PGP se met au français

Cloud

La version française du célèbre logiciel de cryptage PGP est gratuitement disponible sur le Web.

Devenu légal en France depuis l’adoption des décrets libéralisant le cryptage à l’aide de clés de 128 bits, le logiciel en freeware PGP (Pretty Good Privacy) est désormais disponible dans la langue de Molière. Dans sa dernière version 6.5.1 pour Windows uniquement, le logiciel peut s’installer dans Outlook Express 5.0 pour chiffrer son courrier électronique ou ses documents joints.

Considéré l’an dernier comme illégal aux yeux de la législation française, PGP peut être maintenant être utilisé sans crainte. Même s’il utilise un système d’authentification (les fameuses clés publique et privée) codé sur 512 à 4096 bits pour contrôler l’accès de l’utilisateur, le cryptage du document que l’on souhaite protéger s’effectue bien à l’aide d’une clé de 128 bits.

Diffusé gratuitement, à l’instar de Security Box de MSI (voir édition du 7 septembre 1999), PGP fait partie de l’arsenal nécessaire pour faire circuler sans crainte ses données. D’autant plus intéressant que, durant les derniers mois, des trous de sécurité ont été révélés à plusieurs reprises chez les serveurs de courrier électronique, par exemple chez Hotmail.

Les failles de sécurité pourraient même se multiplier. En Angleterre, la société nCipher assure qu’elle possède un outil permettant de déceler les clés de chiffrement sur les serveurs les plus populaires du Web (Apache, Netscape et Microsoft). Il s’agit d’un logiciel capable d’analyser la structure des données pour repérer les séquences de bits les plus aléatoires, là où se cachent les clés en général. La technique consiste à examiner la mémoire du serveur et d’en transformer les données en pixels, afin de repérer les motifs où se situe le maximum de « désordre ». Elle s’appuie sur les travaux théoriques de l’expert israélien Adi Shamir (le « S » du système de codage RSA). Selon Alex Van Sommeren, Pdg de nCipher, cette technique peut facilement donner accès aux numéros de carte bleue des clients d’une banque ou d’un marchand en ligne.

Enfin, une nouvelle preuve vient d’être apportée sur la faiblesse du cryptage à « seulement » 56 bits. La communauté Distributed.net a relevé le défi de la société CS Communications & Systèmes qui promettait en novembre une prime de 10 000 euros au premier individu ou organisme capable de casser sa clé de 56 bits. Il aura fallu 62 jours (et la contribution de 38 107 machines reliées en réseau) pour y arriver. La méthode consistait à tester toutes les clés possibles. On remarquera que le temps a joué contre eux : il aura fallu essayer 98 % des combinaisons possibles avant de trouver la bonne clé. Autrement dit, des crackers plus chanceux (mais tout de même nombreux) pourraient casser une telle clé beaucoup plus vite…

Pour en savoir plus :

* PGP en français

* nCipher

* La clef cassée de 56 bits