rPGP c’est un bibliothèque Rust qui va vous permettre de jouer avec OpenPGP comme des grands ! Plus besoin de vous taper des kilomètres de C pour avoir un bout de code qui chiffre trois mails bourrés de fautes. Maintenant, on a le droit à une implémentation 100% Rust, avec une API minimaliste mais qui fait le taf. Et en plus, c’est sous licence libre, donc on peut en faire ce qu’on veut !
Le top du top, c’est que rPGP gère tout ce qu’il faut pour être compatible avec Autocrypt 1.1. Si vous ne connaissez pas, c’est une spécification pour chiffrer les mails qui est censée être facile à utiliser pour monsieur et madame tout-le-monde.
Côté technique, rPGP est mis à jour régulièrement en tant que crate pgp (oui, ils ont pensé à nous, les flemmards qui ne veulent pas taper plus de trois lettres). Et pour la partie RSA, ça vit tranquillou sous le parapluie collectif RustCrypto. Et pour les petits malins qui voudraient se la jouer elliptique, pas de panique : le support ECC est assuré par la crate Curve25519-dalek. J’adore le nom 🙂
Bon, après, faut avouer que la doc de l’API est encore un peu légère mais si vraiment vous séchez, vous pouvez toujours ouvrir une issue sur GitHub. Les devs sont sympas, ils répondent (des fois).
D’ailleurs, rPGP s’est payé un petit audit de sécurité indépendant en 2019, réalisé par les gars d’IncludeSecurity et pas de failles critiques ! Bon, quelques trucs à corriger par ci par là, mais globalement, c’est du solide. Si vous voulez jeter un œil au rapport, c’est par ici.
Notez que rPGP est utilisé en prod par Delta Chat, l’app de messagerie basée sur les mails et ça tourne nickel sur Windows, Linux, macOS, Android et iOS, en 32 et 64 bits. Que demande le peuple ?
Et si vous êtes du genre à tout vouloir faire tourner dans votre navigateur (ou dans Node.js, on ne juge pas), rPGP a même pensé à vous avec une feature wasm ! Par contre, les bindings sont encore expérimentaux, mais tout se trouve dans le repo rpgp/rpgp-js.
Allez, je vous laisse, j’ai des messages secrets à chiffrer moi !
Vous cherchez un moyen simple et efficace de sécuriser vos fichiers ?
Ça tombe bien, je vous ai déniché un petit outil bien pratique nommé File-Encryptor qui est un programme développé en Rust vous permettant de chiffrer et déchiffrer vos fichiers en un clin d’œil.
Ce programme utilise l’algorithme de chiffrement AES-GCM (Advanced Encryption Standard-Galois/Counter Mode), connu pour être très robuste, avec une clé de 256 bits. Le gros avantage de File-Encryptor, c’est qu’il supporte le chiffrement basé sur un mot de passe. Comme ça, pas besoin de vous trimballer une clé USB avec votre précieuse clé de chiffrement. Il vous suffit de choisir une phrase secrète, et hop, vos fichiers sont chiffrés en un rien de temps. Et si vous voulez rajouter une couche de sécurité supplémentaire, vous pouvez même ajouter des données d’authentification en bonus (comme votre mail par exemple).
Bref, si vous avez des documents sensibles à envoyer par email ou via une clé USB ou si vous voulez faire une sauvegarde bien sécurisée de vos précieux fichiers sur un cloud ou un disque dur externe, et bien un petit tour avec notre ami File-Encryptor et vous pouvez dormir sur vos deux oreilles.
Allez, assez parlé, je vous fais une petite démo pour que vous compreniez comment ça marche.
Première étape : générer une clé de chiffrement.
Ouvrez un terminal et tapez :
file-encryptor keygen > mykey.key
Vous pouvez aussi utiliser l’option -p ou --password pour générer une clé à partir d’un mot de passe de votre choix. Par exemple :
file-encryptor keygen -p "motdepasse123" > mykey.key
Notez bien que la clé AES256 générée est obtenue en hashant votre mot de passe avec l’algorithme SHA256. Bon à savoir !
Maintenant, passons au chiffrement proprement dit. Mettons que vous ayez un fichier texte nommé « secret.txt » à chiffrer. Rien de plus simple :
file-encryptor seal secret.txt < mykey.key > secret.encrypted
Et si vous voulez ajouter des données d’authentification, rajoutez l’option -a suivie d’une chaîne de caractères. Par exemple votre email :
file-encryptor seal secret.txt -a "[email protected]" < mykey.key > secret.encrypted
Pour déchiffrer votre fichier, c’est tout aussi facile. Il vous suffit de taper :
file-encryptor open secret.encrypted < mykey.key > secret.decrypted.txt
Et n’oubliez pas de préciser les données d’authentification si vous en aviez utilisé lors du chiffrement :
file-encryptor open secret.encrypted -a "[email protected]" < mykey.key > secret.decrypted.txt
Et voilà, le tour est joué ! Vous savez désormais comment chiffrer et déchiffrer des fichiers comme un pro avec File-Encryptor. Franchement, c’est pas sorcier et ça peut dépanner dans un tas de situations.
Cliquez ici pour mettre la main sur ce petit outil bien pratique. Et n’oubliez pas : la paranoïa est votre meilleure amie dans ce monde de brute (force) !
2 bidouilleurs viennent de prouver qu’avec un peu d’astuce et beaucoup de persévérance, on pouvait cracker les coffres-forts numériques les mieux gardés.
Leur cible ? Un wallet Bitcoin contenant la bagatelle de 3 millions de dollars, verrouillé par un mot de passe de 20 caractères généré par le gestionnaire de mots de passe Roboform en 2013. Le propriétaire, un certain Michael, avait perdu ce sésame et pensait son magot à jamais inaccessible. Mais c’était sans compter sur la détermination de Joe Grand et de son pote Bruno, bien décidés à relever le défi.
Michael, propriétaire de la cryptomonnaie depuis 2013, avait stocké ses 43,6 BTC (valant environ 5 300 dollars à l’époque et environ 3 millions aujourd’hui) dans un fichier chiffré par TrueCrypt contenant le mot de passe généré par Roboform, qu’il n’avait pas entré dans le gestionnaire de mots de passe par peur d’un hack. Malheureusement, le fichier chiffré s’est retrouvé corrompu, et Michael perdit l’accès à son portefeuille.
Joe Grand, ingénieur électrique et hacker de renom, avait refusé la première demande d’aide de Michael en 2021, jugeant la tâche irréalisable sans une faille dans Roboform. Cependant, en 2022, Michael a retenté sa chance. Après des mois à décortiquer le code de Roboform, Joe Grand et Bruno découvrirent que les anciennes versions d’avant 2015, utilisaient une méthode de génération de mots de passe basée sur l’horloge du système. En connaissant la date et l’heure exacte de création, ainsi que les paramètres du mot de passe, ils ont alors pu reconstituer le mot de passe d’origine.
Initialement, Michael ne se souvenait pas de la date précise de génération de son mot de passe. Selon les journaux de son portefeuille, il avait commencé à y transférer des Bitcoins le 14 avril 2013. En analysant la chronologie et les paramètres habituels, Joe et Bruno cherchèrent d’abord dans la plage du 1er mars au 20 avril 2013, puis jusqu’au 1er juin 2013, sans succès. Ce n’est qu’après de multiples ajustements, et en excluant les caractères spéciaux, qu’ils parvinrent à générer le mot de passe correct créé le 15 mai 2013 à 16:10:40 GMT.
La faille se trouvait dans l’algorithme de génération des mots de passe des anciennes versions de Roboform, qui n’était pas aussi aléatoire que prétendu. Elle permettait de reconstituer un mot de passe en manipulant l’horloge de l’ordinateur pour remonter dans le temps. Tout est expliqué dans la vidéo ci-dessous :
Il est à noter que depuis la version 7.9.14 de juin 2015, Roboform affirme avoir corrigé cette faille et avoir amélioré la génération aléatoire des mots de passe. Cepandand, Joe Grand reste sceptique face à cette déclaration de Roboform car ces derniers n’ont pas recommandé explicitement aux utilisateurs de générer de nouveaux mots de passe pour leurs comptes après cette mise à jour, ce qui laisse potentiellement des mots de passe vulnérables en circulation.
Bref, un mot de passe n’est pas infaillible même s’il est généré par un outil réputé et il vaut mieux utiliser des phrases de passe longues et complexes, les changer régulièrement et activer la double authentification partout où c’est possible. N’ayez pas non plus une confiance aveugle dans les générateurs de mots de passe, surtout s’ils ont quelques années au compteur.
Bref, soyez prudent et bien joué Michael, pour qui la vie va sûrement changer à partir de maintenant.
Grosse panique sur la blockchain Ethereum ! Alors qu’on pensait la technologie des registres distribués imparable, voilà qu’elle se fait braquer en un clin d’œil par deux petits génies de l’informatique. Anton et James Peraire-Bueno, deux frérots qui ont étudié au MIT, une des facs les plus prestigieuses des States, ont mis au point un plan diabolique pour s’enrichir sur le réseau Ethereum.
Les frangins ont bien travaillé et ont réussi à exploiter une vulnérabilité dans le protocole mev-boost, qui permet aux validateurs de vendre leur espace de bloc à un marché ouvert d’acteurs spécialisés appelés « builders ». En se faisant passer pour des validateurs légitimes, les frères ont pu accéder au contenu des blocs avant leur publication et en extraire des transactions lucratives !
Résultat des courses : 20 millions de dollars de cryptos qui s’envolent en quelques secondes chrono. Un casse éclair daté du 3 avril 2023, qui en laisse plus d’un sur le carreau et qui pourrait bien faire trembler tout l’écosystème. C’est que la confiance, c’est la base des échanges sur ces réseaux !
Mais attention, les frères Peraire-Bueno sont loin d’être des enfants de chœur. Pour planquer leur magot, ces petits malins ont tout prévu : des sociétés-écrans, des comptes dans tous les sens et même un plan d’attaque en règle pour brouiller les pistes. Sauf que c’était sans compter sur les fins limiers du fisc américain, qui ont flairé l’embrouille et décortiqué tout le stratagème. Parce que bon, faire des recherches sur Google pour savoir comment blanchir du pognon, c’est un peu cramé comme technique… Bref, les frangins risquent maintenant 20 ans à l’ombre pour chaque chef d’accusation. Pas sûr que ça valait le coup !
Mais au-delà de l’histoire rocambolesque, c’est toute la sécurité des blockchains qui est remise en question. Si même le sacro-saint Ethereum peut se faire dépouiller en deux temps trois mouvements, où va-t-on ? Les experts s’écharpent déjà sur les forums pour savoir si c’est un bug isolé ou une faille béante dans le système de « proposer-builder separation » (PBS) utilisé par mev-boost.
Heureusement, la communauté Ethereum réagit rapidement. Un patch a été déployé dès le 3 avril pour colmater la brèche exploitée par les frères Peraire-Bueno. D’autres vulnérabilités potentielles ont aussi été identifiées et des contre-mesures mises en place, comme l’ajout d’un délai limite pour empêcher les validateurs malveillants de demander un bloc trop tard.
Mais bon, il reste encore du boulot alors on espère que les développeurs, chercheurs en sécurité, opérateurs de relais mev-boost… travailleront main dans la main pour renforcer le protocole mev-boost et les futures implémentations de PBS.
Pour en savoir plus sur les détails de cette affaire, vous pouvez consulter l’annonce du Department of Justice et l’acte d’accusation officiel. Et pour aller plus loin, jetez un oeil au dépôt GitHub de mev-boost et aux discussions de la communauté autour de cet incident.
Le célèbre lanceur d’alerte Edward Snowden vient de tirer la sonnette d’alarme sur Twitter. Selon lui, les développeurs de Bitcoin ont intérêt à se bouger les fesses pour intégrer des fonctionnalités de confidentialité au niveau du protocole, sinon ça va sentir le roussi !
Snowden a balancé ça en réponse à une annonce de Wasabi Wallet qui a dû suspendre ses services pour les utilisateurs américains. Eh oui, les autorités US s’attaquent en ce moment à plusieurs projets qui osent protéger un tant soit peu la vie privée des utilisateurs de cryptos. Même Trezor, le célèbre fabricant de hardware wallets, a dû mettre un terme à sa fonctionnalité CoinJoin qui permettait d’anonymiser un peu les transactions.
C’est la suite logique de l’arrestation du fondateur de Tornado Cash, l’année dernière que le département de la justice américain (DOJ) accuse carrément de blanchiment d’argent et de complot ! Tout ça parce qu’ils ont développé un outil pour protéger la vie privée des utilisateurs…
Mais c’est la définition même de « service de transmission monétaire » qui pose problème puisque les procureurs US ont décidé de l’étendre à toutes les sauces, même aux développeurs de wallets qui n’ont aucun contrôle direct sur les fonds des utilisateurs. Autant dire que ça fout un sacré bordel.
Coin Center, un groupe de défense des libertés numériques, parle carrément de violation de la liberté d’expression et de la vie privée et estime que la position du DOJ est une interprétation agressive et démesurée de la loi. Même le FBI s’y met en mettant en garde les Américains contre l’utilisation de services non enregistrés.
Alors qu’est ce que ça implique concrètement pour les utilisateurs lambda ? Eh bien, disons que si vous tenez à votre vie privée, il va falloir redoubler de prudence parce que les plateformes qui exigent une vérification d’identité (le fameux KYC) sont de véritables pièges ! Une fois que votre wallet perso a interagi avec l’une d’entre elles, c’est foutu puisque tout votre historique de transactions en plus d’être exposée au grand jour, est forcement lié à votre identité.
Heureusement, il existe encore quelques solutions pour garder un semblant d’anonymat. Les monnaies confidentielles comme Monero ou Zcash par exemple, qui intègrent des mécanismes de confidentialité directement dans leur protocole. Mais attention, même ces outils ne sont pas parfaits et nécessitent de bien savoir ce qu’on fait.
En attendant, on ne peut qu’espérer que les développeurs de Bitcoin et des autres cryptos prennent au sérieux cet avertissement de Snowden et se bougent pour intégrer des fonctionnalités de confidentialité robustes au cœur même des protocoles. Des mécanismes comme les preuves à divulgation nulle de connaissance (zk-SNARKs) pourraient permettre d’avoir une vraie confidentialité au niveau protocolaire.
En tout cas, une chose est sûre : la bataille pour la vie privée est loin d’être gagnée et il va falloir rester vigilants si vous ne voulez pas vous retrouver à poil sur la blockchain !
Connexion
