Bioflashouille, la suite...
Par Petaramesh le lundi 6 mars 2006, 12:18 - Big Brozeur - Lien permanent
Ce billet fait suite au premier article que j'ai consacré à la clé (flashdisk) USB BioFlash, article dans lequel j'envisageais la chose du point de vue philosophique et du point de vue de la sécurité (ou plutôt de la potentielle absence de sécurité) du bidule, impression causée par la totale absence d'informations précises fournies dans le manuel.
Entre-temps une autre réflexion sur les situations où un système biométrique peut être très inférieur à un chiffrement traditionnel utilisant une phrase secrète ou un mot de passe complexe m'est venue à l'esprit :
Imaginez que vous avez des données confidentielles stockées sur une clé USB. Comparons les deux cas de figure :
- Données stockées dans une clé USB biométrique, uniquement protégées par le système biométrique
- Données stockées dans un container chiffré traditionnel sur une clé USB ordinaire, nécessitant la frappe d'un mot de passe complexe pour déchiffrer les données
Imaginons maintenant la situation où ce n'est pas la clé USB seule qui tombe entre de mauvaises mains, mais où ce sont à la fois la clé USB et son propriétaire qui sont capturés par une organisation hostile[1].
Dans le cas de la clé biométrique, l'organisation hostile n'aura probablement pas de bien grosses difficultés pour vous contraindre, physiquement au besoin, à poser votre doigt sur le capteur, et aura ainsi immédiatement accès à vos données. Perdu !
Dans le cas du chiffrement classique, tout dépendra des limites légales ou philosophiques de cette organisation hostile en matière d'interrogatoire, et de votre propre résistance éventuelle à ce que l'on appelle un interrogatoire poussé. En l'absence d'un interrogatoire trop poussé, vous avez de bien meilleures chances de pouvoir conserver la confidentialité de vos données que dans le cas de l'usage du système biométrique !
Si de plus nous étudions les choses sous l'angle de la plausible deniability, c'est-à-dire du principe qui consiste à pouvoir nier de manière plausible (empêchant au minimum de prouver le contraire) que la clé contient tel ou tel fichier ou document, dans le cas de la clé biométrique, c'est totalement râpé : Dès l'instant où vous mettez le doigt sur le capteur, il n'y a plus de dénégation possible.
A contrario, dans le cas du chiffement traditionnel, il est toujours possible d'affirmer :
- Que la clé n'est pas à vous
- Que vous ne connaissez pas (ou avez oublié, par suite du stress...) le mot de passe complexe qui la déverrouille
- Voire même que la clé ne contient aucun fichier chiffré, puisque de nombreux algorithmes de chiffrement ne permettent pas de différencier les fichiers qu'ils produisent de fichiers de nombres totalement aléatoires (tant qu'ils ne sont pas déchiffrés par la bonne clé). On peut donc affirmer qu'il s'agit effectivement d'un fichier de nombres aléatoires (résultant d'un wipe par exemple), ou bien d'un vieil essai que l'on a fait il y a longtemps on ne sait plus pourquoi, en ajoutant qu'on ne se souvient pas du mot de passe qu'on avait pu choisir pour ce simple essai sans importance, etc... L'essentiel étant en la matière non pas de convaincre l'interlocuteur que ce que l'on affirme est vrai, mais plutôt de le mettre dans l'incapacité de prouver le contraire.
En résumé, avec une clé traditionnelle chiffrée, il peut y avoir plausible deniability. Avec une clé biométrique, pas de plausible deniability possible. Hummm...
Essai du bidule
Pour essayer le bidule et le faire marcher en vrai, il me faut donc un Windows, mais la Très Sainte Religion des Adorateurs de Cela s'oppose très fermement à l'utilisation directe d'un Windows sur l'un des ordinateurs de l'ashram.
Pas grave, on va utiliser un Windows en boîte, confiné dans le bac-à-sable d'une machine virtuelle tournant sur le bon vieux GNU/Linux du serveur de l'ashram. Comme ça, on sera sûr que le Windows[2] ne fera pas de bêtises et ne fera pas caca partout.
Voyons donc. GNU/Linux tout seul me disait que la clé biométrique était défectueuse, que me dira le Windows qui tourne sous Linux ?
Branchons la clé. Windows reconnaît aussitôt le branchement d'un USB FlashDisk et fait défiler des petites bulles dans lesquelles il m'informe gentiment qu'il est en train de m'installer plein de trucs et de machins que je ne lui ai pas demandés. Bon.
Windows m'indique maintenant la présence d'un FlashDisk USB, voyons ce qu'il y a dessus...
...Windows me montre un flashdisk USB de 122 Mo, contenant uniquement un fichier run.exe.
Exécutons ce programme. Comme la clé n'est pas initialisée, la première fois, la bazar me demande de taper son numéro de série, puis de mémoriser l'un de mes jolis doigts dedans. Ca ressemble à ça (on voit très bien que le Windows est enfermé dans son bac à sable) :
On note l'étonnante présence d'un curseur "Niveau de sécurité" allant de "bas" à "haut", la notice ne donnant encore aucune précision sur ce à quoi correspondent ces bassesses et ces hauteurs en matière de sécurité réelle. Bon. Swâmi Petaramesh étant paranoïaque, réglons simplement le curseur au plus haut.
Dès que j'ai choisi le doigt que je voulais numériser, et que je l'ai posé sur la clé, une image très nette et d'aspect parfait de mon empreinte digitale apparaît à l'écran. (Sur la copie d'écran ci-dessus, l'image de l'empreinte est volontairement floutée, je n'ai pas l'intention de diffuser sur Internet des images parfaites de mes empreintes digitales...).
Au bout d'une seconde, le système me demande de retirer le doigt, puis de le remettre ; il me fait répéter l'opération 3 fois en tout, chaque scan prenant moins d'une seconde. Ca va donc très vite.
Je choisis également d'entrer un mot de passe de secours, puisque la notice y invite "pour le cas où ça ne marcherait pas", et là, surprise, le système refuse de prendre en compte plus de 8 caractères. Après le 8ème caractère tapé, ça fait juste bip-bip. Un mot de passe de 8 caractères, ça n'est pas bien long, et, comme je le disais dans mon précédent billet, ça augure plutôt mal de la sécurité du bazar.
Une fois l'empreinte enregistrée, j'ai une petite icône "main" dans le system tray, icône qui permet de verrouiller / déverrouiller la clé USB, ou de refaire l'enregistrement des empreintes ou le changement de mot de passe.
Si je choisis de déverrouiller la clé, l'écran suivant apparaît (image de l'empreinte volontairement floutée) :
Dès que l'on pose le doigt, s'il est reconnu (cela prend moins d'une seconde), cette fenêtre disparaît, et une fenêtre "Explorateur" s'ouvre à la place, montrant les fichiers et répertoires contenus dans la clé.
Si le doigt n'est pas reconnu, la fenêtre de déverrouillage râle et reste affichée. J'ai essayé avec plusieurs de mes doigts et ceux d'une autre personne (ce qui ne fait pas un échantillon statistique valable...), ma clé ne reconnaît que le doigt qui a été enregistré dedans.
Une fois la clé déverrouillée, on ne voit plus le fichier run.exe, mais on voit à la place les fichiers et dossiers contenus dans la clé (et l'espace disponible affiché pour celle-ci change) :
En résumé, le système fonctionne ainsi :
- Clé verrouillée : On voit seulement le fichier run.exe sur la clé, et rien d'autre. L'espace utilisé indiqué est de 1.3 Mo, ce qui correspond effectivement à la taille de run.exe.
- Clé déverrouillée : On ne voir plus run.exe ; à la place, on voit les fichiers et les répertoires que l'on a effectivement stockés sur la clé, et la taille affichée leur correspond.
Voilà-voilà. Malheureusement, ceci ne nous indique rien quant au mécanisme employé pour montrer ou cacher les fichiers, y autoriser ou interdire l'accès, donc cela ne nous apprend pas grand-chose sur la réelle sécurité du système (le moyen éventuel de contourner la protection pour accéder aux fichiers cachés ?).
On note sur le CD fourni avec la clé la présence d'un logiciel-service Windows optionnel qui ajoute une fonctionnalité chiffre et zippe à la clé biométrique.
Le manuel indique (très sommairement, comme pour tout le reste, il faut décrypter...) que, si l'on installe et utilise ce service, on disposera sur la clé d'un dossier Secret&Zip pour les fichiers qui nécessitent un chiffrement supplémentaire[3]. Le manuel indique que tout fichier placé dans ce dossier y sera automatiquement zippé et chiffré, et qu'ensuite, l'accès à tout fichier contenu dans ce répertoire demandera individuellement une vérification d'empreinte digitale, à chaque fois.
Bon, ça n'en dit guère plus, encore une fois, cela n'indique absolument pas le type d'algorithme de chiffrement utilisé, sa longueur de clé, etc..., et ça éveille en moi une question inquiétante immédiate : Si certains fichiers peuvent nécessiter un chiffement suppléméntaire, doit-on en conclure que la protection de base apportée par la clé biométrique en l'absence de ce chiffrement supplémentaire est insuffisante ? En effet, quand quelque chose est intrinsèquement blindé, il n'est aucun besoin de le sur-blinder. La simple existence d'une fonction de "surblindage" donne donc à penser que le fabricant du dispositif peut éprouver des doutes quant à la sécurité de base de son dispositif, puisqu'il y adjoint de lui-même un dispositif complémentaire...
Voilà pour mon petit tour de cet intéressant objet. Au vu de toutes ces réflexions, libre à chacun de se faire sa propre opinion sur l'utilité de ce genre de bidule...
Update 7 mars 2006 : Le commentaire d'Yves à propos des possibilités de falsification d'empreintes en utilisant de "faux doigts" en latex ou en gélatine m'a donné envie de tenter quelques petites expériences supplémentaires. A lire dans ce nouvel article...
Commentaires
Cette série d'articles autour de la clé USB biometrique et de l'aquarium de Lyon est très interessante.
J'aimerais ajouter qu'il est bon d'avoir des paranoïaques qui s'occupent de questionner l'immiscion de la biométrie dans notre quotidien et l'abus de confiance perpetré par ceux qui concoivent, commercialisent ou mettent en place de telles solutions
On peut aussi regarder les choses comme un ensemble de faisceaux concordant dans une direction donnée :
Il y a d'abord la tendance naturelle de toute administration (gouvernement, état...) à chercher à étendre toujours davantage son pouvoir et son contrôle, qui ne peut être équillibrée que par une pression en sens inverse visant à réduire ce pouvoir ou au minimum à lutter contre son extension. Cette pression inverse ne peut provenir que de l'opposition politique, syndicale, ou citoyenne. A l'heure actuelle, et plus particulièrement dans les domaines touchant à la biométrie, à l'informatique, et à l'invasivité des nouvelles technologies dans la vie privée, cette opposition est quasi nulle. Le grand public n'en perçoit pas les enjeux, est rebuté par les aspects très techniques et par la paresse intellectuelle naturelle savament entretenue à grands coups de Star'Ac. Les informations transmises au public à ce propos sont manipulées par divers groupes y ayant intérêt pour ne montrer que l'aspect positif (ou présenté comme tel) des choses : ''(Ultra-)modernité, haute-technicité, fiabilité (supposée très grande dans l'inconscient collectif, qui est assez éloigné de la réalité des choses), sécurité (présentée comme très grande à notre société peureuse, quand les journaux télévisés s'emploient à distiller savamment la peur), etc.
Ajoutons là-dessus que le journaliste lambda n'y comprend pas grand-chose non plus, et que sa paresse naturelle à lui va le pousser à recopier un peu vite les communiqués de presse sans trop se questionner quant à leur contenu.
Du coup, il n'y a pratiquement pas de regard critique sur ces questions, et le peu que l'on trouve n'est pas porté à la connaissance du grand-public - et du coup, pas ou très peu d'opposition.
Ce ne sont hélas pas ces quelques articles sur un blog qui vont y changer grand-chose.
Ensuite, le syndrome post-11-septembre qui est utilisé depuis plus de 4 ans aux Etats-Unis et dans l'ensemble de l'Europe occidentale comme épouvantail et prétexte à réduction sans cesse plus poussée des libertés publiques, instrumentalisé au point que le paranoïaque aurait bien des raisons de s'interroger sur les tenants et aboutissants réels de toute cette affaire.
Toujours plus de peur, toujours plus de flicage. Ne serait-ce pas par hasard la classe dominante post-moderne qui se méfierait de l'ensemble du peuple, tellement dangereux, et qu'il deviendrait tellement nécessaire de contrôler et de contenir ? Sujet à méditation.
Ensuite toujours, les importants intérêts économiques en jeu. Biométrie, surveillance électronique, caméras partout, cartes à puces... Gros pognon, gros contrats, gros intérêts. Que nos politiques traduisent également (avec un certain cynisme) en termes d'emplois à une époque où ils pensent qu'une des seules choses qui préoccupent le peuple (et influe donc sur son bulletin de vote) est le taux de chômage. Autrement dit, mieux vaut employer les gens à fabriquer des systèmes biométriques que les voir pointer au chômage. Après tout, la société de consommation ne peut se maintenir qu'en s'inventant sans cesse de nouveaux besoins artificiels pour entretenir le système et le taux de croissance. Alors, après le téléphone portable pour tout le monde, voici la biométrie pour tout le monde, demain, on trouvera bien un autre besoin à inventer pour tout le monde histoire de mettre du charbon dans la chaudière - jusqu'à ce que le système explose, puisque la croissance ne peut pas tendre vers l'infini sur une planète aux ressources finies - et pas très loin de l'être - mais ça, c'est une autre histoire.
Avec tout ça, on voit mal la tendance s'inverser spontanément dans un avenir proche...
Même si la sécurité du machin était correcte le principe même peut être contourné: (cet article est déjà ancien)
Oui, je me souvenais d'avoir lu des trucs là-dessus, mais je n'avais plus l'URL de l'article en tête...
A mon avis, le meilleur moyen de récupérer les données, c'est le moyen informatique ( décryptage des données, brute forçage etc... ), c'est interressant cette étude, pirater cette chose via la biométrie reste difficile ( à moins de trouver la solution mirâcle ... ) mais à mon avis les failles de sécurité purement informatique sont nombreuses, rien que le fait qu'ils aient créés un 2eme moyen de crypter les données prouve que les créateurs eux-même n'ont pas confiance dans la sécurité "de base" de cette clef .
Concernant la sécurité, et un peu en dehors du sujet "Empreinte digitale", il existe des logiciels (comme TrueCrypt) qui peuvent créer des partitions cryptées cachées dans des partitions cryptées (2nd niveau de cryptage).
Ainsi, même en étant forcé par la force (désolé) de révéler le mot de passe, on révèlera celui du premier volume, qui contiendra des données peut-être sensibles. C'est le second volume (avec un autre mot de passe évidemment) qui contiendra les données critiques mais dont le mot de passe ne sera pas révélé (par effet plausible deniality en révélant le premier).
Voir le lien, en anglais, ici.
@Agagax : Effectivement, ce billet n'avait pas pour objet d'aborder l'ensemble de la question de la sécurité informatique ni de la cryptographie, ça mériterait bien d'autres billets qui viendront peut-être un jour... Ce billet-ci se bornait à discuter d'une clé USB biométrique, ce qui est fort différent.
Je connais TrueCrypt de nom, mais ne l'ai jamais utilisé parce que c'est un outil Windows, et que je n'utilise plus Windows depuis des lustres. Quand j'utilisais encore Windows à titre personnel, c'était du Windows 98, et, sous 98, j'utilisais l'excellent Scramdisk dont la version 2.02h pour Windows était gratuite à l'époque, et avait été traduite en français par "des volontaires". Scramdisk a ensuite connu une regrettable évolution commerciale, mais, comme je n'utilisais plus Windows - pour mon plus grand bonheur - je n'étais plus personnellement concerné.
Sous Linux, je chiffre des volumes en utilisant simplement les fonctionnalités de chiffrement intégrées au noyau (cryptoloop, module AES, cryptoapi), et il existe également dm-crypt/cryptsetup-luks qui fonctionne via le devicemapper du noyau. Autant dire qu'on n'a pas besoin d'outils Windowsiens pour cela ;-)
Bien qu'il existe désormais une version Linux de TrueCrypt, elle ne permet par encore la création de volumes chiffrés, mais seulement l'utilisation de volumes TrueCrypt chiffrés, préalablement créés avec la version Windows. Ceci fait que je n'en ai jamais eu le besoin ni l'usage...
Pour le chiffrement de mails et de fichiers individuels, c'est bien entendu GnuPG qu'il nous faut, et qui fait partie de toute distribution Linux qui se respecte. Il est nativement pris en charge par de multiples clients mail sous Linux, dont KMail, et intégrable dans Mozilla ou Thunderbird en utilisant le plugin additionnel EnigMail.
Sous Winchoze, GnuPG peut être facilement utilisé conjointement avec l'interface WinPT, et il existe également un installeur graphique, GPG4Win qui installe simultanément GnuPG, WinPT, et des plugins pour MS Outlook, ainsi que le MUA Sylpheed-Claws.
C'est dire qu'il y a de quoi faire !
A propos, la clé publique GnuPG de Swâmi Petaramesh est ici.
Ceux qui s'intéressent à la question du chiffrement peuvent également se reporter avec fruit au site openpgp.vie-privee.org, qui contient une mine d'informations de base très utiles, qui restent valables bien que ce site n'ait plus été mis à jour depuis plusieurs années.