Site WWW de Laurent Bloch

Premiers circuits intégrés, naissance de Pascal

Raymond Juillerat — 2012-05-18T20:03:32Z

Raymond Juillerat a travaillé des années dans les meilleures institutions universitaires de Zürich et de Lausanne, ce qui l'a mis tôt au contact de nombreuses innovations techniques : voici un bref rappel de certaines d'entre elles.

Les premiers circuits intégrés, je m'en souviens. À l'institut du Polytechnicum de Zurich où je travaillais à ma thèse, un collègue testait ces premiers circuits venus des USA. C'était il y a 40 ans. Quatre ans plus tard (1976), j'adaptais un macro assembleur de Digital Equipment (DEC) sous RT-11 pour les microprocesseurs 8080, z80, 6800. Puis d'autres encore, le tout tournant sur PDP-11 (DEC). En 1982, en visite dans une firme, on m'a dit que cet assembleur croisé était encore toujours utilisé chez eux. Mais j'avais déjà cessé le développement dès 1981, car les producteurs s'étaient nettement améliorés question de logiciels pour leurs microprocesseurs.

D'autre part, je lisais hier dans un journal local un article présentant l'informaticien qui a fait la demande du domaine « .ch » il y a 25 ans. Et je le connais, je l'avais rencontré en 1976 à Zurich dans le cadre d'un projet de collaboration entre les deux Écoles Polytechniques EPF-L (Lausanne) où j'étais assistant et EPF-Z (Zurich) où lui, Bernhard Plattner, était aussi assistant. Il a poussé un soupir de satisfaction quand il a su que nous pouvions parler allemand ensemble, car nos connaissances d'anglais à tous les deux à l'époque étaient encore bien minces. Il s'agissait d'assembleurs croisés et de certaines idées qui ont abouti à Lilith, machine construite plus tard en collaboration avec Niklaus Wirth (auteur de Pascal).

Mais puisque j'en suis à Pascal et à son auteur, en 1970, comme assistant à l'EPF-Z je suis allé chez mes collègues de l'institut du professeur Wirth parce que je voulais utiliser ce Pascal. Ces assistants ne croyaient pas à un avenir à ce langage et m'ont assuré que je perdais mon temps. J'ai insisté, et je n'ai pas perdu mon temps ! C'est aussi un des premiers langages à avoir été utilisés pour programmer plus tard les microprocesseurs. Encore de la concurrence à mes assembleurs croisés. Je suis resté fidèle à Pascal, malgré les années, car il a évolué et avec Pascal-Objet, on a un outil fantastique de développement de logiciels.

Les microprocesseurs, leur histoire et leur avenir

Laurent Bloch — 2012-05-14T18:31:41Z

Sommaire-

À un an d'intervalle, les Communications of the ACM (CACM) ont publié deux articles qui, à eux deux, offrent une synthèse très complète des progrès passés et attendus de l'industrie des microprocesseurs et des procédés qui les ont permis : en mai 2011 (vol. 54 n°5), The Future of Microprocessors, par Shekhar Borkar d'Intel et Andrew A. Chien de l'Université de Californie à San Diego, dressait un panorama des voies d'amélioration des performances des microprocesseurs, celles qui ont été empruntées par le passé et celles qui seront praticables à l'avenir, puisque ce ne seront pas forcément les mêmes ; en avril 2012 (vol. 55 n° 4), CPU DB : Recording Microprocessor History, par Andrew Danowitz, Kyle Kelley, James Mao, John P. Stevenson et Mark Horowitz, tous du VLSI Research Group de l'Université Stanford, décrit la constitution d'une base de données publique et ouverte qui recueille les données architecturales les plus détaillées possibles sur 790 microprocesseurs construits au cours des 40 dernières années par 17 industriels [1], et expose les premiers résultats obtenus par l'analyse de ces données. Ces approches éclairent d'un jour nouveau la loi de Moore, qui est une loi empirique, en cela qu'ils en recherchent les variables explicatives et qu'ils proposent des modèles dont ils déduisent la part de l'évolution globale qui est expliquée par chacune de ces variables.

Les améliorations de performance « classiques »

Shekhar Borkar et Andrew A. Chien identifient trois domaines principaux qui ont permis à ce jour l'amélioration des microprocesseurs :

L'accélération de la commutation des transistors par la réduction de leur taille : tous les deux ans depuis 40 ans, la taille des transistors a diminué de 30%, ce qui a réduit leur surface de 50%, en d'autres termes doublé la densité du circuit. Cette réduction de la taille du circuit accroît les performances de 40%. Afin de maintenir un champ électrique constant, la tension est réduite de 30%, ce qui diminue l'énergie consommée de 65%, et la puissance de 50%. Chaque génération (deux ans) produit donc des processeurs 40% plus rapides, pour un budget énergétique équivalent.

Le perfectionnement de la micro-architecture par des techniques telles que :

- le pipeline, qui consiste à décomposer les instructions en opérations plus élémentaires, ce qui permet de commencer à exécuter une instruction avant que les précédentes ne soient terminées [2] ;

- l'architecture super-scalaire, qui consiste à multiplier les unités d'exécutions pour les opérations les plus fréquentes, ce qui permet un certain parallélisme ;

- l'exécution spéculative et l'exécution « dans le désordre » (out of order), qui consistent à exécuter des instructions « à l'avance », alors que l'on n'est pas sûr qu'elles vont être utiles, mais qui procurent des gains de temps d'exécution significatifs si la prédiction est judicieuse.

L'organisation de la mémoire-cache : le mot cache, curieux retour au français d'un emprunt anglais, suggère ici l'idée de cacher dans un coin (techniquement parlant, dans une zone de mémoire petite mais à accès très rapide) pour l'avoir sous la main une chose que l'on ne veut pas avoir à aller chercher à la cave ou au grenier (i.e., dans la mémoire centrale, vaste mais à accès lent par rapport à la vitesse du processeur), pour gagner du temps. Cette technique s'est développée parce que, si la capacité de la mémoire centrale a évolué parallèlement à la puissance des processeurs, sa vitesse a progressé moins vite. Si au début des années 1990 le temps d'accès à une position de mémoire se mesurait en dizaines de cycles de processeurs, vingt ans plus tard c'est en centaines de cycles : il a fallu trouver des procédés pour éviter que cette discordance croissante ne réduise à néant les bénéfices obtenus pas l'accélération des processeurs.

La technique du cache procure des augmentations de performances très spectaculaires, bien qu'aucun modèle général satisfaisant de son fonctionnement n'ait pu être proposé à ce jour. Une variante en est le TLB (Translation Lookaside Buffer), qui conserve « sous la main » les résultats les plus récents de traductions d'adresses virtuelles en adresses réelles, ce qui permet avec un très faible volume de données d'obtenir des accélérations spectaculaires [3].

Gisements d'amélioration en voie d'épuisement

Les voies classiques d'améliorations que nous venons de survoler continueront à être exploitées, mais depuis quelques années elles sont de moins en moins fructueuses, ne serait que parce qu'elles ont atteint certaines limites. Ainsi, la réduction de la taille des transistors approche de limites physiques : la géométrie des processeurs annoncés récemment (2012) repose sur des motifs de 22 nanomètres, c'est-à-dire que l'épaisseur du diélectrique des transistors est de quelques dizaines d'atomes. On ne pourra pas descendre beaucoup plus bas. De toute façon, après plus de trente ans de progrès exponentiels, la courbe des gains de performances en fonction de la taille des transistors a commencé à s'infléchir depuis cinq ou six ans. Par exemple, la tension d'alimentation diminue avec la taille des circuits, mais la diminution de la tension de seuil de commutation du transistor augmente le taux de fuite (le courant qui « passe » quand le transistor est dans l'état « non passant »), ce qui oblige à maintenir un seuil de tension de commutation moins bas, et ainsi à limiter le gain de performance espéré.

Mais le principal obtsacle auxquels les concepteurs de circuits se heurtent aujourd'hui est la consommation électrique : alors que pendant les trente premières années du microprocesseur on ne s'en souciait guère, c'est devenu une préoccupation essentielle, et pas uniquement pour des raisons écologiques. Que l'on songe au fait qu'une compagnie comme Google soit amenée à investir des centaines de millions de dollars dans l'énergie photovoltaïque et à installer ses fermes de serveurs au pied des centrales pour réduire la facture énergétique. Avec l'augmentation de la densité des composants et la réduction de la taille des machines, la dissipation calorique devient un problème crucial pour les datacenters, nouveaux noms des centres de calcul.

C'est en partie, mais pas seulement, pour des raisons de consommation électrique que le nombre d'étages des pipelines a commencé à diminuer. Le processeur Intel Pentium 4, par exemple, introduit en 2000, avait une géométrie de 65 nm et un pipeline de 31 étages, ce qui lui permettait d'afficher une fréquence d'horloge de 3,8 GHz. Cette fréquence élevée était en partie un élément de marketing, destiné à impressionner le public, parce que le gain marginal procuré par le dernier étage du pipeline est faible. Aujourd'hui les fréquences n'augmentent plus guère et on est revenu à des pipelines plus raisonnables, 16 étages pour l'architecture Nehalem à la base des processeurs Core i7 sortis en 2008.

Nouvelles orientations du progrès

Les processeurs les plus récents ont plus de deux milliards de transistors sur deux ou trois centimètres carrés : c'est plus qu'il n'en faut pour implanter toute la logique nécessaire, alors on fait des processeurs multi-cœurs, c'est-à-dire en fait des multi-processeurs (chaque cœur est un processeur simple), avec huit cœurs ou plus sur un même chip. Même ainsi, il reste plein de transistors disponibles : on les utilise pour installer de la mémoire, dont le temps d'accès sera ainsi excellent. On peut aussi embarquer à bord des fonctions qui étaient auparavant affectées à des composants séparés : décodage vidéo, cryptographie, réseau...

Mais la recherche s'oriente vers une utilisation plus subtile de cet énorme stock de transistors disponibles. Puisque qu'ils sont en abondance, et qu'en outre les utiliser tous ensemble à leur fréquence maximum entraînerait une consommation électrique et une dissipation thermique intolérables (l'extrapolation des tendances actuelles donnerait 500 W par centimètre carré en 2018), l'idée est, plutôt que de multiplier les cœurs généralistes identiques les uns aux autres, d'en mettre moins, qui seront associés à de la mémoire, moins consommatrice d'énergie, et aussi d'implanter des cœurs spécialisés pour certains traitements, qui ne serviront peut-être pas souvent, mais qui donneront de bons résultats quand on en aura besoin.

D'autres possibilités sont explorées : mieux organiser les accès à la mémoire de façon à placer les données le plus près possible des circuits qui doivent y accéder, hiérarchiser les lignes de communication (bus) entre les groupes de cœurs et optimiser le placement des tâches sur les cœurs en fonction des accès aux données, voire utiliser une partie du budget de transistors pour des circuits logiques programmables (Field-programmable Gate Array, FPGA), c'est à dire du matériel modifiable à la volée par l'utilisateur, ce qui existe déjà, mais avec des performances inférieures à celles des microprocesseurs actuels.

Décomposition en facteurs de la loi de Moore

La base de données publique et ouverte du VLSI Research Group de l'Université Stanford présente l'intérêt intrinsèque de regrouper toutes sortes de données techniques sur un grand nombre de microprocesseurs (on notera que Wikipédia en anglais est aussi une source très riche, et complémentaire, sur le même sujet) ; en outre, les auteurs de l'article ont profité de cet ensemble de données riches et normalisées pour se livrer à des analyses statistiques destinées à éclairer l'évolution des processeurs depuis quarante ans. Il est à noter que les lecteurs sont invités à contribuer à l'enrichissement de la base de données, qu'ils peuvent la télécharger intégralement pour leur usage personnel, et que les auteurs donnent le texte des procédures R qu'ils ont utilisées pour leurs analyses, ce qui facilitera grandement le travail de celui qui voudrait produire ses propres analyses.

La plupart des processeurs modernes peuvent adapter leur fréquence d'horloge et leur tension d'alimentation à la tâche qu'ils effectuent à un instant donné, ce qui complique l'étude de l'évolution de ces variables au fil des améliorations de la technologie.

Afin de pouvoir comparer raisonnablement les performances de processeurs de conception et de réalisation technique très différentes, à cause principalement des progrès des procédés de fabrication, nos auteurs ont dû mettre au point une méthodologie de normalisation de la technologie. Pour ce faire ils ont cherché à estimer le facteur d'échelle procuré par la technologie à la performance.

Il leur fallait définir une métrique pour la performance : ils se sont appuyés surtout sur les résultats de la suite de benchmark SPEC 2006, et pour les processeurs trop anciens, sur les versions antérieures de SPEC (1989, 1992, 1995 et 2000). Pour établir des abaques de passage d'une métrique à une autre ils se sont appuyés sur l'existence de processeurs pour lesquels étaient disponibles des résultats dans deux échelles successives.

Pour estimer la performance que procurerait un processeur ancien s'il était réalisé selon une technologie plus moderne, le facteur fréquence d'horloge est certes déterminant, mais il doit être pondéré par le temps d'accès à la mémoire, qui a progressé beaucoup moins rapidement. Pour calculer une puissance putative, les auteurs supposent que les constructeurs augmentent la taille de la mémoire cache "on-chip" afin de maintenir constant le taux de défauts de cache, c'est-à-dire la proportion des tentatives d'accès aux données qui ne sont pas satisfaites par le cache, et qui nécessitent un accès réel à la mémoire centrale, avec la mise en attente qui en résulte pour le processus concerné. Ils en déduisent la loi empirique selon laquelle la taille du cache doit croître comme le carré de la fréquence d'horloge.

Pour imputer une fréquence d'horloge putative à un processeur ancien s'il était réalisé selon une technologie plus moderne, il faut aussi connaître l'évolution des délais induits par les portes logiques et par les fils de liaison. Ces données sont heureusement sensiblement les mêmes pour tous les types de portes, et fréquemment disponibles, ce qui a permis aux auteurs d'établir une formule d'extrapolation.

Le rythme d'introduction de nouveaux procédés de fabrication, permettant une nouvelle géométrie des circuits, est de deux à trois ans, avec une certaine accélération dans la dernière décennie. Chaque génération divise la taille des transistors par √2.

Au cours des 25 ans écoulés depuis l'Intel 80386, la taille des transistors a été réduite selon un facteur 4 000 ; or le nombre de transistors par processeur a été multiplié par 16 000 : l'explication est l'augmentation de la surface des processeurs, 103 mm² pour le 80386, 296 mm² pour l'Intel Core i7 par exemple.

Si le seul facteur d'augmentation de la fréquence était la taille des transistors, les processeurs actuels tourneraient à 500 MHz, au lieu de 3 GHz et plus : un autre facteur est l'augmentation du nombre d'étages des pipelines, c'est-à-dire que chaque opération est décomposée en un plus grand nombre de micro-opérations. Le 80386 avait un pipeline à deux étages (une étape "Fetch", une étape "Execute"), 31 étages pour le Pentium IV, et un retour vers des valeurs plus raisonnables avec 16 étages pour le Core i7.

Si la puissance électrique avait crû comme la fréquence, le facteur aurait été plus important. Entre le 80386 (1986) et le Pentium 4 (2000), la taille des transistors a été divisée par 16, la tension d'alimentation divisée par 4, la fréquence d'horloge multipliée par 200. On aurait pu s'attendre à une multiplication de la puissance électrique nécessaire par 16 × 200 ⁄ 4² = 200. Or le facteur observé est seulement 32. Cette économie est essentiellement procurée par des optimisations de l'architecture, notamment dans la propagation des signaux d'horloge.

Conclusion : amélioration continue dans tous les compartiments

Depuis 2005, l'évolution est commandée par la recherche d'économie d'énergie, notamment par l'implantation sur un même chip de plusieurs cœurs, c'est-à-dire des processeurs élémentaires, ce qui autorise du traitement parallèle sur un seul chip. Mais néanmoins la performance unitaire des cœurs continue à augmenter, même indépendamment des apports de l'accroissement de la fréquence et de la taille du cache : ces gains proviennent de perfectionnements architecturaux tels que l'implantation sur le chip des contrôleurs d'accès à la mémoire et la multiplication des unités d'exécution (architecture super-scalaire). Il est toutefois difficile d'isoler ces progrès dûs au matériel de ceux dûs aux progrès des compilateurs, dont dépendent les résultats des benchmarks SPEC.

La base de données CPU DB permet désormais de quantifier les progrès incroyables réalisés en quarante ans par l'industrie des microprocesseurs, et offre les moyens d'en analyser les évolutions et les tendances par des méthodes scientifiques.

[1] AMD, Intel, Broadcom, Centaur, Cypress, DEC, Fujitsu, HAL, HP, IBM, MIPS, Cyrix, Hitachi, MOS, Motorola, NexGen, ROSS, Sun, WDC, Zilog, SGI

[2] Pour une description du mécanisme de pipeline, le lecteur peut télécharger (gratuitement) mon livre de système et en consulter le chapitre 9 relatif aux évolutions de l'architecture des processeurs.

[3] Le lecteur peu familier de ces notions peut télécharger (gratuitement) mon livre de système et en consulter le chapitre 4 relatif à la mémoire.

Hackito Ergo Sum 2012

Laurent Bloch — 2012-04-24T17:09:08Z

Sommaire-

Hackito Ergo Sum est une des plus intéressantes parmi les conférences consacrées à la sécurité des systèmes d'information et des réseaux. Elle réunissait cette année quelques 300 participants venus pour la plupart de divers pays européens, mais aussi d'autres continents, pour la plupart jeunes et passionnés par la technique. Les textes des communications disponibles sont en ligne ici. On trouvera aussi un autre compte-rendu en français sur le site Digdeo.

L'impression générale qui se dégage de ces trois jours d'exposés, c'est la défaite de la défense périmétrique. L'ingéniosité et l'efficacité des attaques qui nous furent expliquées et éventuellement montrées laissent pantois :

Que faire contre un logiciel malveillant qui, une fois installé sur votre carte mère, résiste à l'effacement complet du disque dur et à l'installation d'un nouveau système d'exploitation (c'est Rakshasa de Jonathan Brossard et Florentin Demetrescu) ? Il faut par ailleurs avoir conscience du fait que tout constructeur a la possibilité d'installer une porte dérobée (backdoor) dans ses matériels, et depuis que l'on a trouvé sur le marché américains des routeurs contrefaçons de Cisco, fabriqués en Chine et vendus sous la marque Cisco, on se dit que tout est possible.

Attaques contre les téléphones et les réseaux 3G

Comment savoir que l'antenne relais GSM à laquelle parle votre téléphone mobile est en fait contrôlée par un attaquant, et que par ailleurs le port JTAG (Joint Test Action Group) du processeur dudit téléphone, qui permet le déboguage du logiciel, et donc la modification de tout le système d'exploitation, est pour toute une série de puces accessible à l'attaquant (communication de Ralf Philipp Weinmann de l'Université de Luxembourg) ?

Le même Ralf Philipp Weinmann a trouvé dans le sous-sol de son université toute une infrastructure 3G de marque Siemens, avec laquelle il a pu tranquillement explorer toutes sortes de scénarios d'attaques, mais il n'a pas le droit de les divulguer. Encore des industriels qui croient à la sécurité par l'obscurité...

Identification d'algorithmes cryptographiques masqués

Cela dit, la sécurité par l'obscurité va redevenir à la mode par la force des choses ; en effet, puisque l'on ne peut plus être certain qu'aucun ordinateur ni aucun téléphone ne soit inviolé et n'abrite pas un logiciel espion quelconque, il va falloir protéger les documents (les contenus) par des procédés cryptographiques dits en salle blanche. Un exemple précurseur, ce sont les DRM : l'attaquant est le maître du système, puisqu'il lui appartient, et il a tout loisir d'observer sa cible. Face à des attaques dans un tel contexte, où les clés secrètes sont cachées au cœur de la cible, l'obfuscation du code (c'est-à-dire le fait de le rendre incompréhensible par une réécriture obscurcissante) est une arme défensive, et notamment dissimuler la nature des algorithmes cryptographiques utilisés est utile. Mais là arrive Joan Calvet, qui propose une méthode pour identifier les algorithmes par observation de leur comportement : toutes les implémentations, par exemple, de Tiny Encryption Algorithm (TEA), partagent le fait que lorsque leur sont soumis une même clé et un même message chiffré, elles rendent le même message clair. La comparaison de jeux de valeurs soumises au programme examiné, et des jeux de résultats produits, associée avec des démarches heuristiques pour détecter des boucles dissimulées par des opérations de déroulement (loop unrolling), permet d'extraire la partie du texte qui correspond à l'algorithme, puis de l'identifier. La méthode de Joan Calvet permet de détecter et d'identifier des algorithmes réputés difficiles à repérer, ainsi que des algorithmes modifiés, voire même modifiés avec des erreurs d'implémentation. Et en supplément, l'examen de la trace permet de récupérer les aguments !

Nécessité des pots de miel

Fyodor Yarochkin nous explique la nécessité pour les opérateurs réseau d'installer sur des machines virtuelles des « pots de miel » (honeypots), c'est-à-dire des machines non protégées contre les intrusions, et qui sont en fait des leurres destinés à recueillir un échantillon aussi large que possible d'attaques, pour les analyser et déterminer une signature qui permettra à un logiciel de détection d'intrusion de les détecter efficacement.

Fragilité des cartes de crédit sans contact

Renaud Lifchitz, de British Telecom, nous fait une démonstration de récupération à distance des données personnelles contenues dans une carte bancaire sans contact NFC, le stockage et la sécurité assurés selon le standard EMV et la norme ISO 7816-4. Il n'y a aucun chiffrement des données, aucune authentification, tout est ouvert. Le matériel nécessaire : un dongle USB (40 euros) et un téléphone Samsung Galaxy Nexus, BlackBerry Curve ou Nokia N9. Les protocoles et formats de données sont publics, aucun besoin de rétro-ingénierie.

Par contre le numéro de la carte CVV n'est pas inscrit dans les données NFC, on ne peut donc pas le récupérer.

Attaques possibles : récupérer les données et les utiliser pour des paiements en ligne, tenter la duplication de la carte, les données NFC sont presques complètes et les données de la piste magnétique peuvent être reproduites. Une telle carte clonée pourra être utilisé dans les pays ne demandant pas le code pin comme les USA et certains pays européens par exemple. Enfin on peut reconnaître la présence d'une personne et déclencher des actions : surveillance des passages, terrorisme avec une voiture qui explose uniquement si la personne visée est présente.

La principale limite est la distance, idéalement entre 3 et 5 cm, mais en utilisant des amplificateurs on peut monter à 1,5m. Avec un récepteur type USRP et une antenne directive on devrait pouvoir monter à 15m.

Protection possible : porte-feuille blindé, comme une cage de Faraday, il en existe dans le commerce, mais attention, la protection dépend des fréquences à filtrer, qui ne sont pas les mêmes selon les applications : ainsi ce qui protège une carte NFC ne protégera pas un passeport biométrique, et inversement (les données des passeports sont chiffrées et protégées, soit dit en passant, comme les données de la carte Navigo des transports publics parisiens).

Avancées récentes pour la sécurité IPv6

Fernando Gont est un chercheur en pointe sur les sujets qui touchent à la sécurité IPv6. Sa communication est en ligne, ainsi que celle présentée l'an dernier à HackLu au Luxembourg, comme le nom l'indique (décidément le Luxembourg semble devenir une plaque tournante de la sécurité des SI et des réseaux), que j'utiliserai également pour le présent compte-rendu.

Fernando Gont entame son exposé par six assertions qui méritent réflexion :

vous ne le savez peut-être pas, mais vous avez déjà déployé IPv6, nolens volens ;
nous avons beaucoup moins d'expérience avec IPv6 qu'avec IPv4 ;
les implémentations d'IPv6 sont moins mûres que celles d'IPv4 ;
l'adaptation à IPv6 des systèmes de sécurité tels que coupe-feu, systèmes de détection d'intrusion, etc., est moins développée que pour IPv4 ;
la période de transition durant laquelle les deux protocoles coexisteront engendrera une complexité accrue du réseau :
- deux protocoles réseau,
- recours accru à la traduction d'adresses (NAT),
- recours accru aux tunnels (IPv6 dans IPv4 par exemple),
- utilisation de technologies inédites pour assurer la coexistence ;
  il y a pénurie d'ingénieurs formés à IPv6 (et aux technologies de la coexistence).

Il poursuit en énonçant cinq mythes qui courent au sujet d'IPv6 :

Mythe n° 1 : « La taille gigantesque de l'espace d'adresses empêche les attaques par balayage exhaustif ». Oui, il y a un nombre considérable d'adresses possibles, mais en pratique elles obéissent à des schémas systématiques qui réduisent le nombre des valeurs possibles, au moins pour l'instant. En outre, le recours à l'adresse MAC pour constituer les derniers octets de l'adresse IPv6 permet la filature des portables sur le réseau.
Mythe n° 2 : « IPv6 va permettre d'affecter une adresse publique à chaque appareil connecté au réseau, et ainsi de revenir aux connexions de bout en bout (end to end) du bon vieux temps ». À supposer que les utilisateurs souhaitent effectivement que leur machine à café dispose d'une adresse publique sur le réseau, il est rien moins que sûr que ce soit une propriété désirable, surtout du point de vue de la sécurité !
Mythe n° 3 : « ARP était un protocole peu sûr, il disparaît avec IPv6, la sécurité est améliorée ». Oui, mais les attaques contre ARP (usurpation d'adresse) peuvent aisément être adaptées au mécanisme “Neighbor Discovery” d'IPv6, qui fait la même chose qu'ARP par un procédé analogue, diffusion à la cantonnade de l'adresse IP recherchée et réponse au premier qui répond, peut-être un usurpateur.
Mythe n° 4 : « Le protocole DHCP de configuration automatique de l'accès d'un poste au réseau était peu sûr, il disparaît avec IPv6, la sécurité est améliorée ». DHCP (Dynamic Host Configuration Protocol) est le protocole qui, à partir de la « box » d'un abonné à Internet, lui attribue une adresse, un résolveur DNS et une adresse de passerelle vers le réseau sans qu'il ait à s'en préoccuper. On voit bien que si un malfaiteur réussit à falsifier ces informations en les remplaçant par l'adresse d'une passerelle vers un réseau qu'il contrôle, ou d'un serveur DNS menteur, la victime risque de gros ennuis (déni de service, attaque par interposition (« Man in the Middle »)). DHCP, pour des raisons analogues à celles qui affectent ARP (diffusion à la cantonnade, et pas de vérification de la véracité des réponses), est vulnérable à de telles attaques. Avec IPv6, à la place de DHCP, on a... DHCPv6, vulnérable de la même façon, ou SLAAC (Stateless Address Auto-Configuration).

SLAAC prévoit qu'un routeur sur le réseau local diffuse des informations utiles à la configuration des postes (« Router Advertisements »), telles que préfixes pour la construction automatique des adresses IPv6, information de routage, paramètres de configuration. Par contrefaçon des « Router Advertisements », un attaquant peut, comme avec DHCP, provoquer des dénis de service, ou placer des attaques par interposition. Les contremesures proposées sont :

- utilisation de SEND (« Secure Neighbor Discovery »), dont le déploiement est lourd et complexe parce qu'il nécessite la mise en œuvre d'une infrastructure de gestion de clés (PKI) ;
- d'autres méthodes, comme la journalisation (monitoring) des opérations de découverte de voisins ou le déploiement de RA-Guard (Router Advertisement Guard), sont faciles à contourner ;
- la restriction des accès au réseau local, par exemple par filtrage des adresse MAC, est lourde, et parfois impossible, à mettre en œuvre.

Bref, la situation n'est pas meilleure qu'avec IPv4, et peut-être même légèrement pire, conclut Fernando Gont sur ce point.

Mythe n° 5 : « IPv6 est plus sûr qu'IPv4, parce que la sécurité fait partie de sa conception initiale, alors que pour IPv4 il s'agit d'un ajout après-coup. » Ce mythe repose sur le fait que le support d'IPSec est obligatoire en IPv6 et facultatif en IPv4. Mais si le support est obligatoire, l'usage est facultatif ! De plus, les obstacles au déploiement d'IPSec qui existent en IPv4 subsistent en IPv6, à tel point que l'IETF envisage de renoncer à l'obligation du support d'IPSec dans IPv6, ce qui devrait porter un coup fatal à ce mythe.

On peut conclure de cet exposé qu'IPv6 n'apporte aucune solution miracle de sécurité, et qu'il est urgent de former les ingénieurs réseau à IPv6, parce que du fait des doubles piles protocolaires il est déjà là.

Gestionnaires de mots de passe pour iOS

Andrey Belenko et Dmitry Sklyarov ont testé pour vous des logiciels de gestion de mots de passe pour Apple iOS, tant gratuits que payants. Le résultat n'est guère encourageant, le plus sûr semble encore de s'en remettre aux outils standard fournis par Apple.

Recherche automatique de vulnérabilités

Nikita Tarakanov et Alex Bazhanyuk, qui participent au projet Bitblaze (Binary Analysis for Computer Security) de l'université de Californie à Berkeley, mettent à contribution la théorie des langages afin d'analyser des programmes sous forme binaire qu'ils exécutent dans le contexte d'une machine virtuelle pour en récupérer la trace d'exécution.

Leur approche combine analyse statique, analyse dynamique, exécution symbolique, méthodes formelles, instrumentation bianire... Ils étudient la propagation de certaines propriétés du code et des données par une méthode de souillure (tainting), et trouvent ainsi des points de vulnérabilité.

C'était très théorique, très savant, je n'irai pas plus loins dans ce compte-rendu et vous invite à vous reporter à la communication pour en savoir plus.

Conclusion

Chaque fois que je mets les pieds dans une conférence telle que Hackito Ergo Sum, mais aussi SSTIC, je suis impressionné par la somme considérable de compétences qui y sont réunies, et si je multiplie ce volume de compétences par les quarante et quelques années d'activité qui attendent ces très jeunes chercheurs et ingénieurs, je me dis que l'avenir de notre société est là, que c'est la nouvelle élite du pays (ou des pays, puisqu'en l'occurrence cette conf. était internationale). L'ENA et le Corps des Ponts sont morts et enterrés, mais ils ne le savent pas encore.

Le lieu de l'événement était l'Espace Oscar Niemeyer, construit par cet architecte brésilien pour être le siège du Comité central du Parti communiste français. Les temps changent, et aujourd'hui la salle de conférences est à louer pour de telles circonstances. Pour Hackito Ergo Sum, l'organisation était entre les mains de Véronique Loquet et de son agence AL'X Communication, spécialisée dans les logiciels libres et les hautes technologies, autant dire qu'il ne manquait pas un bouton de guêtre.

N'oubliez pas de regarder l'album photo, vous m'y verrez !

Le bâtiment est un très bel endroit, dans un quartier sympathique qui nous change agréablement de la Défense et de la Porte Maillot.

Journée Sécurité des Systèmes d'Information 2012

Laurent Bloch — 2012-04-24T03:28:41Z

Les textes de la plupart des interventions sont sur le site de l'OSSIR : http://www.ossir.org/jssi/jssi2012/....

L'OSSIR est une association « loi de 1901 » qui, outre la JSSI, organise une réunion mensuelle consacrée aux questions de sécurité, d'accès libre et gratuit

Sommaire-

Le rôle de la prestation de services en sécurité

Philippe Bernard, RSSI de MBDA, second constructeur mondial de missiles, abordait en fait sous ce titre les problèmes posés par l'intervention d'auditeurs de sécurité extérieurs au sein d'une entreprise dont les activités sont particulièrement sensibles du point de vue de la confidentialité.

On peut distinguer trois types d'objectifs pour un audit de sécurité : analyse des processus, contrôle technique, documentation. Il s'agit de faire un point, un bilan, de vérifier l'évolution du SI et de s'en servir comme argument pour justifier des investissements dans tel ou tel projet afin de le sécuriser. Le choix se fait souvent sur des critères de réputation de la société, voir sur la réputation d'un individu particulier, et parfois les écarts entre les auditeurs d'une même société peuvent être importants : qualité de contact, compétences, implication... La qualité des contacts entre auditeurs et audités est un facteur essentiel de succès ou d'échec.

Les liens de dépendance de la société candidate avec un pays étranger ou avec une société concurrente sont bien sûr à prendre en considération.

La définition de la cible et la détermination de la méthodologie sont importantes.

Pendant l'audit, il faut obtenir l'acceptation des équipes qui sont auditées, et rester à l'écoute des besoins de l'auditeur.

Protection du site Charlie Hebdo par le logiciel NAXSI

Le résumé de la communication est ici : http://www.n0secure.org/2012/03/jss... L'hebdomadaire Charlie Hebdo a fait appel à la société NBS pour héberger et protéger son site Web après une série d'attaques consécutives à des articles sur des sujets polémiques, des caricatures qui visaient des adeptes de la religion musulmane. (Je tiens à préciser que si l'agression contre Charlie Hebdo est odieuse, la publication des caricatures en question était à mes yeux inopportune, à tout le moins. Dans son dernier livre Les ennemis intimes de la démocratie, le philosophe Tzvetan Todorov explique que publier des caricatures qui ridiculisent les puissants au pouvoir ou des caricatures qui ridiculisent une minorité en butte au racisme, ce n'est pas la même chose, et cela n'a pas la même valeur morale. Les premières sont une conquête de la liberté d'expression, les secondes consistent à hurler avec les loups.)

La plupart des systèmes de protection d'applications WEB (Web Application Firewall, WAF) sont en fait des antivirus, qui détectent les accès malveillants par comparaison avec des bases de données de signatures. Un des plus connus est mod_security, un module qui s'intègre à un serveur Apache.

Ces systèmes ont des inconvénients : les bases de signatures sont volumineuses, leur consultation ralentit et alourdit le fonctionnement du site ; en outre, par définition ils ne détectent que des malveillances déjà identifiées.

NAXSI est un WAF innovant sous licence libre, qui repose sur des principes différents et une démarche inductive positive : au lieu d'administrer une liste noire, la configuration de NAXSI passe par une phase d'apprentissage au cours de laquelle le système construit une « liste blanche » d'accès légitimes. NAXSI se base sur des profils d'accès caractéristique des primitives de l'attaque, et sur un sytème de scores. NAXSI fonctionne en coopération avec le logiciel serveur Nginx.

NAXSI se contente de 42 (sic) règles dont les principales correspondent aux attaques classiques : injection SQL, Cross-site scripting (XSS), chargement illégal de fichier, Remote/Local File Inclusion (RFI/LFI), etc.

La mise en place sur le site de Charlie Hebdo s'est faite en une journée.

Aspects juridiques des tests d'intrusion

Frédéric Connes est juriste au sein du cabinet HSC. L'ignorance de ce sujet peut conduire aux pires ennuis.

Qu'a-t-on le droit de faire dans le cadre d'un audit ? Limites légales, hébergement de l'application par un tiers, non respect du périmètre, constatation d'infraction, secret professionnel, etc. Les termes pour désigner un SI dans un contexte juridique sont : Système de traitement automatisé de données. S'y introduire de façon non autorisée tombe sous le coup de la loi 323-1. Il convient donc, pour éviter cette embûche, de s'assurer de l'accord écrit du propriétaire du SI, revêtu d'une signature vraiment autorisée, et de mentionner les détails de l'intervention dans un contrat en bonne et due forme. L'ANSSI a produit un référentiel sur le sujet.

Les questions de protection de la vie privée doivent faire l'objet d'une attention particulière. Si l'audit amène la découverte d'infractions, il faut savoir que si la dénonciation de crimes est une obligation légale, celle de délits ne l'est pas, sauf dans le cas de fonctionnaires dans l'exercice de leurs fonctions.

Les injections No-SQL

Les bases de données No-SQL, telles mongoDB, CouchDB, SimpleDB, se répandent rapidement, notamment pour administrer de façon répartie de grands volumes de données peu structurées. Parmi les applications qui reposent sur de telles architectures, on peut citer YouTube, Twitter, Facebook, Amazon, Wikipédia...

Le moteur NoSQL utilise un langage de requêtes, qui comme SQL peut faire l'objet d'une injection. L'auteur (Nicolas Viot) nous présente quelques démonstrations, en PHP ou en JavaScript. Sans surprise, la première mesure de protection et la plus efficace consiste à contrôler le format des données introduites par l'utilisateur.

XML et sécurité

Cet exposé de Nicolas Grégoire fut peut-être le plus stimulant de la journée. En effet, pour l'observateur peu averti, XML semble un objet bien innofensif, du même ordre que HTML : ce langage n'est même pas Turing-équivalent, c'est tout dire ! Eh bien personne ne pouvait plus penser ainsi à l'issue de l'exposé. XML offre des possibilités bien plus grandes que celles de HTML, ainsi il permet d'intégrer un namespace PHP pour appeler directement des fonctions PHP. En outre il embarque XSL, qui est lui un langage Turing-équivalent.

Par exemple, XML Data Package (XDP) est un format Adobe, qui peut contenir du PDF et du XFA ; du PDF peut embarquer du XDP ; on a donc un effet poupées russes qui offre une solution de camouflage très puissante.

L'auteur nous donna quelques démonstrations spectaculaires de ce qui était possible en termes de déni de service et d'intrusion avec XML et ses cousins XSL et XDP.

Forensics Windows

Le but d'une autopsie est d'identifier le scénario d'intrusion et de comprendre les actions de l'attaquant sur le système. Les sources d'investigations sont l'état instantané du système, la base de registres, le système de fichiers, les journaux d'audit, etc. Comme les outils disponibles pour l'autopsie étaient rares, imparfaits et d'usage malcommode, Nicolas Hanteville et l'équipe de Devoteam se sont lancés dans l'écriture d'une boîte à outils pour ce faire.

Conclusion

Ce type de conférence est un peu à la cyberstratégie ce que pourrait être le salon du Bourget à la stratégie aérienne : avoir une idée de ce que l'on peut faire avec les derniers modèles d'avions et de drones est assez indispensable pour ne pas se trouver gravement pris au dépourvu.

Voir en ligne : Les actes sur le site de l'OSSIR

Installer un serveur Subversion sur un serveur Linux

Laurent Bloch — 2012-04-18T15:29:31Z

D'autres articles sur les applications des NAS :
Quelques définitions : NFS, SAN et NAS,
Configurer le NAS DS-106e de Synology,
Installer un serveur de boot sur un NAS DS-106e de Synology.

#Sommaire-

Après avoir décrit les systèmes de gestion de version (VCS) dans un premier article, puis un second, voici le passage à la pratique. Subversion est un VCS centralisé, sucesseur de CVS dont il reprend toutes les fonctions en en corrigeant les principales lacunes.

Se procurer un livre sur Subversion

Si les systèmes de gestion de version sont des logiciels utiles, et même indispensables, ils ne sont pas pour autant faciles à comprendre et simples à utiliser. Se procurer un livre où c'est bien expliqué n'est pas du luxe. Vous pouvez télécharger le Subversion Book sur le site http://svnbook.org/ : il a l'avantage d'être gratuit, l'inconvénient d'être en anglais, et personnellement je le trouve assez complet mais plutôt confus.

Aussi vous conseillerais-je le livre de Bernard Desgraupes Subversion – Contrôle de version des projets collaboratifs, chez Vuibert, beaucoup plus clair.

N'oubliez pas non plus de visiter le site officiel de Subversion.

Installer Subversion

La première chose à faire est bien sûr d'installer Subversion, qui dans la Debian dont je dispose vient en deux paquets : subversion et subversion-tools.

Choisir un type de serveur : Apache ou SSH ?

Un serveur Subversion peut fonctionner avec trois types de serveurs : svn, protocole maison avec serveur svnserve, serveur Web (Apache) ou serveur svn+ssh, le protocole maison encapsulé dans SSH. C'est cette dernière solution que j'ai choisie, plus sûre que svnserve tout seul, et peut-être plus légère qu'un serveur Web. En outre je disposais déjà du serveur SSH.

Configurer SSH sur les ordinateurs clients

Sur mes serveurs j'ai configuré les serveurs ssh de façon à ce qu'ils écoutent sur un port de numéro différent du standard qui est 22 : ceci limite considérablement le nombre d'attaques par scan de port. Cela se fait en écrivant dans le fichier /etc/ssh/sshd_config :

au lieu de Port 22 de la configuration par défaut.

Ceci va obliger les clients à s'adapter à ce numéro de port. Il est commode et élégant de créer dans son répertoire sur l'ordinateur client un fichier de configuration .ssh/config qui pourra comporter l'entrée suivante :

Ce sera toujours ça de moins à taper.

Créer le dépôt Subversion

Comme le dit fort bien le livre, il faut maintenant créer un goupe subversion et y enrôler les utilisateurs ; attention à la commande usermod, il faut répéter les noms des groupes auxquels chaque utilisateur appartient déjà, sinon il en sera retiré, et si c'était l'appartenance à ce groupe (admin par exemple) qui lui conférait dans /etc/sudoers les privilèges système pour utiliser sudo, il y aura du grabuge, et le livre n'a pas prévenu :

Création du dépôt, auquel on confère les appartenances et les permissions qui conviennent, en l'occurrence le groupe propriétaire est subversion, le dépôt est accessible en lecture et en écriture aux membres du groupe, le sticky bit (1 dans les arguments de chmod) est positionné pour éviter que soient créés dans le dépôt des fichiers qui n'appartiendraient pas au groupe :

Voilà, si tout s'est bien passé, le dépôt est fonctionnel et accessible, il n'y a plus qu'à l'utiliser.

Créer un projet Subversion

Je me place maintenant sur l'ordinateur client, dans le répertoire qui abrite les fichiers qui constituent le projet à déposer aux bons soins du serveur Subversion. Il est prudent de commencer par détruire tous les fichiers temporaires que l'on ne souhaite pas retrouver dans le dépôt, cela évitera d'avoir à les en retirer un par un ultérieurement. Et il n'y a plus qu'à agir ; si le projet s'appelle SecuritePratique (et en général le répertoire sera lui-même nommé SecuritePratique) cela donne (sur une seule ligne) :

Cette commande (sur une seule ligne) créera dans le dépôt Svn_Home sur la machine désignée par l'identifiant svn1 dans le fichier .ssh/config un projet SecuritePratique, et y archivera tous les fichiers du répertoire duquel est lancé la commande, y compris les sous-répertoires et leur contenu.

Une fois cela fait, la chose à faire est de renommer le répertoire d'origine de SecuritePratique en SecuritePratique.old et de créer à partir de l'archive une copie neuve et fraîche du projet, ainsi :

C'est le moyen d'avoir tout bien configuré comme il faut dans un sous-répertoire .svn.

Télécharger le contenu du projet

Sur une autre machine je souhaite installer une copie du projet SecuritePratique ; voici :

Cette commande crée, à l'endroit d'où elle est émise, un répertoire SecuritePratique qui contient les fichiers du projet.

La commande magique pour visionner les modifications

La seule vraie supériorité de Word/OpenOffice/LibreOffice sur LaTeX, c'est le mode révision, qui permet de visionner instantanément les modifications apportées par le dernier auteur.

Avec LaTeX, vi ou emacs et Subversion, il y a quand même un outil qui permet de visionner les modifications sans ambiguïté, et même à l'usage c'est supérieur au mode révision de Word, vite très confus s'il y a beaucoup de petites modifications : c'est tkdiff, qui s'utilise avec la commande magique ci-dessous (312 étant le numéro de la version à comparer avec la version courante, obtenu par svn status -v premiers-principes.tex) :

Voilà, Subversion est un système centralisé, avec les inconvénients signalés dans l'article précédent, mais ausi ses avantages ; en effet, sous réserve de pouvoir accéder au site qui l'héberge, le dépôt unique et central est commode, parce qu'avec les systèmes décentralisés on est quand même souvent en train de faire des synchronisations dans tous les sens, avec le risque de se tromper de sens, et ainsi de créer des situations délicates à réparer.

Bonne Subversion !

Compétitivité et industrie

Laurent Bloch — 2012-04-05T13:28:46Z

Sommaire-

La revue Commentaire, dans son numéro 137 (printemps 2012), propose un dossier coordonné par Bertrand Collomb et consacré à la question de la compétitivité de l'industrie française. L'analyse part de la constatation que dans le monde contemporain les objets des échanges sur les marchés sont des assemblages complexes de biens et de services, réalisés selon des processus qui voient les objets en cours d'élaboration passer dans plusieurs pays au gré des avantages compétitifs des uns et des autres, ce qui rend illusoires les statistiques traditionnelles du commerce extérieur, et impose une analyse par filières, voire, comme le recommande Michel Volle (qui devrait retrouver dans ces articles certaines de ses idées), des monographies.

Le secteur des télécoms

Le premier article, signé d'Olivier Coste, ancien secrétaire du comité exécutif d'Alcatel Lucent, est consacré au secteur des télécoms. Tout le monde connaît les bouleversements de ce secteur : fin des monopoles, apparition de l'Internet et de la téléphonie mobile, généralisation de la téléphonie IP. Moins apparents sont les séismes qui ont ravagé le monde des entreprises productrices.

En l'an 2000, de façon surprenante, les entreprises européennes sont au premier rang : Alcatel, Siemens, Ericsson et Nokia ont pu tenir la dragée haute aux nord-américains Nortel, Lucent, Motorola et Cisco. Ces huit entreprises se partagent un marché mondial de 150 à 200 milliards d'euros. Des normes européennes (GSM, UMTS) se sont imposées dans le monde entier. La domination de Nokia sur le marché du téléphone portable est écrasante. Et en moins de dix ans tout cela va être balayé.

En 2010, nous découvrons un paysage tout différent : Alcatel et Lucent ont fusionné et sont passés d'un CA de 60 milliards d'euros (à eux deux) à 15 milliards, avec la suppression de 150 000 emplois. Nokia et Siemens ont des difficultés, Nortel (32 milliards d'euros en 2000) a fait faillite, Motorola brade ses activités dans le secteur, seuls Ericsson et Cisco surnagent, essentiellement dans les matériels de cœur de réseau. Cependant sont apparus Huawei (3 milliards d'euros en 2000, 21 en 2010) et ZTE, inexistant en 2000, déjà 7 milliards en 2010. Quant au marché du téléphone portable, Apple l'a totalement bouleversé en lançant l'iPhone en 2007, ce qui fait passer sa capitalisation boursière de 90 à 360 milliards d'euros, cependant que celle de Nokia chute de 150 à 22 milliards.

Encore plus étonnant, non seulement Huawei et ZTE sont moins chers, ce qui était prévisible, mais ils sont meilleurs, ce qui n'était pas attendu si tôt. Leurs matériels sont en avance sur ceux de leurs concurrents occidentaux. En fait, d'après une communication personnelle d'un consultant qui les connaît bien, le problème de Huawei, c'est de ne pas devenir trop tôt le numéro 1.

Olivier Coste indique que l'innovation continue est la clé de cette industrie, où il faut dépenser 15% de son chiffres d'affaires en R&D ; il nous invite alors à distinguer l'innovation incrémentale, où excellaient les entreprises européennes avant d'y être supplantées par les Chinois, de l'innovation de rupture, dont les Américains sont encore les champions, ce qui leur a permis de compenser le naufrage de Nortel, Lucent et Motorola par l'émergence de Google et de Facebook et par l'essor d'Apple.

Les Européens réussissent peu dans l'innovation de rupture : changer cet état de fait imposerait des efforts financiers importants des pouvoirs publics et des entreprises pour stimuler la recherche et pour accroître les effectifs de chercheurs et d'ingénieurs de talent, mais les moyens matériels ne suffisent pas, il y faudrait une véritable révolution culturelle et éducative.

En outre, lancer un projet innovant comporte un risque élevé : une entreprise créée à cet effet est exposée à un risque élevé de fermer prématurément. Et dans ce cas, les législations sociales européennes constituent un désavantage comparatif, qui rendent plus difficile le réemploi rapide des hommes et du capital pour un autre projet. Pour le dire plus crûment, sous d'autres cieux une entreprise de ce type peut être fermée en quinze jours et le personnel remercié, alors qu'en France il y faut un an à dix-huit mois et des formalités coûteuses, ce qui incite à créer les startups ailleurs. Mais on pourrait peut-être se demander si les ingénieurs innovants dans les secteurs de pointe ont besoin de la même protection sociale que les ouvriers du bâtiment.

Améliorer nos performances en innovation incrémentale pour relever les défis chinois et indiens (sans oublier les Russes, les Polonais, les Thaïs...) demanderait que soient revalorisées les professions techniques et les formations qui y mènent, ce qui serait, en France en tout cas, une autre révolution culturelle et éducative.

En définitive, le contrat social français place la France en mauvaise position pour les deux formes d'innovation.

Renault et les industries manufacturières

Le second article, de Patrick Pélata, ancien directeur des opérations de Renault, décrit, à travers les difficultés traversées par Renault, celles des industries manufacturières françaises, et les remèdes qui pourraient leur être apportés.

La comparaison entre les trajectoires des constructeurs automobiles français et celles des Allemands est cruelle : pour chaque succès de ceux-ci on peut mettre en regard une erreur de ceux-là. De 1998 à 2011 la part de l'industrie dans la valeur ajoutée nationale est passée de 22% à 16%, cependant qu'elle est de 30% en Allemagne. Dans le même temps, la part de l'industrie française dans les exportations de la zone euro passait de 17% à 12%. Ce déclin est spécifiquement français, si l'on considère la position de l'Europe, même en en retirant l'Allemagne, elle s'est maintenue par rapport au reste du monde.

Les Allemands ont pris des décisions majeures pour réduire le coût du travail, installer des usines en Europe de l'Est et investir les marchés asiatiques, qui leur ont apporté de grands succès. Les constructeurs français et les pouvoirs publics ont pris des orientations moins efficaces et plus tardives. Il n'est guère douteux que pour des industries manufacturières comme l'automobile le succès ne soit, au moins pour partie, dans la production dans des pays à coût de main d'œuvre plus bas qu'en France. Et les marchés en croissance sont dans les pays émergents.

Le nouveau commerce mondial

Pascal Lamy, Directeur général de l'Organisation mondiale du commerce, signe le troisième article de ce dossier.

Après un rappel des évolutions de la demande et des réglementations qui ont suscité l'accroissement considérable des échanges commerciaux internationaux, l'auteur se penche sur l'approfondissement de la division internationale du travail. Au nombre des inventions majeures qui ont contribué à ce bouleversement, l'Internet bien sûr, mais aussi, plus discret, le conteneur, qui a divisé par cinquante les coûts de transport, et qui a permis de ramener la gestion du transport des marchandises à la gestion de l'information qui les concerne, c'est-à-dire à ce que le commerce mondial se réorganise autour de l'Internet.

Cette facilitation des échanges a permis que les biens offerts sur le marché, qui sont maintenant des assemblages de biens et de services, soient élaborés par un ensemble d'entreprises internationales, chacune réalisant une opération intellectuelle, physique ou commerciale et « exportant » le produit semi-fini vers l'entreprise suivante dans la chaîne de production. Les statistiques du commerce international, qui enregistrent à chaque franchissement de frontière la valeur totale du bien en cours de fabrication, sont donc largement faussées par cette situation, qui demanderait que soient comptabilisées les valeurs ajoutées à chaque étape. L'exemple des produits d'Apple illustre particulièrement bien ce mécanisme, il a été décrit par Charles Duhigg et Keith Bradsher dans un article du New York Times du 22 janvier 2012, How the U.S. Lost Out on iPhone Work.

Lamy insiste sur les réformes nécessaires du système statistique destiné à rendre compte du commerce international, mais aussi des règles de nomenclature et d'étiquetage des produits selon leur origine, ainsi bien sûr que des analyses économiques qui s'y rattachent.

Il révoque ensuite quelques idées reçues sur la place et le rôle de l'Europe dans le commerce international.

Ainsi, la part de l'Europe dans le marché mondial du commerce international s'est stabilisée à 19%, alors que dans le même temps celle des États-Unis passait de 19% à 13%, et celle du Japon de 15% à 9%. Contrairement à ce que l'on entend souvent, l'Europe n'est pas une libre-échangiste naïve, qui ouvrirait grande la porte aux importations de pays fermés à ses exportations : l'UE dispose des mêmes barrières que les autres, droits de douane, quotas d'importation, droits anti-dumping, obligations de respect de normes.

Par contre, la productivité du travail a progressé moins vite en Europe qu'aux États-Unis : 1,4% de 1995 à 2005, contre 2%. Pour l'essentiel c'est la productivité des services qui pèse dans cette différence, plus que celle de l'industrie.

La part de la France dans le marché mondial, hors UE, est tombée de 2,8% à 2,3%. De 1980 à 2007, l'industrie a perdu 36% de ses effectifs, et le poids de l'industrie dans le PIB est passé de 24% à 16%, cependant que le PIB augmentait de 75%.

Les avis selon lesquels les salaires français seraient trop élevés, ou les horaires de travail insuffisants, ou les normes sociales trop sévères, ne sont pas confirmés par la comparaison avec la situation allemande.

C'est en fait du côté de la « compétitivité hors-prix » qu'il faut chercher les raisons du décalage de croissance entre la France et des pays qui réussissent mieux, comme l'Allemagne, en examinant des facteurs tels que la qualité (réelle ou ressentie), le niveau de gamme, le caractère innovant, le service après-vente, les délais de livraison, l'image de marque, etc. La compétitivité hors-prix a un effet positif direct sur la productivité horaire du travail, puisqu'elle permet de vendre plus cher le produit de chaque heure de travail.

Pascal Lamy examine plus particulièrement le retard français en termes d'innovation. En moyenne les pays de l'UE consacrent à la R&D 1,85% de leur PIB ; la France 2,1%, l'Allemagne 2,8%, les pays d'Europe du Nord plus de 3%. L'effort français dans ce domaine a même diminué depuis 1993, où il était de 2,4%. De surcroît, l'Allemagne peut compter sur un solide réseau de PME innovantes, exportatrices et réactives, alors que de ce point de vue la France est fort mal placée.

Comment redresser cette situation ? Les réponses ne sont pas particulièrement originales, il faudrait seulement les écouter : effort accru de financement de la recherche (publique et privée) et de l'enseignement supérieur, valorisation des professions techniques et des études qui y mènent, amélioration de la productivité des services, notamment dans le domaine de la logistique. L'auteur recommande également de s'intéresser à l'amélioration de l'environnement global des entreprises et à l'écosystème de l'innovation et de la qualité : prix de l'immobilier, maîtrise de la consommation d'énergie, coopération entre les entreprises.

L'informatique embarquée du premier sous-marin nucléaire français

Laurent Bloch — 2012-03-30T18:46:08Z

De 1963 à 1970, le Service technique des constructions et armes navales (STCAN) conçoit et réalise, avec des calculateurs embarqués à bord du premier sous-marin nucléaire français « Le Redoutable », deux systèmes d'aide à la navigation : un périscope de visée astrale (PVA) et un système azimétrique de présentation de la situation tactique. Claude Kaiser, professeur émérite d'informatique au CNAM, était à l'époque Ingénieur du génie maritime, fraîchement émoulu de Polytechnique et de l'École nationale supérieure du génie maritime, et membre de l'équipe de développement de ces systèmes. Il a relaté cette expérience passionnante dans un livre concis et illustré, Le Centre de calcul Cœlacanthe, que vous pouvez commander en ligne aux Éditions ILV [1]. Claude Kaiser a également créé un site avec des photos et des documents authentiques, et le livre à télécharger.

L'expression même « périscope de visée astrale » fait rêver : le sous-marin nucléaire navigue pendant des mois sous les eaux, seule sa centrale de navigation par inertie lui permet de connaître sa position, mais de temps en temps il faut corriger les dérives éventuelles de celle-ci, et alors le sous-marin se rapproche de la surface jusqu'à laisser émerger le frêle sommet du périscope de visée astrale, il scrute furtivement une étoile, puis replonge. Le programme informatique, à partir des données recueillies et des tables du bureau des longitudes, calculera une position exacte. On peut imaginer que cette visée ait lieu au milieu des glaces de la banquise arctique...

Mais l'azimétrie n'est pas moins fascinante : le sous-marin doit repérer la position et les déplacements des vaisseaux qui pourraient l'entourer, mais comme il doit aussi rester furtif, il ne peut recourir qu'à des moyens d'écoute passifs, qui ne fournissent que des azimuts. L'azimétrie consiste à calculer les autres paramètres caractéristiques (distance, route, vitesse) à partir de mesures successives d'azimuts.

La propagation du son dans l'eau de mer varie selon la température, la pression et la salinité de l'eau. Le relevé du gradient de la température (la bathythermie) permet de détecter les inversions de gradient, situations qui créent une sorte de guide d'ondes sonores capable de propager le son à de très grandes distances : le sous-marin doit éviter leur voisinage, et pour ce faire calculer la bathythermie.

Il fallait à tous ces travaux beaucoup de science : les calculs n'étaient pas simples, les ordinateurs étaient d'une puissance dérisoire à l'aune de ceux d'aujourd'hui.

Si vous avez rêvé en lisant 20 000 lieues sous les mers, ce petit livre est pour vous.

[1] Centre de calcul Coelacanthe 1963-1970, Claude Kaiser, http://www.ilv-edition.com/librairi..., 82 p., 9 euros.

L'horloge, élément-clé des processeurs

Laurent Bloch — 2012-03-26T19:36:43Z

Sommaire-

Organisation générale d'un processeur

Un microprocesseur est constitué de milliers de circuits élémentaires, qui réalisent chacun une micro-opération logique, ou qui matérialisent une position de mémoire. Le fonctionnement du microprocesseur consiste à combiner ou à déplacer des valeurs de données stockées dans des positions de mémoire pour obtenir des résultats qui seront stockés dans d'autres positions de mémoire. Ainsi, un groupe de circuits logiques pourra constituer l'opération d'addition, qui consistera à analyser les données contenues dans les positions de mémoire où se trouvent les chiffres des nombres à additionner, à calculer le résultat et à l'écrire dans une autre position de mémoire. Une opération d'addition peut comporter quelques dizaines de circuits logiques (il y a déjà une micro-opération par chiffre binaire), eux-mêmes constitués de portes logiques réalisées en général au moyen de deux transistors. Les processeurs actuels (2012) comportent des centaines de millions de portes logiques, dont la taille est de 32 nm (un nanomètre vaut un milliardième de mètre). (Pour une description plus détaillée du fonctionnement des circuits logiques, vous pouvez télécharger (gratuitement) mon livre de système et en consulter l'annexe B.)

Effectuer une simple opération d'addition consiste donc à combiner les résultats produits par quelques dizaines de circuits élémentaires et stockés dans quelques dizaines de positions de mémoire. Pour obtenir de façon sûre le résultat final exact de l'opération, il faut coordonner correctement le fonctionnement de tous ces circuits. Ainsi par exemple, si un premier circuit calcule un résultat intermédiaire qui sera pris comme donnée d'entrée par un second circuit, le concepteur doit pouvoir être sûr que le premier circuit a vraiment fini son calcul et placé le résultat au bon endroit avant que le second ne commence son propre calcul.

Toutes les opérations sont cadencées par l'horloge

Afin de pouvoir calculer de façon déterministe l'enchaînement correct des opérations élémentaires, elles sont synchronisées ; pour ce faire le processeur dispose d'une horloge centrale réalisée au moyen d'un dispositif à quartz, qui régule un circuit oscillant selon une fréquence extrêmement précise. À chaque fin de période le circuit oscillant émet un signal. La fréquence de ce circuit est de l'ordre de quelques GHz (quelques milliards d'impulsions par seconde).

La sortie du circuit logique correspondant à une micro-opération est couplée à une entrée d'un circuit ET dont l'autre entrée est couplée à l'horloge. À chaque top d'horloge la porte ET délivre un résultat, c'est-à-dire que les données doivent être valides lorsque retentit le top de l'horloge. C'est ainsi que toutes les opérations sont synchronisées. Ce que l'on appelle la fréquence d'un processeur est la fréquence de son horloge. Le temps de cycle est le délai entre deux tops d'horloge. Chaque opération élémentaire doit être effectuée pendant un cycle, ou pendant un nombre de cycles parfaitement déterminé.

De ce qui précède découlent deux conséquences importantes : le signal du circuit oscillant de l'horloge doit être acheminé jusqu'à tous les circuits logiques élémentaires ; le délai qui s'écoule entre l'instant où le premier circuit logique reçoit le signal et l'instant où le dernier circuit le reçoit s'appelle la dérive d'horloge (clock skew). Comme il n'est en général pas possible de savoir si tel circuit est un récepteur précoce ou tardif du signal d'horloge, on soustrait la dérive d'horloge du temps de cycle, afin de ne pas se trouver dans la situation, catastrophique, où un circuit logique utiliserait des données inachevées pour entreprendre son calcul. Plus la dérive d'horloge est grande, moins il reste de temps pour les calculs.

L'horloge consomme 30% de l'énergie totale

Acheminer un signal en chaque point du processeur prend du temps, mais aussi de l'énergie. Les circuits ont une certaine résistance, et sont soumis à la loi d'Ohm. Afin de limiter la dérive d'horloge, le signal est émis dans un circuit en forme de grille qui recouvre l'ensemble du processeur, mais la consommation électrique d'un tel dispositif est importante. En outre, étant donnée la taille des circuits actuels (de l'ordre du milliard de transistors), il faut prévoir des répéteurs d'horloge (clock buffers). De fait, dans un processeur moderne, la fonction d'horloge utilise 30% de la consommation électrique totale, ce qui est considérable, pour ne pas dire excessif, lorsque l'on sait qu'aujourd'hui la consommation électrique est le principal obstacle que s'efforcent de surmonter les concepteurs de circuits.

Dans le numéro de février 2012 de Microprocessor Report un article intitulé Resonant Meshes Topple Clock Trees décrit l'invention des deux fondateurs de la société Cyclos, de nature à bouleverser cet état de fait. Les lignes qui suivent sont librement inspirées de cet article.

Marios Papaefthymiou et Alexander Ishii se sont connus lors de la préparation de leur thèse au MIT au début des années 1990 ; le premier partit pour l'université du Michigan où il entama des recherches sur les circuits d'horloge résonnants, le second travailla chez NEC et dans plusieurs startups de l'industrie des semi-conducteurs. En 2006 ils fondèrent la société Cyclos pour mener un projet de circuits d'horloge résonnants sur la base des recherches de Papaefthymiou. Ce projet vise à réduire de façon radicale la consommation électrique de l'horloge des processeurs ; les premiers résultats laissent espérer une réduction de moitié, soit 15% par rapport à la consommation totale du processeur. Comment est-ce possible ? Voici.

La résonnance pour diminuer la consommation d'électricité

Avec la méthode traditionnelle, le circuit d'horloge consomme la même énergie électrique à chaque émission de signal. Papaefthymiou et Ishii ont imaginé de créer un circuit oscillant résonnant, dont le principe est analogue à celui d'un pendule. Lors de l'oscillation d'un pendule, une certaine quantité d'énergie se transforme alternativement d'énergie cinétique en énergie potentielle. L'énergie cinétique est maximale lorsque le pendule passe par le point le plus bas de sa trajectoire (et alors l'énergie potentielle est nulle), l'énergie potentielle est maximale lorsque le pendule passe par un des points les plus hauts de sa trajectoire (et alors l'énergie cinétique est nulle, comme sa vitesse).

Schéma d'après Microprocessor Report :

Microprocessor Report)" style='height:163px;width:302px;' />

De même, dans un circuit résonnant, une certaine quantité d'énergie électrique se transforme alternativement d'énergie cinétique en énergie potentielle, au fur et à mesure qu'une charge électrique se déplace entre un condensateur et une bobine d'induction ; l'énergie est sous forme potentielle quand la tension est maximale aux bornes du condensateur ; l'énergie est sous forme cinétique (ou magnétique) quand le courant est maximum dans la bobine (et la tension nulle aux bornes du condensateur). Ce phénomène se produit dans un circuit électrique à une fréquence de résonnance donnée caractéristique du circuit.

De même que le pendule continue à osciller un certain temps en l'absence de toute impulsion mécanique, mais ce mouvement s'amortit, pour finalement cesser, de même le circuit résonnant émet des signaux qui s'amortissent et finissent par cesser en l'absence d'un apport d'énergie.

Le dispositif inventé et breveté par Papaefthymiou et Ishii réalise un circuit résonnant en utilisant comme condensateur le circuit de distribution du signal lui-même ; il faut ajouter au circuit une ou plusieurs inductances, ce qui peut se faire sur la couche métallique supérieure du composant ; cette conception élimine la nécessité du recours à des répéteurs de signal d'horloge (clock buffers).

Afin de prouver la validité de leur approche, Papaefthymiou et Ishii ont réalisé, en collaboration avec ARM, un circuit expérimental, en technologie de 130 nm, capable de fréquences allant jusqu'à 200 MHz. Le rendement optimal est obtenu à 175 MHz, avec une inductance de 8,5 nH (nano henry) et une capacité de 100 pF (pico farad). À cette fréquence, le circuit résonnant consomme 0,03 mW par MHz, contre 0,25 mW pour le système traditionnel, soit à 175 MHz une économie totale de 38,5 mW, 33% de la consommation totale du système traditionnel.

Sur la base de ces résultats expérimentaux, Cyclos a convaincu AMD d'utiliser sa méthode, ce qui fut fait pour la gamme Piledriver de la marque. Les ingénieurs d'AMD n'ont utilisé qu'une partie de la conception de Cyclos, parce qu'il aurait été trop coûteux de redessiner entièrement le circuit, et ils ont adapté le dessin de la gamme précédente en y insérant une centaine de petits inducteurs. L'économie de consommation obtenue est entre 5 et 10%. Cette technologie est très prometteuse, encore une fois à une époque où la consommation électrique est la cible principale des ingénieurs dans le domaine des semi-conducteurs, et où Google achète des centrales hydro-électriques pour alimenter ses centres de données.

Une autre solution, radicale, existe : les circuits asynchrones, qui n'ont pas besoin d'horloge pour synchroniser leurs opérations ; ils auront de nombreux avantages, quand on saura les faire marcher de façon vraiment opérationnelle !

Les microprocesseurs, leur histoire et leur avenir

Laurent Bloch — 2012-03-18T20:53:00Z

- Histoire de l'informatique

Confidentialité à long terme des Infrastructures de gestion de clés (PKI)

Laurent Bloch — 2012-03-02T10:23:53Z

Sommaire-

Ubiquité des PKI (Public Key Infrastructures)

Chi-Sung Laih, Shang-Ming Jen et Chia-Yu Lu ont publié dans le numéro de janvier 2012, vol. 55 N° 1, des Communications of the Association for Computing Machinery un article intitulé Long-Term Confidentiality of PKI.

La sécurité des échanges sur le réseau, que ce soit pour les transactions commerciales en ligne, pour les actes administratifs et médicaux ou pour les communications privées, repose sur des Infrastructures de gestion de clés (Public Key Infrastructures, PKI), qui sont maintenant partout, et qui émettent les clés de chiffrement utilisées pour la signature électronique et pour le chiffrement des données, ce qui garantit l'authentification et la confidentialité des communications.

Cryptographie à clés publiques ou à clés partagées

Les PKI utilisent conjointement deux méthodes, le chiffrement symétrique et le chiffrement asymétrique, qui reposent sur des méthodes mathématiques complètement différentes. Ces deux méthodes sont d'un usage complémentaire.

La cryptographie asymétrique repose sur la détention, par chaque partie impliquée dans une échange chiffré, de deux clés : une clé publique et une clé privée. La clé privée ne circule jamais sur le réseau, ainsi le risque de sa compromission est très faible. Quiconque veut envoyer un message chiffré à un correspondant chiffre avec la clé publique du destinataire, qui est dans tous les bons annuaires, par exemple celui de la PKI utilisée. Ce système semble parfait, il a un inconvénient, les calculs sont lourds et donc lents.

La cryptographie symétrique à clé partagée repose sur la possession, par les parties prenantes à la communication, d'une même clé. Les calculs en cryptographie symétrique sont bien plus simples qu'en cryptographie asymétrique, mais le point faible est qu'il faut bien échanger des clés, ce qui impose un transport sur le réseau, au cours duquel la clé risque d'être compromise.

La solution consiste donc à utiliser le chiffrement asymétrique pour l'échange de la clé partagée destinée au chiffrement symétrique. Cet échange a lieu une seule fois, au début d'une session de communication, et tous les échanges ultérieurs ont lieu avec la clé partagée obtenue par ce procédé. Ainsi sont palliés et la lenteur des calculs nécessaires aux algorithmes asymétriques tels que RSA Rivest-Shamir-Adleman, et le risque de faire circuler une clé partagée sur le réseau.

L'algorithme symétrique peut être IDEA, à clés de 128 bits, créé par James L. Massey et Xuejia Lai, ou Rijndael inclus dans AES (Advanced Encryption Standard). Notons que les systèmes de communication chiffrés tels que SSL (Secure Socket Layer) utilisés pour les transactions par le Web, la relève de courrier électronique et la connexion conversationnelle à distance par SSH (Secure Shell) fonctionnent de cette façon.

Une PKI a pour fonction de distribuer, selon le procédé qui vient d'être exposé, des clés certifiées. Une clé certifiée est une clé signée par une autorité de certification digne de confiance. Les clés publiques sont publiées incluses dans des certificats.

Kerberos est une PKI un peu particulière, avec un centre de distribution de clés (KDC) qui fonctionne en général uniquement en chiffrement symétrique, bien que le RFC 4556 propose le recours au chiffrement à clé publique pour l'authentification de la transaction initiale d'enrôlement d'un client du système. En effet, sans le recours à ce procédé, l'introduction d'un nouvel utilisateur ne peut se faire qu'au moyen de la communication en clair d'un mot de passe robuste, ce qui est très gênant. Kerberos est à ce jour la seule solution d'authentification disponible qui soit compatible avec tous les systèmes informatiques existants et tous les types d'usage (pas seulement pour les applications Web), il s'agit donc d'un cas particulier assez inévitable.

La question de la sécurité à long terme

La sécurité de certains documents doit être assurée à long terme : la question se pose donc de savoir si les procédés techniques qui les protègent aujourd'hui seront toujours aussi protecteurs dans trente ans, par exemple, et si ce n'est pas le cas, par quel moyen pourra-t-on améliorer leur protection quand ce sera nécessaire, et quand des procédés plus puissants seront disponibles.

La sécurité des documents est assurée par des procédés cryptographiques selon deux exigences : la garantie de l'authenticité, et celle de la confidentialité.

L'exigence d'authentification a fait l'objet de plusieurs travaux et du RFC 3126, Electronic Signature Format for Long-term Electronic Signatures. Chi-Sung Laih [1] et ses co-auteurs se sont attachés à la question de la confidentialité, plus difficile et moins étudiée.

Les menaces sur la cryptographie

Pour étudier les menaces qui pèsent sur les moyens de la confidentialité des données, les auteurs prennent l'exemple de l'algorithme RSA a clé publique (cryptographie asymétrique), utilisé par la majorité des PKI, et identifient deux menaces qui planent sur la pérennité de la protection qu'il assure : la cryptanalyse quantique, et les progrès de la factorisation.

Il est clair que l'avènement de la cryptanalyse quantique, quand il se produira (et s'il se produira), sera pour la cryptographie un cataclysme équivalent a celui qui a provoqué la disparition des dinosaures. Il faudra tout reprendre sur de nouvelles bases, la cryptographie quantique en l'occurrence. Mais en attendant, les progrès de la factorisation (décomposition en facteurs premiers) des grands nombres, s'ils sont moins médiatiques, sont plus réels et très réguliers. En 1999 l'équipe de Cavallar a factorisé un module RSA [2] de 512 bits (155 chiffres décimaux), en 2009 l'équipe de Kleinjung en a factorisé un de 768 bits (232 chiffres décimaux). Bien que la factorisation d'un module de 1 024 bits soit des milliers de fois plus difficile que celle d'un module de 768 bits, on s'attend à ce que ce soit réalisé vers 2020. On ne connaît pas d'algorithme de factorisation en temps polynomial, ils sont tous exponentiels. Le meilleur algorithme disponible, selon la thèse de Jean-Sébastien Coron citée ci-dessus, est l'algorithme du crible algébrique, dont le temps de calcul pour factoriser un module RSA de n bits est donné par :

La robustesse de l'algorithme RSA repose sur l'hypothèse que la factorisation du produit de deux grands nombres premiers est un calcul hors de portée des moyens actuels. Mettre RSA à l'abri des progrès de la factorisation demanderait d'utiliser des clés plus longues. Aujourd'hui la plupart des utilisateurs de RSA emploient des clés de 1 024 bits. Il faudrait passer à 2 048 bits, mais cela pose des problèmes logistiques considérables : si une PKI a émis des milliers de clés, dont certaines installées dans des dispositifs matériels tels que des cartes à puces ou des clés USB, effectuer la mise à jour de ces dispositifs peut s'avérer une tâche inaccessible.

Déterminer la période de risque pour la confidentialité

Les auteurs commencent par définir ce qu'ils appellent la Privacy-Free Window ou PFW (fenêtre de perte de confidentialité). Prenons le cas d'un fichier chiffré à la date courante t_c et qui doit rester secret jusqu'à sa date d'expiration t_e. Supposons qu'à une date t_p les clés publiques générées en t_c soient factorisées, il en résulte que le fichier considéré peut être compromis. Même si les clés publiques ne sont pas factorisées, un autre risque peut survenir, la compromission des clés de session par une avancée de la cryptnanalyse. Si un de ces événements survient avant la date t_e, la confidentialité du fichier ne peut plus être garantie.

La fenêtre de perte de confidentialité (PFW) est le laps de temps qui s'écoule entre la date où l'avancée technologique anéantit la robustesse de la clé qui protège la donnée considérée, en rendant possible la factorisation de la clé publique, et la date d'expiration à compter de laquelle la donnée n'a plus à être protégée soit entre t_c et t_e.

Si les clés n'avaient été utilisées que pour garantir l'authenticité du document par une signature, la période de garantie peut être prolongée au-delà de la date t_c par les procédés décrits par le RFC 3126. Mais il n'existe pas de telle solution pour prolonger la période de confidentialité.

La propriété de confidentialité asymétrique des PKI

Il n'existe donc aucun procédé pour prolonger la période de confidentialité d'un document dont la clé de chiffrement est compromise par les progrès de la cryptanalyse. Mais Chi-Sung Laih et ses co-auteurs ont imaginé un moyen de contournement , qui évite de redéployer les clés et les certificats de tous les utilisateurs d'une PKI, opération forcément lourde et souvent même impossible.

Ils observent que si les utilisateurs des PKI utilisent souvent des clés de 1 024 bits, les autorités de certification des mêmes PKI ont plus souvent recours à des clés de 2 048 bits, voire de 4 096 bits. Le fait que l'autorité de certification (CA) utilise des clés plus robustes que les utilisateurs ordinaires introduit une asymétrie dans la protection, dont ils proposent de tirer parti.

Les auteurs envisagent un cryptosystème analogue à Kerberos, avec un protocole adapté selon leurs recommandations. Kerberos postule des clés de session pré-calculées pour les échanges entre les utilisateurs et l'autorité de certification. À l'inverse, le protocole conforme aux recommandations de nos auteurs ne suppose pas l'existence préalable de clés partagées, mais repose sur la cryptographie à clés publiques pour obtenir une sécurité équivalente au moment de l'échange.

Dans le cas d'un protocole de type Kerberos, quand l'utilisateur A veut échanger des données confidentielles avec l'utilisateur B :

il informe le serveur S de ce projet ;
S répond par un message, chiffré avec la clé publique de A, qui contient un ticket chiffré avec la clé publique de B et une clé de session ;
A peut alors envoyer à B le ticket et partager ainsi la clé de session ;
B répond à A par un message chiffré avec la clé de session, ce qui conclut la cérémonie d'échange de clés.

Selon ce scénario, la confidentialité du document échangé repose sur les échanges n° 2 et n° 3, chiffrés avec les clés publiques de A et de B, longues de 1 024 bits, et de ce fait destinées à être compromises vers 2019.

À l'inverse, dans le cas d'un protocole conforme au scénario proposé par nos auteurs, la sécurité du document sera assurée par des échanges chiffrés avec la clé publique de S, plus longue (2 048 ou 4 096 bits) ; il suffit de faire passer les échanges de clés de session entre A et B par le serveur S, ainsi il seront chiffrés avec la clé privée de ce dernier, plus robuste :

A établit une session avec S, dont les échanges auront le niveau de protection conféré par la clé de S (2 048 ou 4 096 bits) ;
B établit également une session avec S, avec le même niveau de protection ;
les tickets reçus par A et B ont donc été émis avec un niveau de protection élevé, ce qui donne le même niveau de protection à leurs échanges mutuels.

De surcroît, comme les clés de session entre A et S, entre B et S et entre A et B ont été générées à partir de la clé publique de S, elles peuvent, en tant que de besoin, être régénérées à volonté après une élévation du niveau de sécurité de S ; en effet, s'il peut être très difficile de redéployer toute une infrastructure de sécurité sur l'ensemble des postes des utilisateurs, mettre à niveau les serveurs centraux est plus facile, ils sont par définition moins nombreux, et administrés par les autorités qui contrôlent la PKI.

Conclusion

Chi-Sung Laih, Shang-Ming Jen et Chia-Yu Lu ont ainsi mis au point un procédé relativement simple à mettre en œuvre, apte à prolonger la période de confidentialité conférée par une PKI. Leur article procure en outre un algorithme pour déterminer la période de risque, dite Privacy-Free Window (PFW), ce qui permet à l'administrateur de la PKI de planifier les actions nécessaires au maintien des conditions de sécurité des données protégées.

Voir en ligne : Communications of the Association for Computing Machinery

[1] Professeur au Département Electrical Engineering de la National Cheng Kung University, à Tainan (Taiwan), il est mort en 2010.

[2] Un module RSA est le produit N de deux grands nombres premiers p et q de taille voisine. N est un élément de la clé publique, p et q sont des éléments de la clé privée. Décomposer N en ses deux facteurs premiers livre la clé privée. Cf. par exemple la thèse de Jean-Sébastien Coron