AES n'est pas (toujours) sécurisé.

00:00

AES signifie en français standard de

00:03

chiffrement avancé l'algorithme de

00:05

chiffrement AES a vu le jour en 97 son

00:09

nom original était r Dael mais

00:12

aujourd'hui en 2024 toute la sécurité

00:14

des données et des communications

00:16

mondiale repose sur AES et d'ailleurs on

00:19

dit souvent que AES est un chiffrement

00:21

ultra sécurisé et que personne ne peut

00:24

le casser cependant c'est un peu plus

00:26

compliqué que cela utiliser AES n'est

00:28

pas un joker ult te ainsi dans cette

00:31

vidéo on verra ce qui est réellement AES

00:34

dans quel cas AES est entre guillemets

00:36

sécurisé et dans quel cas AES n'est pas

00:40

sécurisé pour commencer revenons un peu

00:43

en arrière avant les années 2000 c'était

00:46

plutôt deses qui était utilisé presque

00:48

partout c'était un chiffrement considéré

00:50

comme sécurisé deses était notamment

00:52

utilisé par l'armée américaine la NSA et

00:54

les autres instances gouvernementales

00:56

depuis sa création dans les années 70

01:00

sauf que tout changera en 97 un projet

01:03

sous le nom de deses challenge arrive en

01:05

combinant la puissance de calcul de plus

01:07

de 60000 ordinateurs a craqué un message

01:10

chiffré avec deses le contenu de ce

01:13

message était relativement simple un

01:15

chiffrement robuste contribue à rendre

01:17

le monde plus sûr cette phrase est

01:19

entièrement vraie cependant notre des ne

01:21

s'est pas montré très robuste en fait

01:24

deses avait un problème majeur c'était

01:27

la taille des clés qui était limitée à

01:28

56 bits 56 bits cela paraît beaucoup

01:31

mais cela ne fait que 72 millions de

01:34

milliards de clés possibles pour

01:35

chiffrer un message ainsi en réunissant

01:38

plusieurs milliers d'ordinateurs même

01:40

des vieux ordinateurs de l'époque il

01:42

était possible de faire une attaque par

01:43

force brute et de tester toutes les clés

01:45

ce qui rendrait deses

01:47

inefficace en tout cas je pense que vous

01:50

l'avez compris protéger les secrets de

01:52

l'armée américaine avec deses c'était

01:54

faisable dans les années 70 et 80 mais à

01:56

partir des années 90 c'était terminé

01:59

trop dangereux aujourd'hui en 2024 avec

02:01

le nombre de transistor qui a été

02:03

multiplié par plus de 10000 sur les

02:05

processeurs récents par rapport à il y a

02:07

25 ans n'importe qui peut casser une clé

02:09

des avec une bonne carte graphique ainsi

02:11

que quelques semaines devant soi à cette

02:14

époque créer un nouvel algorithme de

02:16

chiffrement était quasiment urgent début

02:19

97 le NIST c'est-à-dire l'Institut

02:21

national des normes et de la technologie

02:23

aux États-Unis commence à se pencher sur

02:25

la question l'idée était de créer je

02:27

cite un algorithme de chiffrement non

02:30

classifié divulgué publiquement capable

02:32

de protéger les informations

02:34

gouvernementales sensibles bien au-delà

02:36

du siècle prochain pendant le processus

02:38

de sélection 15 algorithmes de

02:39

chiffrement ont été retenus en tant que

02:41

finaliste vous en reconnaîtrez peut-être

02:43

certains qui par exemple peuvent être

02:45

utilisés dans veracrypt pour chiffrer

02:47

votre disque durant la sélection finale

02:49

les experts en cryptographie de l'époque

02:50

se mettent donc au travail en scrutant

02:52

et en testant chaque algorithme de

02:54

chiffrement à la loupe notamment pour

02:56

voir s'il y avait des failles si c'était

02:57

facile à implémenter si c'était rapide

03:00

pratique et cetera car la sécurité ce

03:02

n'était pas le seul critère c'était un

03:04

travail immense qui a duré 4 ans et qui

03:05

a mobilisé des centaines d'experts

03:08

finalement vers 2001 c'est bien Ringe

03:10

Dael qui a été sélectionné pour devenir

03:12

le vrai AES mais il y avait d'autres

03:14

finalistes qui étaient tout aussi bien

03:16

tout au long de la vidéo on va appeler

03:18

cet algorithme AES car on ne va pas se

03:20

le cacher ce nom-là est complètement

03:23

imprononçable du coup AES est dit être

03:26

un chiffrement symétrique cela signifie

03:28

qu'il permet de chiffrer et de

03:30

déchiffrer n'importe quelle donnée avec

03:32

exactement la même clé contrairement au

03:34

chiffrement asymétrique où il y a une

03:36

histoire de clé privée et de clé

03:37

publicque AES est d'ailleurs disponible

03:39

en trois versions différentes avec des

03:41

clés de 128 bits 192 et 256 bits ce qui

03:44

est largement assez d'un point de vue

03:46

sécurité en effet une simple attaque par

03:48

brute force sur des clés de 128 bits

03:50

avec tous les super calculateurs du

03:52

monde réunis serait complètement

03:53

infisable en pratique et prendrait plus

03:55

de temps que l'âge de l'univers même si

03:57

les ordinateurs quantiques se joignent à

04:00

attaque maintenant que vous avez les

04:02

bases des bases on va quand même aller

04:04

un peu plus loin dans le fonctionnement

04:05

d'AES déjà on va se poser la question

04:08

qu'est-ce que AES et concrètement

04:10

qu'est-ce qu'il y a derrière donc AES

04:14

basiquement ce n'est juste qu'une simple

04:16

fonction c'est tout et cette fonction

04:18

elle prend deux paramètres le premier

04:21

paramètre c'est la clé de chiffrement de

04:23

128 à 192 ou 256 bits le deuxème

04:27

paramètre lui c'est une donnée à

04:28

chiffrer ou ou un bloc de 128 bits

04:31

attention c'est bien une donnée de

04:32

taille fixe de 128 bit ce n'est pas une

04:35

donnée de 16 bits ou de 10 Go c'est que

04:38

du 128 bit et en sorti on a notre donnée

04:40

chiffrée qui ne fait que 128 bit et rien

04:44

d'autre et à partir de là on a également

04:46

la fonction inverse d'AES qui va

04:48

déchiffrer la donnée c'est-à-dire

04:49

qu'elle prend le texte chiffré en

04:51

paramètrre ainsi que la clé de

04:52

chiffrement et renvoie le texte secret

04:55

l'intérêt ici c'est que si vous n'avez

04:57

pas la clé de chiffrement vous n'êtes

04:59

pas censé pouvoir retrouver le texte

05:01

secret ici c'est principalement dû à la

05:04

complexité de la fonction AES qui fait

05:06

une sorte de Bouille d'octé avec la clé

05:08

de chiffrement et le texte non chiffré

05:10

cependant vous n'avez pas besoin de

05:12

maîtriser tout ce processus si vous avez

05:14

déjà compris ces deux schéma alors vous

05:16

avez tout compris dernière précision ce

05:19

schéma ne fonctionne pas uniquement avec

05:21

AES mais aussi avec deses et tous les

05:23

chiffrement symétrique la différence

05:25

c'est la taille des données dans deses

05:27

les clés font 56 bits et la taille des

05:30

blocs est de 64 bits l'autre différence

05:33

c'est bien la fonction deses qui crée

05:34

une bouli d'octé assez différente de

05:36

celle

05:37

d'AES maintenant question très

05:40

importante AES ne peut chiffrer que des

05:42

données de 128 bits alors comment est-il

05:44

possible de chiffrer votre disque dur ou

05:46

toutes les communications TLS avec aos

05:48

on est d'accord ces données font

05:50

beaucoup plus que 128 bit et bien en

05:52

pratique ce n'est pas trivial du tout

06:00

deses AES ainsi que la plupart des

06:02

chiffrements symétriques sont ce que

06:04

l'on appelle des chiffrements par bloc

06:06

alors pourquoi on appelle cela des

06:07

chiffrement par bloc vous allez

06:09

rapidement

06:10

comprendre par exemple imaginons que

06:12

vous voulez chiffrer cette photo de

06:14

pingouin cette photo là vous le savez ce

06:17

n'est qu'un ama de 0 et de 1 par exemple

06:19

là l'image fait 10000 kiloct il y a donc

06:22

80000 bit de 0 ou 1 ce que va faire AES

06:26

c'est que AES va diviser la photo en

06:29

bloc de 28 bits puis AES va chiffrer

06:32

séparément un par un les

06:33

blocs à la fin on obtient ce schéma où

06:36

l'image est divisé en bloc puis chaque

06:38

bloc de 128 bit est chiffré séparément

06:41

puis après on combine les blocs chiffrés

06:43

pour reconstituer l'image chiffrée ici

06:45

c'est le cyher text en

06:47

anglais jusqu'ici j'espère que ce n'est

06:50

pas trop difficile et que vous me suivez

06:52

toujours une fois que c'est bon on va

06:54

maintenant utiliser AES pour chiffrer

06:56

notre pingouin

07:02

donc voici le résultat et à partir de là

07:04

pouvez-vous me dire quel est le problème

07:06

avec la méthode de chiffrement qu'on a

07:08

utilisé je précise qu'on a bien utilisé

07:10

AES avec une clé sécurisée de 256 bits

07:14

en fait en cryptographie un chiffrement

07:16

est considéré comme parfaitement

07:18

sécurisé si dans notre cas le pingouin

07:20

chiffré n'apporte absolument aucune

07:22

information sur le pingouin non chiffré

07:25

le problème c'est que le pingouin

07:26

chiffré nous a révélé beaucoup

07:28

d'information sur le pingouin non

07:30

chiffré notamment à cause de certains

07:32

motifs qui se répètent et quand on y

07:34

pense c'est complètement normal en fait

07:36

comme chaque bloc est chiffré séparément

07:38

si deux blocs ont exactement les mêmes

07:40

bits donc les mêmes pixels en blanc ce

07:42

qui est clairement le cas sur l'image

07:44

originale où on a plein de pixel en

07:45

blanc ou même en noir et bien le

07:47

résultat chiffré sera exactement le même

07:49

pour ces deux blocs ainsi on aura plein

07:51

de motifs qui vont apparaître ici cela

07:53

fonctionne pour des images mais il est

07:55

possible de faire ce genre d'attaque sur

07:56

n'importe quel fichier comme du texte ou

07:58

une vidéo

08:00

dans notre cas ce chiffrement pas très

08:02

sécurisé qu'on a utilisé possède un nom

08:05

il s'appelle le chiffrement AES en mode

08:08

ECB ici le mode nous indique comment

08:11

chiffrer et combiner tous les blocs avec

08:14

AES en mode ECB on a juste chiffré et

08:17

combiné les blocs séparément cependant

08:20

comme je vous l'ai montré ce n'est pas

08:21

du tout sécurisé en fait c'est même

08:23

ultra dangereux ainsi d'autres modes de

08:25

chiffrement ont été créés où l'on va

08:27

combiner les blocs de façon légèrement

08:28

différent

08:35

comme on l'a vu juste avant le mode ECB

08:37

n'est pas du tout sécurisé cependant il

08:40

existe bien d'autres modes d'opération

08:43

l'idée c'est que les blocs seront

08:45

combinés de manière très légèrement

08:46

différente et de façon beaucoup plus

08:48

sécurisée par exemple on a le mode CBC

08:52

les différents blocs ne sont plus

08:53

chiffré de manière indépendante ils sont

08:55

plutôt enchaînés entre eux on a aussi le

08:58

mode CTR où chaque bloc est chiffré de

09:00

façon complètement indépendante mais on

09:02

y ajoute un nonce qui sera incrémenté

09:05

pour chaque bloc ce qui fait que deux

09:07

mêmes blocs n'auront jamais le même

09:09

chiffrement donc il n'y aura pas de

09:11

motif sur notre image de pingouin bien

09:13

évidemment pour des raisons évidentes je

09:15

ne vais pas tout expliquer en fait ce

09:17

que vous devez retenir c'est qu'avec ce

09:19

genre d'astuce on peut créer plein de

09:21

modes différents qui sont beaucoup plus

09:22

sécurisés et en particulier deux mêmes

09:25

blocs auront un chiffrement différent

09:27

donc on n'ura pas le problème avec les

09:29

motif qui se répète avec le mode ECB

09:32

cependant il y a quand même des

09:33

désavantages par exemple le mode CBC

09:36

n'est pas parallélisable on ne peut pas

09:37

calculer le chiffrement de plusieurs

09:39

blocs en même temps en utilisant

09:40

plusieurs cœurs ou plusieurs processeurs

09:42

la raison est qu'il faut connaître le

09:44

bloc chiffré précédent pour commencer à

09:45

chiffrer le bloc suivant ce qui rend le

09:47

tout plus lent et pire encore le nonce

09:50

dans le mode AES CTR s'il est réutilisé

09:54

cela peut faire compromettre tous les

09:55

messages chiffrés et d'ailleurs mal

09:57

utiliser des nonces c'est quelque chose

09:59

chose de commun on a beaucoup de codes

10:01

vulnérables à ce genre de problème et

10:03

dans ce cas-là même du AES 256 ne vous

10:06

sauvera pas mais en plus les problèmes

10:09

que je viens de vous présenter ce n'est

10:10

même pas les problèmes les plus

10:12

graves maintenant imaginons qu'un

10:15

attaquant comme par exemple votre

10:16

fournisseur d'accès à internet

10:18

intercepte votre connexion grâce à une

10:20

attaque de l'homme du milieu et commence

10:22

à modifier les paquets chiffré quand

10:24

vous allez donc recevoir les paquets

10:25

modifiés vous allez les déchiffrer

10:28

cependant la fonction de déchiffrement

10:29

reste une fonction une fonction assez

10:31

complexe mais une fonction quand même si

10:33

le texte chiffré est modifié par

10:35

l'attaquant la fonction ne va pas

10:37

renvoyer une erreur elle va tout

10:39

simplement renvoyer n'importe quoi comme

10:41

le texte déchiffré mais nous on a

10:43

quasiment aucun moyen de savoir que les

10:44

paquets ont été modifié et pire encore

10:47

en fait il existe certaines attaques sur

10:48

certains modes de chiffrement où il est

10:50

possible tout simplement de modifier de

10:52

façon prévisible certains blocs du

10:54

message déchiffré sans connaître la clé

10:56

de déchiffrement oui j'ai bien dit sans

10:58

connaître la clé de déchiffrement et ce

11:00

ne sont pas des attaques théoriques qui

11:02

n'arrivent jamais en fait il y a plein

11:04

de CVE associés à ce genre de

11:05

vulnérabilité donc en fait on veut

11:08

absolument avoir un moyen de savoir si

11:10

le message chiffré a été modifié en

11:11

cours de route ou pas c'est très

11:13

important et avec les différents modes

11:15

d'opération classique que je vous ai

11:17

présenté comme le ECB CBC CTR et cetera

11:20

ce n'est pas possible ainsi pour résumer

11:24

un bon protocole cryptographique ne doit

11:26

pas uniquement respecter la

11:27

confidentialité il doit aussi respter

11:29

l'intégrité et l'authenticité on veut

11:31

être sûr que le message chiffré n'a pas

11:33

été modifié et qu'il a été envoyé par la

11:35

bonne personne pas par un attaquant qui

11:37

se fait passer pour la bonne personne

11:38

mais heureusement si je vous en parle

11:40

c'est qu'il y a des

11:45

solutions en fait aujourd'hui dans les

11:48

implémentations modernes d'AES que ce

11:50

soit sur Open SSL ou d'autres librairies

11:53

cryptographique qu'utilisent les os les

11:55

navigateurs les protocoles réseau et

11:57

cetera on utilise pas souvent ces modes

12:00

d'opération car ils ne garantissent ni

12:02

l'intégrité ni

12:04

l'authenticité à la place on utilise

12:06

plutôt du chiffrement authentifié on la

12:09

brège à eu en anglais l'intérêt de ce

12:11

chiffrement c'est qu'il assure la

12:13

confidentialité mais en plus il assure

12:16

aussi l'intégrité et l'authenticité

12:18

n'oubliez pas l'intégrité et

12:20

l'authenticité c'est aussi important que

12:22

la confidentialité et en effet on veut

12:24

être sûr à presque 100 % que le message

12:27

chiffré n'a pas été modifié

12:29

en cours de route ici faire une attaque

12:31

de l'homme du milieu par quelqu'un sur

12:32

le même sous-réseau que vous ou même par

12:34

votre fournisseur d'accès à internet qui

12:36

d'ailleurs a accès à tout votre trafic

12:37

c'est trivial dans notre cas ce

12:40

chiffrement fonctionne de façon très

12:42

légèrement différente on va prendre

12:44

notre petite image de pingouin puis on

12:46

va hacher cette image avec une sha2 ou

12:48

une SH3 dernière étape on combine les

12:51

deux et on chiffre le tout à la fin on

12:54

obtient donc le texte chiffré et pour

12:56

déchiffrer on fait exactement l'inverse

12:58

on déchiffre le AES on obtient donc le H

13:01

de l'image avec l'image elle-même et

13:04

après on vérifie simplement si le H de

13:06

l'image est correct ou pas et c'est

13:08

presque tout en fait si vous avez

13:10

compris cela alors c'est déjà très bien

13:13

en pratique il y a même plusieurs façons

13:14

de le faire est-ce qu'on hache d'abord

13:16

puis on chiffre après ou inversement ou

13:19

même est-ce que l'on utilise une

13:20

deuxième clé spéciale juste pour le H ou

13:23

pas en tout cas je pense que vous voyez

13:25

l'idée donc pour résumer on utilise le

13:27

chiffrement pour assurer la

13:29

confidentialité et le Haage pour assurer

13:31

l'intégrité et

13:34

l'authenticité en théorie on pourrait

13:36

bidouiller ce genre de protocole de

13:38

chiffrement en combinant un aos CBC par

13:41

exemple avec un SH2 en pratique on va

13:43

plutôt utiliser un aos avec un mode de

13:46

chiffrement spécial qui cette fois-ci va

13:47

prendre en charge l'authenticité et

13:49

l'intégrité donc là il n'y a même pas

13:52

besoin de SH à

13:53

2 le plus souvent c'est bien le mode AES

13:57

GCM qui est utilisé l'avantage c'est

14:00

qu'il supporte ses propriétés autre

14:02

avantage le mode GCM est résistant à la

14:04

plupart des attaques cryptographiques ce

14:07

qui fait qu'il est plutôt sécurisé et

14:09

Ciz sur le gâteau AES GCM est également

14:12

parallélisable on peut donc calculer le

14:14

chiffrement de plusieurs blocs en même

14:16

temps en utilisant plusieurs cœurs ou

14:17

plusieurs processeurs ainsi grâce à ces

14:20

avantages AES GCM est utilisé quasiment

14:23

partout par exemple si vous regardez

14:25

cette vidéo avec un client Web récent

14:27

c'est bien AES GCM qui est en général

14:30

utilisé pour chiffrer les communications

14:32

TLS entre vous et YouTube on est

14:34

également sur certains sites votre token

14:36

de session dans les cookies qui est

14:38

protégé avec l'algorithme AES GCM autre

14:41

exemple certains protocoles de VPN

14:44

utilisent également AES GCM en tout cas

14:47

j'espère que vous avez bien compris tout

14:49

cela si je dois conclure cette vidéo

14:52

vous devez absolument comprendre que ce

14:53

n'est pas parce qu'un VPN un os un

14:55

logiciel un chat utilise du AES 256

14:59

c'est-à-dire sur certaines pages je cite

15:02

du chiffrement militaire Militaire oui

15:04

mais utilisé par un peu tout le monde

15:06

que tout est absolument sécurisé et que

15:08

vous n'allez jamais vous faire hacker la

15:10

seule chose qui peut vraiment être

15:12

considérée comme sécurisée et incassable

15:15

c'est la fonction de chiffrement et de

15:16

déchiffrement d'AES qui a été analysé

15:18

pendant plus de 20 ans par les meilleurs

15:20

experts en cryptographie sans trouver de

15:23

failles de sécurité pratique mais ce

15:25

n'est qu'un diè du travail tout ce qu'il

15:27

y a autour comme les modes opération

15:29

pour combiner les blocs et surtout

15:31

l'implémentation de tout ce bordel

15:33

c'est-à-dire le code qui peut contenir

15:34

des erreurs ou des failles pour faire

15:36

très très simple cependant on en a pas

15:38

vraiment parlé mais c'est un très bon

15:40

sujet de suite à cette vidéo en tout cas

15:42

j'espère que vous avez aimé cette vidéo

15:44

si vous avez des commentaires sur la

15:45

vidéo ou des choses à préciser n'hésitez

15:48

pas je lis absolument tous les

15:49

commentaires sinon on se retrouve

15:51

ensemble pour la prochaine vidéo en

15:53

attendant si la sécurité informatique

15:55

vous intéresse vous pouvez télécharger

15:57

mon petit guide gratuit ou vous avez

15:59

tout ce qu'il faut pour démarrer dans la

16:01

cybersécurité le lien est bien

16:02

évidemment dans la description