flux d’information cachés, de moyens inconnus d’obtenir des informations sensibles et ainsi de suite.

Une fois éventées, les failles dites zero day peuvent être réparées en quelques heures. Avant cela, elles sont inconnues et on ne peut que spéculer leur existence. (Plus tard, beaucoup de ces failles et de leurs exploiteurs peuvent remonter à la surface, comme le fameux logiciel XKeyScore de la NSA dont l’existence a été confirmée par Edward Snowden, ou les méthodes des « assassins économiques » post-guerre froide.) Elles sont surtout utilisées par les agences de renseignement, qui ont les moyens financiers, humains et surtout la culture du secret nécessaire pour garder les zero day dans leur giron aussi longtemps que possible. Comme l’affaire Snowden l’a prouvé, il ne s’agit pas d’une théorie du complot, ni même d’une théorie tout court, mais d’un fait établi. Les agences de renseignement font ce qu’elles peuvent pour lire des conversations privées, des emails et ainsi de suite.

Cependant, le pouvoir des agences de renseignement n’est pas (toujours) quelque chose dont on devrait avoir peur. Ces agences utilisent leurs techniques pour suivre des groupes violents et extrémistes comme le tristement connu Daesh. Suivre des islamistes radicalisés a permis d’empêcher jusqu’à, peut-être, des dizaines d’attaques terroristes et donc de sauver des vies. « Ce n’est pas manichéen. » Même ainsi, du point de vue d’une entreprise de sécurité et peut-être plus encore pour l’utilisateur moyen, la vie privée et la sécurité, a fortiori financière, demeurent des valeurs non-négociables.

Ledger travaille dur pour s’assurer que ses dispositifs ne laissent aucun « flux inconnu » d’informations compromettre la sécurité des BitCoin, Ethereum, Monero, etc. détenus par ses clients. La startup, me dit Jean-Baptiste, détient des laboratoires dont la valeur dépasserait le million de dollars. Des experts y procèdent à des attaques physiques sur des dispositifs électroniques pour en déceler les failles et, éventuellement, y remédier. On appelle cela le pentesting ou la sécurité offensive. Comme dit le proverbe, la meilleure défense n’est autre que l’attaque, et penser et agir en hacker peut fortement aider à empêcher de vrais pirates mal intentionnés de réussir.

« Sur un iPhone », continue Jean-Baptiste, « les données sont encryptées. Mais imaginons que tu aies les mots de passe de ton portefeuille virtuel quelque part dessus. Si on peut agir physiquement, on va ouvrir l’iPhone, découvrir certaines puces et lire directement au laser sur certains transistors. » Une des techniques employées consiste à induire une perturbation électromagnétique sur la puce pour créer des malfonctionnements et, peut-être, obtenir quelques données. La technique serait difficile à mettre en œuvre et demanderait des compétences de haut niveau.

Une attaque comme celle-ci suppose que l’on soit considéré comme important par les attaquants. «_Certains sont très bons » à ce jeu. Et si vous avez beaucoup d’argent en cryptomonnaie, assez pour craindre que des attaquants aussi bons puissent s’intéresser à vous, les portefeuilles physiques de Ledger sont justement pensés pour garantir le maximum de sécurité, y compris à ceux dont les transactions portent sur de gros volumes.

Comme le rappelle Jean-Baptiste, un périphérique spécialement construit pour protéger un stock de cryptomonnaie sera toujours plus sûr qu’un ou deux mots de passe sur un iPhone dont vous vous servez aussi pour mille autres choses au quotidien.

La cryptographie, et après ?

Certains algorithmes puissants, comme PGP, sont déjà très usités. « Ils seront probablement toujours là en 2030. Ils ont déjà subi beaucoup d’attaques et ils ont tenu, c’est la meilleure preuve de leur très bon niveau de sécurité. » On peut comparer les algorithmes de cryptage à des immeubles construits pour résister aux tremblements de terre. Si l’immeuble est toujours impeccable après plusieurs secousses sismiques, c’est qu’il est probablement bien construit.

Cela dit, le terrain informatique bouge beaucoup plus vite que la terre, et il est très probable que d’ici 2030 bon nombre de nos repères actuels aient été chamboulés. Mon interviewé pense que la cryptographie quantique a de bonnes chances de devenir le prochain bouleversement. Comme son nom l’indique, cette nouvelle sorte de cryptographie est basée sur l’informatique quantique :

L’informatique classique repose sur les bits. Un bit, c’est une unité qui est à 1 ou 0. C’est l’unité de mémoire la plus simple. L’informatique quantique utilise des bits quantiques dont la gamme est beaucoup plus large. Pas seulement 1 et 0, mais 0,001 par exemple… 50 ordinateur quantiques peuvent avoir une plus grande puissance de calcul qu’un ordinateur classique grand comme l’univers !

Comme les fractales, les bits quantiques semblent ouvrir sur l’infini. Les décimales peuvent continuer en nombre indéfini. C’est suffisant pour tout changer. La technologie n’est cependant pas encore viable, les quantums restant trop instables et les bits quantiques demeurants eux aussi trop mouvants pour être utilisés. Malgré cela, la recherche progresse rapidement et le quantique finira probablement par voir le jour.

Pour les spécialistes de la sécurité, l’informatique quantique est un enjeu de taille. Les ordinateurs quantiques auront une puissance de calcul suffisante pour défaire tous les algorithmes déjà existants, «_même PGP… on en a déjà les preuves mathématiques ».

Ce changement majeur conduira à adopter des algorithmes capables de résister à des attaques quantiques. Une lutte serait déjà en cours pour la « suprématie quantique ». Des pays comme la France, les États-Unis et d’autres pourvus de bons mathématiciens se sont portés vers l’avant, et certains de ces algorithmes existent déjà. Ainsi, Google Chrome recèle depuis 2016 de quoi résister à des attaques quantiques. Quand l’enjeu peut aller jusqu’au piratage des plateformes de missiles du pays voisin, on n’est jamais trop prudent…!

Comment protéger sa vie privée en ligne ?

Pour ce qui est de votre portefeuille cryptomonnaie, c’est simple : déconnectez-le et mettez-le à l’abri sur une clé USB Ledger ! Au-delà, si vous souhaitez préserver a minima votre privée et éviter de vous faire espionner ou pirater trop facilement, voici ce que Jean-Baptiste vous recommande :

  • ayez un iPhone plutôt qu’un smartphone Android ou Windows ;
  • utilisez le navigateur Mozilla Firefox. Il est open source, ne traque pas ses utilisateurs et est le plus rapide des navigateurs ;
  • utilisez des mots de passe alphanumériques avec au moins six caractères ;
  • utilisez des mots de passe différents pour chaque service ou site web, en vous demandant à quel point tel site ou tel service est important. « Il y a des sites où vous vous connectez deux fois par an et où vous n’avez rien de très risqué, et puis d’autres, comme votre portail de banque en ligne, qui sont beaucoup plus sensibles et où vous feriez mieux d’avoir un mot de passe spécial et plus long » ;
  • quand vous pouvez activer l’authentification à double facteur (2FA), faites-le. Quand vous vous connecterez, le service ou site web vous enverra un SMS de confirmation ou vous demandera de saisir un code supplémentaire, pioché sur une lise qui vous aura été transmise lorsque vous aurez activé l’option. Dans ce dernier cas, imprimez la liste et effacez-la de votre ordinateur pour éviter qu’un pirate puisse y avoir accès à distance. Cette mesure supplémentaire rend les intrusions beaucoup plus difficiles. Si elle peut sembler lourde au début, elle peut vous préserver de grosses pertes. « Les entreprises qui implémentent l’authentification à facteur multiple savent qu’elles manipulent des informations ou des biens sensibles, donc si elles prennent la peine de mettre l’option à votre disposition, utilisez-la » ;
  • installez des plugins spécifiques sur votre navigateur pour éviter de vous faire tracer. Jean-Baptiste a customisé son Firefox en y installant HTTPS Everywhere, qui oblige les sites web à se charger sur le protocole sécurisé HTTPS quand ils le peuvent, Privacy Badger qui bloque les traqueurs inutiles et au choix de l’utilisateur, uBlock Origin qui fait la même chose que le précédent avec une autre technique et bloque en plus les pubs, ainsi que Facebook et Google Container qui empêchent ces deux entreprises de vous suivre partout sur le Net ;
  • si vous êtes vraiment inquiet ou avez un intérêt prononcé pour la sécurité numérique, demandez-vous comment un hacker s’y prendrait pour vous pirater ;
  • enfin, mettez un morceau de gros scotch sur la webcam de votre écran d’ordinateur. Mark Zuckerberg le fait.

Pour en savoir plus sur les portefeuilles BitCoin, Monero, Ethereum et autres cryptomonnaies de Ledger, vous pouvez consulter le site web de l’entreprise (en anglais). Vous pouvez aussi retrouver Jean-Baptiste Prunel sur son profil LinkedIn.

You may also like

Je veux être un fou joyeux

ChatGPT : l'enfer ou le paradis ?

Love fire

Une nouvelle relation d'amour ?

Leave a comment

This site uses Akismet to reduce spam. Learn how your comment data is processed.