Pour chiffrer ses données, Cloudflare fait dans l'originalité

Proposé par
le

La société Cloudflare, par laquelle passe entre 5 et 10% du trafic internet mondial, utilise un moyen original pour chiffrer les flux de données transitant via son service : la compagnie filme en permanence un mur de 100 lampes à lave situé à son siège à San Francisco. Les mouvements étant imprévisibles, cela génère des clés de chiffrements très aléatoires, rendant très sécurisé le système.

Cloudflare filme également un « pendule chaotique » (situé à Londres), dont le mouvement est également imprévisible (du moins, personne n’a encore trouvé de modèle mathématique) et également les données d’un compteur Geiger qui mesure la radioactivité d’un petit échantillon de matière radioactive (situé à Singapour). Le mélange de toutes ces données génère des clés de chiffrement permettant un système très sécurisé.


Tous les commentaires (50)

Du coup ma calculatrice qui avait une option « random » n’était pas du tout aléatoire.

a écrit : J’ai juste l’impression qu’il est dangereux de confier ces mots de passe à un logiciel qui peut lui même être piraté ou revendu.
Pour les mots de passe c’est la longueur qui prime de toute façon donc : « un cheval blanc et noir » est plus sécurisé que « 143&€)(@& » contrairement à ce qu’on nous rabâche d
epuis des années. Pour les mots de passe j’utilise la même méthode de construction à chaque fois ce qui permet de les rendre différents pour chaque site.
Une base commune a tous genre : « jeviensouventsurscmb »
Un suffixe suivant le niveau de sécurité à mettre au site genre une couleur ou une suite de nombre par exemple : « bleu »  « rouge » etc
Un dernier suffixe lié au site : les 4 dernières lettre de l’URL par exemple ou l’abréviation: « scmb »
On a donc : « jevienssouventsurscmbbleuscmb »
Pour facebook tu auras « jevienssouventsurscmbrougebook »

Puis tous les mois tu changes ta base ou ton suffixe et tu ne retiens que la construction. Si quelqu’un trouve ta méthode alors normalement c’est ton deuxième suffixe qui doit permettre de te protéger. Je conseille aussi d’avoir une base unique pour l’adresse mail de référence pour les différents comptes.
Afficher tout
C’est d’après moi une excellente méthode.
Un algorithme, avec une base commune, suivit ou précédé de clés supplémentaires que seul l’auteur connaît.
Plus il y a de clés, plus il sera dur d’adapter l’algorithme aux autre site web si un jour un des mots de passe apparaissait en clair.
J’utilise la même méthode avec un chiffrement que j’appelle «algorithme sur 3 bit »
- Commun
- Clé no 1 (qui dépend d’une particularité du site web)
- Clé no 2 (qui dépend du résultat de commun + clé 1)
C’est trop agréable, tu te connectes à la CPAM (une fois par an) tu sors ton tel pour te rappeler ton identifiant à 22 chiffres et la tu tape ton algorithme et quand “bienvenue” s’affiche, tu te dis “c’est cool comme technique”
Inconvenient, certains sites bloquent les longueurs max ou imposent parfois que des chiffres... mais c’est plutôt rare.

a écrit : J’ai juste l’impression qu’il est dangereux de confier ces mots de passe à un logiciel qui peut lui même être piraté ou revendu.
Pour les mots de passe c’est la longueur qui prime de toute façon donc : « un cheval blanc et noir » est plus sécurisé que « 143&€)(@& » contrairement à ce qu’on nous rabâche d
epuis des années. Pour les mots de passe j’utilise la même méthode de construction à chaque fois ce qui permet de les rendre différents pour chaque site.
Une base commune a tous genre : « jeviensouventsurscmb »
Un suffixe suivant le niveau de sécurité à mettre au site genre une couleur ou une suite de nombre par exemple : « bleu »  « rouge » etc
Un dernier suffixe lié au site : les 4 dernières lettre de l’URL par exemple ou l’abréviation: « scmb »
On a donc : « jevienssouventsurscmbbleuscmb »
Pour facebook tu auras « jevienssouventsurscmbrougebook »

Puis tous les mois tu changes ta base ou ton suffixe et tu ne retiens que la construction. Si quelqu’un trouve ta méthode alors normalement c’est ton deuxième suffixe qui doit permettre de te protéger. Je conseille aussi d’avoir une base unique pour l’adresse mail de référence pour les différents comptes.
Afficher tout
Peu importe où ils sont stocké, ils sont sensé est hashé, donc pas vraiment de risque.

Bon, j’ai peut être un peu exagéré sur mon commentaire précédent, avec 4 mots de passe, je pense que mon algo peut être cassé, surtout si il y a Alan Turing dans l’équipe d’analyste.
Dans ce cas, je vais revoir mon chiffrement, et je vais passer à une adresse mail différente par site web (avec chiffrement) et un mot de passe chiffré sur 5 bit :-)

[email protected]
mdp45@eniamod

Aller TybsXckZ, à toi de casser mon nouvel algo ;-)

a écrit : Je parlais de dash. Je ne connais pas keepass. Merci pour l’info. KeePass, c’est LE logiciel qu’il faut pour la gestion des mots de passe, surtout dans le cadre professionnel ou plusieurs personnes sont amenées à se connecter avec des login/mdp commun, car totalement « offline ».
Le truc est quasi inviolable.
Le gros défaut de KeePass, contrairement à la technique dont TybsXckZ et moi parlions, c’est que si quelqu’un trouve le mot de passe de la base... alors la c’est foutu !
Il faut tout changer et alors la, bon courage, surtout si en plus, le pirate a changé le mots de passe de la base .kpx)
Sur mon Mac, si un “pirate” essai d’installer un KeyLogger (déjà c’est compliqué, mais admettons) et qu’il arrive à obtenir plusieurs de mes mots de passe car son espionnage a duré 3 semaines, il sera incapable d’en déduire mes autres mots de passe (même s’il a une machine Enigma :-)

Un épisode au début de la saison 16 de NCIS parle de ce système. Est-ce que la faille trouver dans la série peut être vrai, à voir.

On pourrait filmer une partie précise de l'océan, avec des caméras très hautes définitions,et des capteurs de lumières très sensibles. Y définir plusieurs zones. Pour se servir du scintillement de l'eau, comme générateur de clés. Avec plusieurs zones on pourrait définir plusieurs clés et les combinés pour rendre le système encore plus sécurisé, on pourrait également le faire pendant la nuit en éclairant les zones aléatoirement durant un temps aléatoire pour combiner le même nombre de clés qui pour le coup peut générer plusieurs clés dans la même zone.
On pourrait créer ce système embarqué dans une bouée qui elle même de façon aléatoire, par rapport au courant qu'elle traverse, rendrait les clés increvables.

Si plusieurs bouées sont lâchés sur les océans on pourrait changer leurs adresses ipV16 par un logiciel qui générera de manière aléatoire les numéros d'attribution et les adresses ip et renouvellera cette opération toutes les 5 secondes par exemple afin de sécuriser la transmission des données aux terminaux récepteurs.

Plus hard :
On pourrait créés de nouveaux postes, en maintenant fermement la tête des embauchés afin de capter leurs clignements des yeux, pendant 7h en faisant des roulements. Devant un écrans avec la multitude de films existants dans le monde(je parle de tous les films lol) et de façon complètement aléatoire par d'autres embauchés choisis pour sélectionner un film généré dans une liste elle même cree de manière aléatoire parmi un nombre aléatoire lui aussi de possibilité.
La mise en œuvre de ce système peut aussi être complètement gratuite.
On pourrait tout simplement sur les écrans (connectés, ordinateur, console portable, Smartphone ), mettre une mini camera munie d'une intelligence artificielle qui lui permettrait d'analyser une image reçu pour repérer les clignements des yeux ou autres selon l'éthique des constructeurs et des décideurs.
Et ceux de manière complètement aléatoire a travers le monde !!

On pourrait se servir des caméras des réseaux autoroutiers là aussi dotées d'une intelligence artificielle a fin de repérer les feux de ralentissement arrière des véhicules, et de combiner les informations de plusieurs caméras pour générer une clés. On ferrait appel à plusieurs caméras au hasard sur le réseaux.

Vous trouvez mes idées merdiques :D ou fantastique ?

a écrit : KeePass, c’est LE logiciel qu’il faut pour la gestion des mots de passe, surtout dans le cadre professionnel ou plusieurs personnes sont amenées à se connecter avec des login/mdp commun, car totalement « offline ».
Le truc est quasi inviolable.
Le gros défaut de KeePass, contrairement à la technique dont Ty
bsXckZ et moi parlions, c’est que si quelqu’un trouve le mot de passe de la base... alors la c’est foutu !
Il faut tout changer et alors la, bon courage, surtout si en plus, le pirate a changé le mots de passe de la base .kpx)
Sur mon Mac, si un “pirate” essai d’installer un KeyLogger (déjà c’est compliqué, mais admettons) et qu’il arrive à obtenir plusieurs de mes mots de passe car son espionnage a duré 3 semaines, il sera incapable d’en déduire mes autres mots de passe (même s’il a une machine Enigma :-)
Afficher tout
L’autre problème de ces générateurs de mdp c’est qu’il devient difficile de se connecter sur une autre machine alors que notre tête normalement elle est toujours sur nous ;).
Ensuite rien n’est inviolable évidemment si on a un peu de temps ;)

a écrit : L’autre problème de ces générateurs de mdp c’est qu’il devient difficile de se connecter sur une autre machine alors que notre tête normalement elle est toujours sur nous ;).
Ensuite rien n’est inviolable évidemment si on a un peu de temps ;)
Le plus secure reste la clef de chiffrement, genre Yubico.

Ton mot de passe n’a plus trop d’importance. Même si quelqu’un le découvre, il ne peut pas accéder à ton compte sans ta clef physique.

Certaine on même un lecteur d’empreinte digital (au cas où on te vol la clef)

Alors il te faut ta clef tout le temps avec toi c’est vrai mais bon si tu en es à utiliser une clef de chiffrement c’est que ta sécurité t’importe vraiment donc c’est pas bien important d’avoir une petite clef usb avec toi tout le temps. Ils en font même des minis qui peuvent rester sur ton ordi tout le temps.

Le problème c’est qu’elles ne fonctionnent pas avec tous les sites. Par contre ça marche avec certains gestionnaires de mdp. Donc une bonne technique pour garder le mdp master safe.

Surtout ne pas oublier d’avoir plusieurs clef de secours cachées. En cas de perte.

a écrit : Pour stocker des dizaines de mot de passe totalement incassables j'ai plus confiance en un gestionnaire de mot de passe qu'en ma tête. Et je conseille à tous le monde à faire de même, car la plupart du temps les gens qui veulent les retenir créent des mot de passe simple et utilisent le même sur plusieurs sites.
Mais si t'arrives a retenir à bon mot de passe différent pour chaque site ou tu vas, franchement bravo ! :)
Afficher tout
Pour mon compte Google, c'est GoogleOffMe00
Pour mon compte Microsoft c'est MicrosoftOfMe00
Twitter, TwitterOfMe00
Facebook, FacebookOfMe00

Vous voyez...j'y arrivé très bien.

a écrit : Le plus secure reste la clef de chiffrement, genre Yubico.

Ton mot de passe n’a plus trop d’importance. Même si quelqu’un le découvre, il ne peut pas accéder à ton compte sans ta clef physique.

Certaine on même un lecteur d’empreinte digital (au cas où on te vol la clef)

Alors i
l te faut ta clef tout le temps avec toi c’est vrai mais bon si tu en es à utiliser une clef de chiffrement c’est que ta sécurité t’importe vraiment donc c’est pas bien important d’avoir une petite clef usb avec toi tout le temps. Ils en font même des minis qui peuvent rester sur ton ordi tout le temps.

Le problème c’est qu’elles ne fonctionnent pas avec tous les sites. Par contre ça marche avec certains gestionnaires de mdp. Donc une bonne technique pour garder le mdp master safe.

Surtout ne pas oublier d’avoir plusieurs clef de secours cachées. En cas de perte.
Afficher tout
Essais à l’occasion de déverrouiller le smartphone de ton pote pendant qu’il dort avec son empreinte digital...
les clés « physiques », qu’elles soient à empreinte ou autres ne doivent rester qu’en complément d’un mot de passe compliqué.

a écrit : L’autre problème de ces générateurs de mdp c’est qu’il devient difficile de se connecter sur une autre machine alors que notre tête normalement elle est toujours sur nous ;).
Ensuite rien n’est inviolable évidemment si on a un peu de temps ;)
Moi perso, j'utilise keepass pour gérer mes mdp, de ce fait je n'en connais plus aucun, vu que je génère un mdp random de 240bits sur chaque site. Hf pour l'éventuel pirate.

Et la BD est stockée sur Nas accessible en webdav sur mes périphériques.

Autrement dis le pirate doit choper mes log nas protégés par double identification, et mon mdp maître.

a écrit : J’ai juste l’impression qu’il est dangereux de confier ces mots de passe à un logiciel qui peut lui même être piraté ou revendu.
Pour les mots de passe c’est la longueur qui prime de toute façon donc : « un cheval blanc et noir » est plus sécurisé que « 143&€)(@& » contrairement à ce qu’on nous rabâche d
epuis des années. Pour les mots de passe j’utilise la même méthode de construction à chaque fois ce qui permet de les rendre différents pour chaque site.
Une base commune a tous genre : « jeviensouventsurscmb »
Un suffixe suivant le niveau de sécurité à mettre au site genre une couleur ou une suite de nombre par exemple : « bleu »  « rouge » etc
Un dernier suffixe lié au site : les 4 dernières lettre de l’URL par exemple ou l’abréviation: « scmb »
On a donc : « jevienssouventsurscmbbleuscmb »
Pour facebook tu auras « jevienssouventsurscmbrougebook »

Puis tous les mois tu changes ta base ou ton suffixe et tu ne retiens que la construction. Si quelqu’un trouve ta méthode alors normalement c’est ton deuxième suffixe qui doit permettre de te protéger. Je conseille aussi d’avoir une base unique pour l’adresse mail de référence pour les différents comptes.
Afficher tout
Malheureusement ce que tu dis est faux, un mot de passe plus long n'est pas plus sécurisé. Dans ton exemple, le mot de passe plus long que tu as donné est très vulnérable a une attaque par dictionnaire, alors que le second ne pourra être trouvé que par le brute force. Aujourd'hui, 12 caractères suffisent largement a s'abriter d'un bruteforce.
Concernant ton astuce, elle peut être utile pour les sites pas important, mais pour les choses sensibles rien ne sera meilleur qu'un gestionnaire de mot de passe avec des longs mots de passe générés aléatoirement.

a écrit : Malheureusement ce que tu dis est faux, un mot de passe plus long n'est pas plus sécurisé. Dans ton exemple, le mot de passe plus long que tu as donné est très vulnérable a une attaque par dictionnaire, alors que le second ne pourra être trouvé que par le brute force. Aujourd'hui, 12 caractères suffisent largement a s'abriter d'un bruteforce.
Concernant ton astuce, elle peut être utile pour les sites pas important, mais pour les choses sensibles rien ne sera meilleur qu'un gestionnaire de mot de passe avec des longs mots de passe générés aléatoirement.
Afficher tout
www.google.lu/amp/s/amp.lefigaro.fr/secteur/high-tech/2017/08/09/32001-20170809ARTFIG00161-pour-trouver-un-mot-de-passe-sur-pas-besoin-de-caracteres-speciaux-ou-de-majuscules.php

On n’a pas moyen de trouver des vidéos de ces différentes méthodes ? Ça doit être assez hypnotisant ^^

a écrit : Malheureusement ce que tu dis est faux, un mot de passe plus long n'est pas plus sécurisé. Dans ton exemple, le mot de passe plus long que tu as donné est très vulnérable a une attaque par dictionnaire, alors que le second ne pourra être trouvé que par le brute force. Aujourd'hui, 12 caractères suffisent largement a s'abriter d'un bruteforce.
Concernant ton astuce, elle peut être utile pour les sites pas important, mais pour les choses sensibles rien ne sera meilleur qu'un gestionnaire de mot de passe avec des longs mots de passe générés aléatoirement.
Afficher tout
C’est certain que si ton mot de passe est généré par KeePass ou Trousseau (Apple) et que tu obtiens : « cztvgjovst895€63chijr379gk52f89 »
Il va être très difficile à pirater, mais comme je l’ai cité plus haut, pirater ta base keepass ou ton Mac, sera bien plus simple et après le pirate aura accès à tout !
Rien ne vaut - d’après moi - l’algorithmique, car le seul moyen que les pirates accèdent à tout mes mots de passe, bah c’est qu’il me force à les révéler... et je n’ai pas accès à des connaissances qui ferait de moi une cible potentielle, donc, pour l’instant je dors tranquille.

Désolé de casser l’ambiance mais il me semble que cloudflare l’utilise pas réellement actuellement. Enft c’est surtout une décoration et pour montrer au visiteur ce qu’est un seed. Il pourrait l’utiliser en cas de problème avec leur première seed, il est présent en tant que sécurité

a écrit : À savoir que le RNG (random number generation) dont on parle souvent n'est que du PRNG (pseudo RNG) : générer quelque chose de manière totalement aléatoire est extrêmement difficile...
En générale on utilise une seed (graine) pour générer de l'aléatoire (ici les fameuses lampes).
Ce n'est pas difficile ; c'est impossible. En informatique, l'aléatoire n'existe pas.

a écrit : www.google.lu/amp/s/amp.lefigaro.fr/secteur/high-tech/2017/08/09/32001-20170809ARTFIG00161-pour-trouver-un-mot-de-passe-sur-pas-besoin-de-caracteres-speciaux-ou-de-majuscules.php Le gros problème avec ton approche, c’est que quelqu’un ayant réussi à récupérer un seul de tes mots de passe peut facilement deviner tous les autres.
Il y a en gros 2 façons de voler des mots de passe :
- Par fishing, en dirigeant la victime sur un faux site ou en installant un malware.
- En volant les bases de comptes d’un site web
Le premier est le plus courant, et fournit les mots de passe en clair.
Avoir un mot de passe long et/ou complexe ne sert à rien.
Il est par contre important qu’il ne donne pas d’indication sur tes autres mots de passe.
Lorsque c’est la base de comptes du fournisseur qui a été dérobée, oui le plus important est la longueur du mot de passe et son unicité.
La complexité ne sert à presque rien.
Par contre, les hackers utilisent des attaques par dictionnaire , en combinant plusieurs mots/chiffres.
Un mot de passe complètement aléatoire est préférable.
Je travaille dans la cyber sécurité depuis des années. Des login/mots de passe volés, j’en ai vu plus d’un million.
Par contre, jusqu’à présent, je n’ai vu aucun cas de mot de passe principal de dashlane, keepass ou autre dérobé.
Le NIST, que tu cites dans ton article, a enfin compris que la complexité est une connerie. On était quelques uns à le dire depuis des années, pour les raisons exposées: La majuscule, tout le monde la met en premier caractère etc.
Mais jusqu’à peu, on restait inaudibles.
De même que forcer un changement de mot de passe trop souvent est contre productif.
Gardons à l’esprit: La sécurité des cartes bancaires repose sur un code pin de 4 chiffres qui ne change jamais.