Protection des données
Bonjour,
Quelles sont quelques mathématiques utilisées dans la protection des données personnelles ?
Merci !
Quelles sont quelques mathématiques utilisées dans la protection des données personnelles ?
Merci !
Connectez-vous ou Inscrivez-vous pour répondre.
Réponses
Il y a le watermarking aussi.
(mettre un mot de passe sur son ordinateur ne garantit pas la protection des données)
*: même si peu de gens l' utilisent.
**: extraire le disque dur protégé de la sorte et essayer de le lire sur un autre ordinateur ne sera pas possible simplement voire tout simplement impossible (si on ne possède pas le mot de passe)
Je ne suis pas un expert loin de là, mais je pense que c'est utilisé à fond dans les échanges d'informations sur internet, paiements en ligne etc.
Wikipedia dit :
"Lorsque deux personnes souhaitent s'échanger des informations numériques de façon confidentielle, sur Internet par exemple avec le commerce électronique, celles-ci doivent recourir à un mécanisme de chiffrement de ces données numériques. RSA étant un algorithme de chiffrement asymétrique, celui-ci hérite du domaine d'application de ces mécanismes de chiffrement. On citera :
- l'authentification des parties entrant en jeu dans l'échange d'informations chiffrées avec la notion de signature numérique ;
- le chiffrement des clés symétriques (nettement moins coûteuse en temps de calcul) utilisées lors du reste du processus d'échange d'informations numériques chiffrées."
Donc RSA est utilisé également pour chiffrer des clé symétriques qui seront ensuite utilisées pour communiquer.
Une vidéo qui explique de façon basique mais intéressante ces problèmes de chiffrements.
Le système RSA était encore récemment étudié en classe de mathématiques de terminale S (je ne sais pas ce qu'il en est aujourd'hui)
Un autre point important est la signature électronique et les fonctions de hash(age). Si l'on accompagne un message d'un hash du texte et des métadonnées, que l'on signe le hash (RSA peut faire ça ; a priori, tous les algos asymmétriques le peuvent), on peut envoyer (message avec métadonnées + hash + signature du hash). À la réception, on calcule le hash de (message reçu avec métadonnées), on vérifie que c'est le hash envoyé puis on vérifie la signature fournie de ce hash. S'il n'y a pas de faille dans les algos ni dans leur implémentation, on peut alors être certain de l'intégrité du message (tel que l'a signé l'envoyeur).
De toute façon même si c'était juste un chiffre plutôt long, si long qu'il soit trop dur de retrouver les facteurs premiers. Je ne vois pas en quoi connaître les facteurs premiers d'un code wifi va m'aider, ce dont j'ai besoin c'est le clef public peut importe comment elle est générée non ? Ou alors la manière de la générer est importante pour éviter qu'on la retrouve facilement c'est ça ? Genre les codes pin obvious 0000
Ce qui est révolutionnaire dans ces systèmes cryptographiques est que tu (toi le destinataire) mets à disposition publiquement une clef qui permet le chiffrement d'un message et que seul le destinataire du message (et son envoyeur) sont les seuls* en mesure de connaître le contenu message.
PS:
Tu vas me dire que l'expéditeur et le destinataire pourrait échanger secrètement des clefs de chiffrement et on obtiendrait le même résultat. Mais il y a le risque que cette communication soit interceptée par un attaquant.
Et à chaque fois que quelqu'un veut envoyer un message secret au destinataire il faut renouveler cette démarche.
*: si on suppose que le système de chiffrement n'a pas été "cassé".
Ah d'accord alors ça s'utilise beaucoup comme on peut s'en douter. Le truc c'est que c'est fait en cachette je m'en rend pas du tout compte lors de mon expérience d'utilisateur... C'est dans le background tellement que je ne vois pas comment ça marche leur affaire. Par exemple pour les échanges de courriels. J'imagine que les boîtes mails ne peuvent tolérer des vols de mails.
Pour l'intrusion dans la boîte mail, là je vois en tant qu'utilisateur, c'est les mots de passes, les vérifications par téléphone et tout ça.
Mais c'est tout ? Par exemple, peut-on capter un mail pendant qu'il "transite" entre deux personnes ? Auquel y'a-t-il utilisons un chiffrement du message puis un déchiffrement lorsqu'il est reçu ?
Je suis juste curieux mais j'imagine que ça demande de suivre une formation en info pour comprendre comment ça marche. Cet été je pourrais lire des livres mais là c'est un teaser on va dire.
Par défaut, les systèmes d'exploitation ne sont pas installés avec des partitions cryptées. Il faut que l'utilisateur l'ait voulu et est fait en conséquence ce qu'il fallait. Mais il y a des inconvénients: en cas de défaillance du système d'exploitation tu te retrouves certainement sans alternative pour récupérer des fichiers qui te tiennent à coeur alors que, par exemple, il y a des moyens* de récupérer des fichiers effacés par erreur si tes partitions ne sont pas cryptées.
PS:
Je me suis déjà fait voler plusieurs boîtes de courriel (sans conséquence dramatique pour le moment). Mais il y a maintenant des mécanismes, qui n'ont rien à voir avec la cryptologie qui permettent le plus souvent de reprendre le contrôle de ta boîte mail de courriel. Par exemple: le fournisseur te demande ton numéro de portable. Grâce à ton numéro de portable tu peux t'authentifier comme étant le propriétaire d'une boîte de courriels. Evidemment si le voleur te pique aussi ton téléphone portable...
*: Cet utilitaire peut être très utile:
https://fr.wikipedia.org/wiki/TestDisk
Oui c'est exactement ça.
Autre exemple : lorsque tu te connectes à ton e-Banking pour faire des paiements en ligne, il faut que ton mot de passe de connexion ne soit pas transmis en clair (dans la fibre optique, wifi ou autre). Il sera donc crypté d'abord. Ainsi si quelqu'un intercepte ton envoi avant qu'il arrive sur le serveur approprié, il aura ton mot de passe mais crypté et il ne pourra pas l'utiliser.
Mais tout ça est géré automatiquement et tu ne t'en rends pas compte.
Edit : le traitement des mots de passe est différent comme me l'a rappelé FdP.
Certains systèmes d'authentification fonctionnent de la sorte:
Tu te connectes à un serveur pour t'authentifier, celui-ci t'envoie une chaîne de caractères aléatoires à chiffrer avec ton mot de passe et tu renvoies au serveur un condensé du résultat de toutes ces opérations qui se font automatiquement.
De la sorte aucun mot de passe n'est transmis. Le serveur t'authentifie parce qu'il a fait la même manipulation et il considère que si tu renvoies le même condensé (hash code) que celui qu'il a calculé tu es authentifié.
PS:
Deux chaînes de caractères différentes peuvent conduire au même condensé. Ce qu'on appelle je crois une collision.
Les algorithmes pour créer des condensés sont relativement standard (il s'agit de ne pas utiliser un algorithme qui produit trop de collisions). Si tu connais l'algorithme utilisé pour créer le condensé dans certains cas il est possible d'en déduire une collision.
Peut-être que mises en confiance par l'utilisation du https, certaines applications transmettent le mot de passe en clair.
Comment le savoir avec certitude?
On trouve sur internet des récits de gens qui racontent le cauchemar (cela peut en devenir un) de l'usurpation d'identité.
Je me souviens avoir lu celui d'un homme qui pense que l'usurpation a été rendue possible parce qu'il a fourni des documents (feuilles de salaires, carte d'identité...) pour devenir locataire d'un appartement.
Ces documents ont été utilisés par un tiers pour obtenir des crédits à la consommation. Vous imaginez aisément la suite.
Il y a un moyen de décourager (c'est très loin d'être infaillible) l'utilisation indue de document sous forme numérique.
Sur chaque copie, tu rajoutes un marquage qui indique à qui est destinée la copie.
Parce qu'autrement, même si le canal pour envoyer ces documents est sécurisé tu ne sais pas comment ils seront stockés par le destinataire et qui y aura accès.
Brian:
Si l'école faisait son travail, plus personne n'écrirait sans chiffrer ses courriels.
A chaque fois que tu envoies un document dans un courriel il y a gros à parier qu'il va être récupéré par le fournisseur du service qui l'analysera pour aller grossir des fichiers de big data. On peut se dire que ce n'est pas grave car pour le moment ce qu'est à des fins commerciales mais on a pris de mauvaises habitudes (qui sont très certainement catastrophiques pour des entreprises françaises) qu'il sera difficile de corriger.
PS:
A propos de ça. Un de mes amis il y a quelques temps a reçu plusieurs lettres d'une administration qui ne lui étaient pas destinées mais qui portaient son adresse.
Par inadvertance il en a ouvert une. Il y était question d'une création d'entreprise domiciliée à son adresse*. Mais mon ami n'a pas créé la société dont il était question et ne connaissait pas plus l'individu en question.
Je lui ai fait comprendre qu'en cas de malversation c'est à son adresse qu'on viendrait demander des comptes et comment expliquer, à 6-7h du matin à un officier de police judiciaire que tu ne connais pas un individu qui est censé résider chez toi?
Finalement il s'est rendu à un commissariat et cela a débouché sur un dépôt de plainte pour escroquerie (sur les conseils du fonctionnaire de police qui l'a reçu)
Il se peut que ce n'était qu'une erreur qui s'est glissée en remplissant un formulaire mais si tu ne fais rien tu peux possiblement te retrouver au coeur d'un cauchemar sans nom.
*: il a eu la curiosité de regarder sur des sites répertoires d'entreprises, il y a trouvé cette entreprise domiciliée à son adresse.
Nous avons peut-être lu le même témoignage : J’ai testé pour vous : se faire usurper son identité (journal posté sur LinuxFR.org). C'est tout bonnement kafkaïen.
En effet, je pense que j'ai lu ce témoignage-ci. Même si tout ceci est bidon je dois avouer que je l'ai trouvé effrayant et convaincant.
PS:
Cela m'a rappelé une histoire mésaventure qui est arrivée à mon père.
Mon père avait revendu une voiture à une personne. Après ça, Il recevait régulièrement des contraventions de circulation pour des infractions commises par le nouveau propriétaire de ce véhicule qui n'avait pas fait le nécessaire pour le changement de propriété je pense.
(c'était il y a longtemps)