Tous les protocoles de sécurité WiFi qui protègent les trames échangées entre AP et stations utilisent uniquement la cryptographie à clé secrète.

Remarque : ceci n'est qu'une rapide introduction à la cryptographie symétrique (à clé secrète); la description des propriétés de sécurité est très simplifiée.

Petite introduction à la cryptographie à clé secrète

En cryptographie à clé secrète plusieurs participants partagent des données secrètes utilisées dans un protocole cryptographique, principalement les clefs secrètes :

étant donné

• un message M (appelé le cleartext ou texte clair) d'une longueur quelconque (ou multiple de la taille de bloc dans le cas des fonctions de chiffrement par blocs);
• une clé K;
• E_K : une fonction de chiffrement (ou chiffre) E paramétrée par une clé K; c'est une fonction bijective des séquences de longueur n sur les séquences de longueur n (n étant quelconque ou bien multiple de la taille de bloc dans le cas des fonctions de chiffrement par blocs)
• D_K : la fonction réciproque de E_K

le contenu M est transformé par E_K en un chiffré c :

Le message c peut en principe être transmis sur un média non sûr.

Quand un récepteur légitime (qui connait la clé K) reçoit un chiffré c' il applique D pour retrouver le texte clair :
si c' = c, alors M' = E_K (E_K(M)) = M

Un espion n'ayant par hypothèse pas la clé K ne peut pas déterminer M à partir de c (ni même une partie de M ni un seul bit ni la moindre information sauf la taille de M).

Dans la notation, le transmetteur envoie c et le récepteur reçoit c' : on ne peut pas faire l'hypothèse qu'un message, s'il arrive, arrive inchangé. Un adversaire pourrait non seulement écouter les messages mais aussi les intercepter, les transformer, et les réinjecter.

On suppose habituellement que l'adversaire voit tous les messages envoyés, les intercepte tous, et qu'il réinjecte les messages qu'il veut de telle façon qu'ils semblent a priori avoir été envoyés par un participant légitime; autrement dit, il n'y a aucun canal qui échappe à coup sûr à l'adversaire.

Par contre, les participants partagent avant de commencer des secrets cryptographiques qui leur permettent d'utiliser les outils cryptographiques. Un secret de nature cryptographique est une donnée qui est comme issue d'un tirage aléatoire, et qui comporte suffisamment de bits pour qu'une exploration systématique soit impossible en pratique quels que soient les moyens informatiques de l'adversaire.

Intégrité des messages; insertion de faux messages

Même en supposant que la primitive cryptographique E est sure, si la clé K est bien de taille suffisante, générée de façon aléatoire et gardée secrète (transmise uniquement de façon sure), on voit qu'il reste un problème : le remplacement d'un chiffré par un autre ne peut pas être détecté au niveau du protocole cryptographique, la fonction E étant bijective, à toute séquence est associée une autre séquence. (Cela ne veut pas forcèment dire que le problème ne sera pas détecté à un autre niveau : si p.ex. le remplacement de c par le chiffré c' est fait n'importe comment, M' sera n'importe quoi et vraisemblablement ne sera pas décodable, et le récepteur ne sera pas induit en erreur.)

Avec certaines fonctions de chiffrement, étant donné un message chiffré et sans connaitre la clef, il est absolument impossible (dans l'état des connaissances actuelles) de produire un autre chiffré qui une fois déchiffré donne un résultat prévisible : changer un bit du chiffré provoquera des modifications sur à peu près 1 bit de texte clair sur 2; autrement dit, le moindre changement dans le chiffré remplace le texte clair par une suite aléatoire de bits. Aucun intérêt pour l'adversaire.

Mais cela n'est pas toujours vrai : pour certaines fonctions de chiffrement, l'inversion d'un bit dans le chiffré produit un résultat très prévisible dans le texte clair, ce qui peut rendre possible des attaques si une protection n'est pas mise en place.

On utilise donc toujours dans les protocoles cryptographique un code d'intégrité des messages, afin de pouvoir vérifier que l'èmetteur d'un message connaissait bien la clé secrète (ou un secret quelconque); si une partie du message est modifiée en route, la vérification du code d'intégrité échouera, et le message sera ignoré (éventuellement des contre-mesures seront initiées pour rendre encore plus difficile une attaque : p.ex. installer de nouvelles clefs secrètes; dans un système solide, ces contre-mesures font partie de la défense en profondeur et ne sont pas indispensables si les primitives sont aussi solides que prévu).

Bien sûr, un adversaire ignorant la clé ne doit avoir aucun moyen de rétablir le code d'intégrité d'un message qu'il a altéré, sinon c'est une perte de temps : le code d'intégrité est un outil cryptographique, et non un détecteur d'erreurs sur le média.

Le code d'intégrité ne remplace pas les codes FEC/CRC qui servent à corriger et détecter les erreurs. La couche de codage/décodage correspondant au média doit évidemment utiliser ces codages contre les perturbations électromagnétiques. La couche cryptographique intervient seulement quand les simples erreurs de transmission ont été corrigées ou éliminées (les trames non récupérables par la correction d'erreurs sont ignorées).

Merci pour ces informations.

En pratique un générateur de nombres pseudo-aléatoires (pseudorandom number generator, PRNG) est donc utilisé pour générer le masque. C'est un système déterministe : les nombres sortis générés sont uniquement fonctions de l'état interne du générateur, il n'y a pas de véritable aléa.

C'est dans le générateur de nombres pseudo-aléatoires d'Open SSL que la plus grosse faille de sécurité jamais rencontré par les systèmes basés sur Debian à été découverte en 2008 => http://www.securite-informatique.gouv.fr/gp_article617.html

Une autre occurrence de "MD_Update(&m,buf,j);" a été enlevée ligne 276 dans la fonction ssleay_rand_add, ce qui neutralisait presque complètement le remplissage de la réserve d'aléa!

Cela montre encore une fois que tester qu'un soft "marche" ne suffit pas : il peut avoir l'air de fonctionner alors qu'en réalité...

Le logiciel libre, ce n'est pas le mythe de l'égalitarisme. Tout le monde n'a pas les mêmes compétences.

On trouve parfois des erreurs grossières dans des logiciels libres :


Hint : allez sur ses pages et laissez un certain temps la souris sur les images.

Même chose ici :

Google developers have confirmed a cryptographic vulnerability in the Android operating system that researchers say could generate serious security glitches on hundreds of thousands of end-user apps, many of them used to make Bitcoin transactions.

This weakness in Android's Java Cryptography Architecture is the root cause of a Bitcoin transaction that reportedly was exploited to pilfer about $5,720 worth of bitcoins out of a digital wallet last week. The disclosure, included in a blog post published Wednesday by Google security engineer Alex Klyubin, was the first official confirmation of the Android vulnerability since Ars and others reported the incident last weekend. Klyubin warned that other apps might also be compromised unless developers change the way they access so-called PRNGs, short for pseudo random number generators.

"We have now determined that applications which use the Java Cryptography Architecture (JCA) for key generation, signing, or random number generation may not receive cryptographically strong values on Android devices due to improper initialization of the underlying PRNG," he wrote. "Applications that directly invoke the system-provided OpenSSL PRNG without explicit initialization on Android are also affected." Apps that establish encrypted connections using the HttpClient and java.net classes aren't vulnerable.

The confirmation came a few hours after researchers from security firm Symantec warned that hundreds of thousands of Android apps may be affected by the vulnerability. By Symantec's count, as many as 360,000 programs rely on the SecureRandom, which is one of the programming services for generating random numbers provided by the JCA. Contrary to many earlier reports, the flaw affects all versions of Android, not just 4.2 and earlier, Android Security Engineer Adrian Ludwig told Ars.

"Call me the tumblin' dice"

PRNGs ensure that computers produce long numbers that are impossible to predict ahead of time and are a core requirement in many cryptographic applications. They're akin to the shakers used by board game players to make sure dice don't land in predictable patterns. Among other things, the random numbers PRNGs produce help ensure that the secret keys used to encrypt or digitally sign data can't be cracked easily.

The Android apps that were exploited in the recent Bitcoin thefts may have signed multiple transactions using an identical number the apps presumed was random, Symantec researchers said in their blog post. "Since transactions are public on the Bitcoin network, attackers scanned the transaction block chain looking for these particular transactions to retrieve the private key and transfer funds from the Bitcoin wallet without the owner’s consent."

Wednesday's blog post from Google recommended developers update all apps that use JCA to "explicitly initialize the PRNG with entropy from /dev/urandom or /dev/random." The advisory went on to suggest developers consider regenerating cryptographic keys or other random values that were previously generated using JCA programming interfaces including SecureRandom, KeyGenerator, KeyPairGenerator, KeyAgreement, and Signature. It also provided example code for implementing the suggestions.

The post said Google developers have delivered patches to handset manufacturers but gave no indication when those updates may find their way onto end-user devices. Instead, the post emphasized the steps third-party developers should take to ensure their Android software. At least four Bitcoin wallets have already been updated to close the vulnerability, according to a Bitcoin advisory that was updated Tuesday. It wouldn't be surprising to see many more apps follow suit in the next few days.

http://arstechnica.com/security/2013/08/google-confirms-critical-android-crypto-flaw-used-in-5700-bitcoin-heist/