Sécurité par l'obscurité

Le principe de la sécurité par l'obscurité repose sur la non-divulgation d'information relative à la structure, au fonctionnement ainsi qu'à l'implémentation de l'objet ou du procédé reconnu, pour en assurer la sécurité.



Catégories :

Procédure de sécurité informatique - Cryptologie - Stéganographie

Le principe de la sécurité par l'obscurité repose sur la non-divulgation d'information relative à la structure, au fonctionnement ainsi qu'à l'implémentation de l'objet ou du procédé reconnu, pour en assurer la sécurité. Cela s'applique aux domaines sensibles de l'informatique, de la cryptologie, de l'armement,  etc.

Cryptologie

En cryptologie, la sécurité par l'obscurité va à l'encontre du principe de Kerckhoffs qui veut que la sécurité de tout cryptosystème ne repose que sur le secret de la clé.

Un message chiffré par exemple avec ROT13 ne peut rester secret que si la méthode utilisée pour chiffrer reste inconnue de l'adversaire. Si l'attaquant «connaît le dispositif» alors il sera capable de déchiffrer le message. Les cryptologues prônent la transparence en matière de processus et de conception de primitives cryptographiques. Une telle pratique sert à mieux évaluer la sécurité des algorithmes.

Protection contre la rétro-ingénierie

Pour éviter que quiconque puisse retrouver le code source d'un programme à partir de la version compilée (binaire), certaines sociétés utilisent des programmes pour rendre l'analyse plus ardue. Il existe différentes méthodes. On peut citer :

Obfuscation du code machine :

Une société peut distribuer le code source de ses programmes en les obfuscant au préalable :

Exemple sur les mainframe d'IBM

La société IBM développait ses principaux logiciels de mainframes dans un langage appelé PL/360[1], qui générait de l'assembleur. C'est ce code assembleur qui était apporté à ses clients réclamant les versions source des produits et non le code PL/360. Ni le compilateur du PL/360 ni la spécification du langage n'étaient apportés au public, quoique les instructions PL/360 apparussent en commentaires du listing assembleur apporté.

Les limites

Par le passé, plusieurs algorithmes ou modules logiciels contenant des détails internes gardés secrets ont été révélés au public. En outre, les vulnérabilités ont été découvertes et exploitées, même si les détails internes sont restés secrets. Les exemples suivants, mis bout-à-bout, montrent la difficulté, ou alors l'inefficacité de garder secrets les détails des dispositifs et autres algorithmes.

Un procédé basé sur la sécurité par l'obscurité ment sur la réelle fiabilité de sa sécurité, au pire, ou du moins n'en affiche que les points forts, au mieux. C'est alors une simple relation de confiance établie entre les fournisseurs de l'objet, de la structure ou du procédé ainsi protégé et leurs utilisateurs qui fait référence dans la vision de la-dite sécurité. Qu'une faille sérieuse remette en cause le dispositif devient une source de difficulté pour le fournisseur, car en plus des conséquences directes dues à la faiblesse exploitée, l'utilisateur peut se sentir abusé par le faux sentiment d'invulnérabilité dans lequel on l'a maintenu.

Exemples divers

Ouverture et sécurité

La qualité reconnue de nombreux logiciels libres en matière de sécurité (Apache, Mozilla Firefox, GnuPG) est une bonne illustration que l'ouverture ne nuit pas à la sécurité.

Citation du député français Bernard Carayon dans son rapport A armes identiques[3], remis au Premier Ministre en octobre 2006 : Enfin, et parce que le code source est public et par conséquent auditable, la sécurité des logiciels libres peut être mieux assurée.

Voir aussi

Notes

  1. PL/360 : langage de programmation conçu par Niklaus Wirth pour IBM 360 et 370, voir (en) PL/360
  2. En 2004, 13 millions de lignes de code source de Windows 2000 dans la nature!
  3. PDF Le rapport du député Carayon au Premier Ministre

Recherche sur Google Images :



"sécurité de Microsoft."

L'image ci-contre est extraite du site clubic.com

Il est possible que cette image soit réduite par rapport à l'originale. Elle est peut-être protégée par des droits d'auteur.

Voir l'image en taille réelle (280 x 184 - 10 ko - jpg)

Refaire la recherche sur Google Images

Recherche sur Amazone (livres) :



Ce texte est issu de l'encyclopédie Wikipedia. Vous pouvez consulter sa version originale dans cette encyclopédie à l'adresse http://fr.wikipedia.org/wiki/S%C3%A9curit%C3%A9_par_l%27obscurit%C3%A9.
Voir la liste des contributeurs.
La version présentée ici à été extraite depuis cette source le 07/04/2010.
Ce texte est disponible sous les termes de la licence de documentation libre GNU (GFDL).
La liste des définitions proposées en tête de page est une sélection parmi les résultats obtenus à l'aide de la commande "define:" de Google.
Cette page fait partie du projet Wikibis.
Accueil Recherche Aller au contenuDébut page
ContactContact ImprimerImprimer liens d'évitement et raccourcis clavierAccessibilité
Aller au menu