Et si pour une fois, je m'attaquais à quelque chose qui me terrifie... l'orthographe. Bon, je ne vais pas prendre de gros risques puisque je vais parler d'un élément que je manipule dans mon job.

Aujourd'hui, on va parler de crypto chiffrage... cryptage ? encryption ? Et pourquoi pas de le crypte tant qu'on y est. 
Bon, avant de parler de cryptographie, je pense que ça serait pas mal qu'on parle vocabulaire. 
> *Mais pourquoi il me prend la tête ! Je dis ce que veux et tout le monde comprendra.*

<center>![image.png](https://i.imgflip.com/1vylhe.jpg)</center>


Eh bah non. C'est bien là le problème. Le vocabulaire autour de la cryptographie a quelque chose d'essentiel dans le monde des technologies de l'information et employer le mauvais mot peut chambouler le sens du propos. 
Ainsi, si je dis
> *Ne t'inquiètes pas Bob, je viens de déchiffrer le message d'Alice*

Bob ne s'en formalisera pas outre mesure qu qu'il m'a donné la clef de déchiffrement. 

Par contre, si je dis
> *Ne t'inquiètes pas Bob, je viens de decrypter le message d'Alice*

Bob aura toute les raisons de s'en inquiéter.  

## La cryptographie. 

On part de loin mais je vais faire court. 
La cryptographie ("secret" - "écriture") est un ensemble de techniques permettant de rendre inintelligible un message aux personnes ne disposant pas du secret. 

On parle habituellement de *clef*, mais le secret peut également être l'algorithme ayant servi à masquer le message. 
Enfin ça, c'était il y a longtemps et une algorithme de ce type pouvait souvent se traduire par une simple transposition de lettres. 
Encore qu'il existe quelques textes encore non décrypter à ce jour à l'instar de [Kryptos](https://fr.m.wikipedia.org/wiki/Kryptos_(sculpture)). 

## Decryptons le chiffrement

Dans mon job mais pas seulement, je vois l'utilisation du mot *crypter* qui semble être un dérivé de du mot *cryptographie*.  En réalité, il vient plutôt de *encrypt*" (ce qui explique le barbarisme *encrypter*). Si on peut discuter de l'usage correct de *crypter*, les termes *chiffrer* et *décrypter* ont des sens totalement opposés.

> Il faut noter que le seul terme admis en français est celui de chiffrement. On entend cependant souvent parler de « cryptage » qui est un anglicisme, voire de « chiffrage », mais ces mots sont incorrects. L’opération inverse du chiffrement est le déchiffrement. On désigne par « décryptage », ou « décryptement », l’opération qui consiste à retrouver le clair correspondant à un chiffré donné sans connaître la clé secrète, après avoir trouvé une faille dans l’algorithme de chiffrement. 

source : [ANSSI](https://www.ssi.gouv.fr/uploads/2015/01/RGS_v-2-0_B1.pdf)

Un petit résumé :
* **Crypter / Cryptage** : C'est NON
* **Chiffrer** : Action de rendre secret un message à l'aide d'une clef (*secrète et symétrique* **ou** *publique et asymétrique*)
* **Déchiffrer** : Action de rendre lisible un message secret à l'aide d'une clef (*secrète et symétrique* **ou** *privée et asymétrique*)
* **Décrypter** (casser) : Action de rendre lisible un message secret sans l'aide d'une clef en *exploitant* une faiblesse algorithmique
* **Chiffrage** : Rien à voir, c'est de la comptabilité 
* **Encrypter** : pitié non ...

## Le cas md5, SHA and co

Avant d'aller plus avant, je dois vous parler des metadonnées. Une métadonnée est littéralement une information décrivant une autre information. Par exemple, le nom d'un fichier, sa taille, son type sont des métadonnées du fichier en question. Dans certain cas, nous avons besoin d'avoir un résumé du fichier (comme pour un texte). On appelle ça une emprunte numérique, un hache, un résumé ou un condensé. Nous l'utilisons de temps à autre pour vérifier qu'un fichier n'a pas été altéré durant un téléchargement.

Cette fonction bien particulière permettant de faire ceci

>*Fichier*(A) -> **Fonction de hache** -> *Résumé*(A).

Mais pas cela
>*Résumé*(A) -> **Fonction de hache** -> *Fichier*(A).

Si cela peut vous surprendre, demandez-vous si vous seriez capable de retrouver un le texte original  partir d'un résumé ? 

En plus de cela, il faut savoir que *Résumé(A)* est le **résultat exclusif** de *Fichier(A)* (et dans le cas contraire, on appelle ça une collision).

A partir de là, peut-on dire qu'une fonction de hache permet de chiffrer des informations ? 
**Non**, car un hache ne permet pas de retrouver le contenu du message d'origine.

# Element de confusion, les mots de passe

Je crois que la confusion vient du fait que les fonctions de hache sont très (très très très) souvent utilisées pour stocker les mots de passe de manière sécurisée.
L'idée évidente est qu'on ne peut (doit) pas stocker en clair un mot de passe. D'une part car c'est trop risqué, mais d'autre part, car ce n'est ni utile ni pratique. 
Pratique ? Car utilisé un algorithme de chiffrement obligerait à diffuser des clefs asymétriques. C'est une solution complexe qui n'a pas forcément grand intérêt sachant qu'un hébergeur n'a pas à connaitre votre mot de passe.

Vous avez remarqué, je viens d'opposer les fonctions de *hache* et de *chiffrement*.
Bingo, vous avez compris que ce sont  deux fonctions totalement différentes et répondant à des besoins différents. 

# Et la signature numérique ?

C'est en principe là qu'une personne se lève pour m'objecter que la signature numérique  utilise justement une clef. 
Signer numériquement un document permet de le certifier. Sans le savoir, vous vérifiez des dizaines de fois par jour ce type de documents... Lorsque vous allez sur le site de votre banque, votre webmail, steemit. Il s'agit du certificat de sécurité permettant de certifier que le site auquel vous accédez n'a pas été usurpé. 
<center>![image.png](https://res.cloudinary.com/hpiynhbhq/image/upload/v1505592076/ah8och3qejub9qagjizs.png)</center>

Ce certificat contient une *signature numérique*. Il s'agit d'un *résumé* (hache) du certificat chiffré par la clef secrète d'une autorité de certification. Cette autorité est connue par votre système d'exploitation ou votre navigateur. On dit également que le certificat xxx a été signé par yyy.

Pour *Steemit*, il s'agit de l'autorité **[Starfield](https://www.starfieldtech.com/our-company.html)**

Ici, c'est le *résumé* qui a été chiffré. c'est donc une métadonnée.
<center>![image.png](https://res.cloudinary.com/hpiynhbhq/image/upload/v1505592514/r2gl7nj5t2e6pwtn2ttl.png)
*Source: Wikipedia*</center>
<br/>
## Conclusion

On ne dit pas *"Je vais crypter le message avant de l'envoyer"*, mais *"Je vais chiffrer le message avant de l'envoyer"*.
On ne dit pas *"Je vais chiffrer les mots de passe dans la base"*, mais *"Je vais hacher les mots de passe dans la base"*.
On ne dit pas *"Je vais chiffrer le certificat public du serveur"*, mais *"Je vais signer la requête de certification du serveur"* (oui je suis pointilleux).

J'espère avoir été clair sur les différents termes entourant le monde de la cryptographie.