Clé USB a chiffrement asymetrique pour la DGSE
Cette idée m'ai venu après avoir écouté l'interview de Maxime Renah par Thinkerview. Maxime explique qu'il devait entrer un mot de passe pour utiliser la clé et y déposer ces fichiers. On peut donc subodorer que le chiffrement utilisé était de type symétrique (AES & co). Cette méthode est bonne d'un point de vue vitesse de chiffrement mais comporte quelques risques et inconvénients :
- À chaque fois que l'informateur utilise la clé l'ensemble des fichiers sont potentiellement accessible (keylogger qui capte le mot de passe)
- Utilisation d'un logiciel tiers sur l'ordinateur source. L'informateur ne peut donc pas utiliser la clé sur n'importe quelle machine.
- L'informateur est en capacité de déchiffrer l'ensemble des fichiers. Quid de l’interrogatoire ?
Je propose donc une clé type mini board c'est-à-dire capable d’exécuter du code simple et équiper de trois mémoires, une mémoire classique, une mémoire RAM (mémoire vive), une "read only". Elle fonctionnerait alors comme suit :
- Les services générés une paire de clés et place la clé publique dans la mémoire "read only".
- Lors d'une connexion seule la mémoire RAM est monté.
- L'informateur copie les fichiers comme il le ferait avec une clé classique.
- Durant le transfert la clé chiffre les fichiers avec la clé publique vers la mémoire chiffrée. Puis efface "proprement" la RAM.
Si la clé est déconnectée trop top la RAM assure la perte des données non chiffré. Une fois la clé récupérée les services monte la partie chiffrée "manuellement" et déchiffre les données grâce à leur clé privée.
Cette méthode me semble plus sûre en termes de sécurité mais je m'interroge sur la rapidité de chiffrement. Le chiffrement asymétrique est réputé lent et consommateur en ressource. Mais d'après une estimation au doigt mouillé on devrait rester en dessous de la minute / Go
Mais il y a mieux :
- À chaque nouveau transfert une clé aléatoire est générer pour chiffrer symétriquement les fichiers du transfert
- La dite clé est-elle même chiffrée avec la clé publique puis stocké dans la partie chiffrée