Add section numbers

This commit is contained in:
Florian Maury 2022-05-28 14:40:42 +02:00
parent 486a82ca03
commit 7a256cd825
No known key found for this signature in database
2 changed files with 28 additions and 28 deletions

View file

@ -63,9 +63,9 @@ Pour le lecteur intéressé, la sécurité de Telegram a fait lobjet de discu
dApple iMessage [^IMSG]. WeChat ou encore Slack sont hors sujet, puisquils ne
proposent pas de chiffrement de bout en bout.
# Les protocoles inadéquats pour la messagerie quasi instantanée
# 1. Les protocoles inadéquats pour la messagerie quasi instantanée
## OpenPGP
## 1.1. OpenPGP
OpenPGP est un format de stockage de messages et de clés cryptographiques,
spécifié dans sa version la plus récente en 2007 [^OPGP]. Il est notamment
@ -95,7 +95,7 @@ est sujette à des attaques par dégradation du niveau de sécurité (*downgrade
attack*) [^FORA] et lautre use de signatures cryptographiques non répudiables,
ce qui nest pas toujours souhaitable.
## Off-the-Record
## 1.2. Off-the-Record
Le protocole *Off-the-Record* a été spécifié, pour la première fois, en 2004 ;
sa version la plus récente date de 2012. Ce mécanisme permet léchange de clés
@ -145,7 +145,7 @@ entiers de 1536 bits avec un groupe fixé par la spécification. Lusage de ce
cryptographie datée est contraire aux bonnes pratiques actuellement reconnues.
# X3DH+Double Ratchet
# 2. X3DH+Double Ratchet
Les protocoles X3DH et Double Ratchet ont été inventés par Trevor Perrin et
Moxie Marlinspike. En 2013, il sagissait, en fait, dun seul et même protocole
@ -170,7 +170,7 @@ Pour effectuer ces opérations sur les clés, les deux protocoles emploient de l
cryptographie moderne : XEdDSA, une extension à EdDSA, sur les courbes
elliptiques curve25519 ou curve448 [^XDSA], SHA2 et HKDF [^HKDF].
## X3DH
## 2.1. X3DH
Chaque utilisateur du protocole X3DH doit générer et publier un ensemble de
biclés cryptographiques. Ces clés doivent être compatibles avec les fonctions
@ -241,7 +241,7 @@ elle est non répudiable, ne prévient pas cette propriété puisquelle est
totalement décorrélée de léchange de clés et nintervient que pour « certifier
» la clé à moyen terme.
## Double Ratchet
## 2.2. Double Ratchet
Double Ratchet repose sur deux mécanismes de rafraîchissement des clés. Ces deux
mécanismes confèrent son nom à cet algorithme, puisquils utilisent tous deux, à
@ -296,7 +296,7 @@ noter que conserver ainsi les clés, au lieu de les supprimer dès que possible,
peut mettre en péril la confidentialité persistante, en cas de compromission
dun équipement.
## Intégration de X3DH+Double Ratchet dans OMEMO
## 2.3. Intégration de X3DH+Double Ratchet dans OMEMO
La première version dOMEMO a été spécifiée par Andreas Straub en 2015, avec
laide de Daniel Gultsch, développeur principal du client XMPP Conversations. En
@ -352,7 +352,7 @@ confidentialité persistante. Il lui suffit denvoyer un message « de service
dont le seul objet est de rafraîchir le secret racine. Cette situation semble,
dans tous les cas, préférable à labsence totale du quatrième échange DH.
# Des divergences entre Signal et le protocole OMEMO
# 3. Des divergences entre Signal et le protocole OMEMO
Signal et le protocole OMEMO sont par certains aspects très similaires.
Certaines implémentations dOMEMO utilisent, en effet, la bibliothèque
@ -364,7 +364,7 @@ les identifiants et larchitecture réseau, linfrastructure de gestions de
lusage qui est fait de ces clés, lexistence de documentation de qualité et la
capacité à auditer le protocole.
## Les identifiants et linfrastructure réseau
## 3.1. Les identifiants et linfrastructure réseau
Alors qu'OMEMO utilise une infrastructure répartie, où chaque utilisateur
choisit son fournisseur de services, grâce au réseau fédéré XMPP, Signal préfère
@ -423,7 +423,7 @@ exclusivement ou sur un mélange des deux. Finalement, pour la géolocalisation
des serveurs, linfrastructure répartie de XMPP permet de jongler à volonté avec
la localisation administrative et juridique des serveurs.
## Linfrastructure de gestion de clés
## 3.2. Linfrastructure de gestion de clés
Les serveurs gérés par Open Whisper Systems sont responsables du stockage des
clés publiques de tous les utilisateurs, et de distribuer ces clés aux nouveaux
@ -485,7 +485,7 @@ cryptographique de 256 bits. Il existe un risque dutiliser plusieurs fois une
clé à usage unique, mais le protocole prévoit une contre-mesure pour raccourcir
la durée de lincident.
## Usage des clés symétriques
## 3.3. Usage des clés symétriques
Signal chiffre les messages à laide dAES256 en mode CBC et ses motifs
dintégrité sont calculés avec HMAC-SHA256 dont le résultat est tronqué à 64
@ -513,7 +513,7 @@ bombardement de messages frauduleux jusquà réussir à forger un motif corre
En comparaison, OMEMO emploie AES256 avec le mode de chiffrement authentifié
GCM, considéré à létat de lart.
## Documentation et audits
## 3.4. Documentation et audits
Signal est une cible mouvante. Jusqualors dénué de documentation, par une
volonté affichée de ses développeurs, ce nest que sur la pression croissante de
@ -531,7 +531,7 @@ extension expérimentale du protocole XMPP. Il a récemment subi un audit, ayant
révélé divers points dattention [^Audi], qui ont été rapidement pris en compte
par le protocole et au moins certaines implémentations.
# Conclusion
# 4. Conclusion
Cet article a détaillé les atouts et inconvénients de plusieurs protocoles
permettant la sécurisation de messageries quasi instantanées. La figure 4
@ -603,13 +603,13 @@ Pour le lecteur intéressé, lapplication libre Conversations implémente OME
---
# Remerciements
# 5. Remerciements
Je tiens à remercier mes relecteurs : Piotr Chmielnicki, François Contat, Arnaud
Ebalard, Sarah De Haro, Olivier Levillain, Mickaël Salaün, et Guillaume Valadon.
Les idées exprimées dans cet article ne sauraient les engager.
# Réferences
# 6. Réferences
[^OTR]: https://otr.cypherpunks.ca/

View file

@ -53,7 +53,7 @@ dintégrité cryptographique des enregistrements DNS, que ce soit pour récup
les politiques de sécurité évoquées ci-dessus, ou pour effectuer une
vérification de certificats efficace.
# État des lieux
# 1. État des lieux
Cette section dresse un état des lieux du déploiement des technologies utilisées
dans lécosystème SMTP et qui peuvent être sécurisées grâce à DNSSEC. Des
@ -61,7 +61,7 @@ mesures actives ont été effectuées par lauteur de cet article en vue de
présenter au lecteur une image dénombrée. Loutil de mesures, la méthodologie,
ainsi que les résultats bruts peuvent être consultés en ligne [^collect].
## TLS pour SMTP
## 1.1. TLS pour SMTP
Dans le précédent numéro de MISC, Arthur Provost et Olivier Levillain
présentaient les résultats de mesures actives sur les serveurs SMTP afin
@ -96,7 +96,7 @@ de sécurité pour les fournisseurs de service de courriers électroniques allem
sétant autosaisis de la problématique. Il est intéressant de noter que le BSI
encourage lemploi de DNSSEC dans son document.
## DNSSEC
## 1.2. DNSSEC
Lauteur de cet article décrivait dans ces mêmes colonnes, en 2012, trois
mécanismes employant DNSSEC afin de venir au secours de la validation des
@ -123,7 +123,7 @@ Certaines autorités de certification, comme Lets Encrypt, implémentent
cependant la validation DNSSEC de leur propre chef pour lémission de
certificats DV ; un fait à porter à leur crédit.
## SPF
## 1.3. SPF
{{< abbr SPF "Sender Policy Framework" >}} [^RFC7208] est une politique de
sécurité permettant à un émetteur de courriers électroniques de spécifier la
@ -151,7 +151,7 @@ premier niveau (en anglais, {{< abbr TLD "Top-Level Domain" >}}) « .fr » est
denviron 37%. Cependant, seuls 7,4% des zones étudiées contiennent des
enregistrements SPF signés avec DNSSEC.
## DKIM
## 1.4. DKIM
{{< abbr DKIM "DomainKeys Identified Mail" >}} Signatures [^RFC6376] est une
politique de sécurité permettant à un émetteur de courriers électroniques de
@ -197,7 +197,7 @@ pas DKIM. Seul 1% des domaines étudiés sont susceptibles dutiliser DKIM et
signés avec DNSSEC. Ces 1% constituent la borne haute du nombre de noms de
domaine utilisant DKIM avec une protection contre les attaquants actifs.
## DMARC
## 1.5. DMARC
{{< abbr DMARC "Domain-based Message Authentication, Reporting and Conformance"
>}} [^RFC7489] est une politique de sécurité publiée dans le DNS, permettant de
@ -226,13 +226,13 @@ dans la section 1.2, seuls 12,5% des domaines étudiés sont signés avec DNSSEC
sont donc à labri de toute attaque active impliquant DMARC en vue dexfiltrer
le contenu des courriers électroniques.
# Modélisation dun attaquant actif
# 2. Modélisation dun attaquant actif
Dans cette section, nous allons exposer une liste non exhaustive des
possibilités dun attaquant actif à lencontre de SMTP sur TLS, en vue de casser
la confidentialité des métadonnées ou des échanges en général.
## Négociation TLS
## 2.1. Négociation TLS
Certains protocoles, comme IMAP ou POP disposent dun mode dusage de TLS dit «
implicite ». Cela signifie que la version sécurisée de ces protocoles dispose
@ -318,7 +318,7 @@ Certificate Transparency est une technologie et un écosystème qui permettent a
---
## Remplacement des enregistrements MX
## 2.2. Remplacement des enregistrements MX
Lorsquun serveur SMTP cherche à envoyer un courrier électronique à un tiers inconnu, la recherche du serveur SMTP à contacter seffectue grâce au DNS. Pour cela, une recherche denregistrement de type MX (pour Mail eXchanger, ou relais de courriers, en français) est initiée. Ces enregistrements contiennent les noms des serveurs SMTP à contacter, noms qui doivent ensuite être résolus en adresse IP. Voici un exemple denregistrements MX :
@ -385,7 +385,7 @@ Ensuite, utiliser SNI présente le défaut de divulguer une partie des métadonn
(le nom du domaine du destinataire parmi les N domaines cohébergés) à un
attaquant passif écoutant le réseau.
# La contre-mesure : DNSSEC et DANE
# 3. La contre-mesure : DNSSEC et DANE
Comme vu dans les précédentes sections de cet article, DNSSEC fournit une aide
contre les attaquants actifs. Notamment, les signatures cryptographiques des
@ -462,7 +462,7 @@ le mode dane de Postfix permet un déploiement progressif, offrant une sécurit
contre les attaquants actifs si DANE est employé, et conservant le chiffrement
opportuniste dans le cas contraire.
# Conclusion
# 4. Conclusion
Dans cet article, nous avons étudié différentes menaces pouvant affecter les
échanges de courriers électroniques, en présence dun attaquant actif. La figure
@ -496,7 +496,7 @@ rapports dans son validateur DMARC, lorsque la configuration logicielle le
permet, afin déviter les exfiltrations de métadonnées sur les courriers
électroniques.
# Remerciements
# 5. Remerciements
Je tiens à remercier mes relecteurs, Baloo (@baloose), Olivier Levillain et
Christophe Malinge, pour leurs remarques constructives qui ont significativement
@ -505,7 +505,7 @@ contribué à lamélioration de cet article.
Merci également à Claudio Fiandrino pour son code TikZ pour topologies réseaux,
publié en [^CCBy].
# Références
# 6. Références
[^collect]: Outil de mesures DNS développé pour cet article : https://github.com/X-Cli/collectDNSSECEmailStats