Développé, pour l'instant, sous la forme d'un plugin Firefox, Perseus est un nouveau protocole destiné à chiffrer les communications entre deux individus sur Internet. Développé par des chercheurs du laboratoire de cryptologie et de virologie opérationnelles de l'ESIEA (Ecole supérieure d'informatique, électronique, automatique), il vise à protéger les échanges d'une éventuelle "écoute" frauduleuse comme pourrait en pratiquer un réseau de machines infectées (botnets) pour le compte d'un malfaiteur (votre machine est infectée à votre insu, et surveille vos échanges pour le compte d'un pirate sans que vous vous en rendiez compte).
Difficile de ne pas y voir par incidence un moyen de se prémunir des contrôles opérés en ligne au nom des différentes lois touchant à l'informatique ? Là n'est pourtant pas le but premier de Perseus, qui a fait l'objet d'une présentation jeudi dans le cadre de la conférence luxembourgeoise Hack.lu, et cherche justement à protéger les utilisateurs sans pénaliser l'action d'un gouvernement ou de forces de police.
« Les botnets passent le plus clair de leur temps à écouter et analyser des flux http pour collecter des données sensibles (adesses emails, identifiants, numéros de cartes bancaires, etc.) », constatent les auteurs du projet. Pour empêcher cette pêche aux informations, il est donc nécessaire de chiffrer les échanges qui passent par le protocole http.
Ce chiffrement, qu'il est possible d'opérer avec le https, pose toutefois deux problèmes : d'une part, il peut se révéler pénalisant en termes de ressource. D'autre part, il compromet la surveillance des communications électroniques qu'un état a le droit de pratiquer dans certaines conditions. Le projet Perseus vise donc à concilier ces différentes exigences : protéger les communications électroniques des fraudeurs, sans pour autant compromettre l'action réglementaire.
Concrètement, l'idée est de chiffrer les données échangées à l'aide de codes convolutifs. Une fois chiffré, le code est brouillé à l'aide d'un "bruit" numérique. Avant transmission, les paramètres nécessaires au déchiffrement, générés aléatoirement pour chaque séquence, sont envoyés lors d'une courte session http standard. Le destinataire commence donc par recevoir ces codes grâce auxquels il obtiendra sans difficulté la suite de l'échange.
Pour accéder aux informations transmises, le botnet, ou tout autre observateur placé sur la ligne, doit de son côté commencer par déchiffrer la première séquence, avant d'opérer une seconde opération de déchiffrement. Comme les codes changent en permanence de façon aléatoire, le pirate doit fournir une puissance de calul importante pour ne rien perdre d'une communication. L'augmentation des ressources consommées finirait alors par trahir la machine infectée. Autrement dit, l'écoute "systématique" deviendrait prohibitive, alors qu'il reste possible d'intervenir ponctuellement sur un échange donné, en allouant à cette tâche des machines dédiées.
Proposé sous la forme d'un plugin Firefox (Linux uniquement), Perseus est conforme aux règles de développement fixées par Mozilla, ce qui rend son intégration au navigateur possible.
Difficile de ne pas y voir par incidence un moyen de se prémunir des contrôles opérés en ligne au nom des différentes lois touchant à l'informatique ? Là n'est pourtant pas le but premier de Perseus, qui a fait l'objet d'une présentation jeudi dans le cadre de la conférence luxembourgeoise Hack.lu, et cherche justement à protéger les utilisateurs sans pénaliser l'action d'un gouvernement ou de forces de police.
« Les botnets passent le plus clair de leur temps à écouter et analyser des flux http pour collecter des données sensibles (adesses emails, identifiants, numéros de cartes bancaires, etc.) », constatent les auteurs du projet. Pour empêcher cette pêche aux informations, il est donc nécessaire de chiffrer les échanges qui passent par le protocole http.
Ce chiffrement, qu'il est possible d'opérer avec le https, pose toutefois deux problèmes : d'une part, il peut se révéler pénalisant en termes de ressource. D'autre part, il compromet la surveillance des communications électroniques qu'un état a le droit de pratiquer dans certaines conditions. Le projet Perseus vise donc à concilier ces différentes exigences : protéger les communications électroniques des fraudeurs, sans pour autant compromettre l'action réglementaire.
Concrètement, l'idée est de chiffrer les données échangées à l'aide de codes convolutifs. Une fois chiffré, le code est brouillé à l'aide d'un "bruit" numérique. Avant transmission, les paramètres nécessaires au déchiffrement, générés aléatoirement pour chaque séquence, sont envoyés lors d'une courte session http standard. Le destinataire commence donc par recevoir ces codes grâce auxquels il obtiendra sans difficulté la suite de l'échange.
Pour accéder aux informations transmises, le botnet, ou tout autre observateur placé sur la ligne, doit de son côté commencer par déchiffrer la première séquence, avant d'opérer une seconde opération de déchiffrement. Comme les codes changent en permanence de façon aléatoire, le pirate doit fournir une puissance de calul importante pour ne rien perdre d'une communication. L'augmentation des ressources consommées finirait alors par trahir la machine infectée. Autrement dit, l'écoute "systématique" deviendrait prohibitive, alors qu'il reste possible d'intervenir ponctuellement sur un échange donné, en allouant à cette tâche des machines dédiées.
Proposé sous la forme d'un plugin Firefox (Linux uniquement), Perseus est conforme aux règles de développement fixées par Mozilla, ce qui rend son intégration au navigateur possible.
-
Auteur
-
Origine
