RC4 (ou Rivest Cipher 4) est une forme de chiffrement en continu.Il utilise un algorithme pour chiffrer les messages par tranches d'un seul octet (byte).

Les chiffrements en continu sont très nombreux, mais RC4 fait partie des plus utilisés.Son utilisation est simple. Il est rapide, même avec des volumes de données importants.Si vous avez déjà utilisé une application comme TSL (Transport Layer Security) ou SSL (Secure Socket Layer), vous avez probablement déjà vu des chiffrements RC4. 

Mais vous ne savez pas comment il fonctionne.

Par une approche didactique, nous essayerons de vous expliquer le chiffrement Rivest en des termes compréhensibles par tous.Nous présenterons ses avantages en termes d'utilité, tout en signalant quelques limites connues.

Qu'est-ce qu'un chiffrement Rivest ? 

En 1987, Ron Rivest a développé la méthode de chiffrement RC4.Son intention initiale était de garder secrètes les règles de son chiffrement. Si cela avait été possible, il aurait créé l'un des outils les plus sûrs que l'on puisse utiliser pour protéger des informations.Malheureusement, son plan n'a pas réussi. 

En 1994, la description détaillée des règles de chiffrement a été publiée par une personne anonyme dans un espace public.Les règles du RC4 sont donc publiques depuis cette date et nous en savons beaucoup plus sur son fonctionnement.Malheureusement, cela signifie aussi que les pirates sont très bien informés pour le craquer. 

Le RC4 dépend des éléments suivants :

• Clés de chiffrement.Cet outil génère des numéros à huit bits (les chiffres) impossibles à deviner. 
• Flux de clés. Le processus de chiffrement brouille le texte ordinaire à protéger. 
• Produit. Une opération X-OR combine le chiffre avec le flux de clés (ou keystreams). 

Les développeurs continuent de développer et d'améliorer le chiffrement RC4.Ils espèrent minimiser les risques de piratage, même si les experts estiment que les efforts incessants des pirates leur permettent parfois de réussir.Les nouvelles versions incluent : RC4A, VMPC et SPRITZ. Les versions sont de plus en plus complexes et doivent nécessiter de plus en plus de temps pour être craquer, mais le risque persiste. 

Les programmeurs continuent de renforcer les outils de ce type pour lutter contre les risques permanents de piratage.Le chiffrement protège les informations les plus sensibles, telles que les secrets commerciaux des entreprises.Le partage des données est indispensable pour toutes les personnes qui ont besoin de collaborer sur des projets.Sans chiffrement, n'importe qui pourrait accéder aux données échangées.  

Si les outils de chiffrement sont faibles, ils créent des vulnérabilités que les hackers peuvent exploiter. Plus le système est solide, plus il vous protège avec efficacité.

Comment fonctionne le RC4 ? 

Le chiffrement RC4 n'est pas utilisé partout. En fait, l'Internet Engineering Task Force a explicitement interdit l'utilisation du RC4 dans certains espaces. Savoir comment fonctionne cet outil peut vous aider à l'améliorer lorsque vous avez besoin de renforcer la protection de vos données. 

Pour simplifier, le RC4 est basé sur ce modèle étape par étape :

• Création : Vous saisissez une clé secrète et le texte à protéger. 
• Chiffrement : Le processus de chiffrement brouille le texte avec la clé saisie. Ce processus travaille octet par octet, et non pas par sections ou blocs. 
• Envoi : Le texte chiffré est envoyé au destinataire sélectionné.Cette personne doit avoir une copie de la clé secrète utilisée pour protéger le texte. 
• Déchiffrement : Le destinataire inverse ces étapes pour récupérer le texte original. 

Pour les plus matheux, creusons un peu plus loin.RC4 est basé sur deux concepts mathématiques :

• KSA : Un algorithme d'ordonnancement par clé initialise le processus dans un tableau généralement appelé "S".Ce tableau "S" est traité 256 fois. Les octets de la clé sont eux-aussi intégrés dans le message final. 
• PRGA: Les données sont introduites octet par octet et un modèle mathématique les modifie.Le modèle recherche des valeurs, les ajoute à 256 et utilise la somme comme l'octet dans le flux de données.Il échange chaque élément avec un autre au moins une fois tous les 256 fois. 

RC4 utilise des générateurs de numéros aléatoires.Mais contrairement à d'autres algorithmes de chiffrement, RC4 ne nécessite pas de registres de décalage à rétroaction linéaire. 

Les outils de chiffrement du RC4 sont sophistiqués.Ils contiennent généralement 256 octets. Avant d'être considéré comme complet, le texte doit être traité plusieurs fois par des règles mathématiques. Si vous interceptez des données chiffrées avec RC4, vous ne verrez qu'une série de zéros et de uns.Et vous ne pouvez transformer ces données en informations lisibles que si vous avez la bonne clé.

Malgré sa complexité, RC4 est remarquablement rapide.C'est même l'un des outils les plus rapides du marché.Son niveau de performance est idéal pour tous ceux qui ne veulent pas attendre de longues minutes pendant le chiffrement et le déchiffrement.

Avantages et inconvénients du RC4

Faut-il utiliser ce type de chiffrement ou devriez-vous continuer à chercher l'outil parfait à tous points de vue ?Une bonne compréhension des risques et des avantages vous aidera à faire un choix judicieux pour vous et votre entreprise.. 

La rapidité et la facilité d'utilisation font partie des principaux avantages du RC4.Avec seulement quelques lignes de code, vous pouvez mettre en œuvre le chiffrement RC4, et sans avoir à supporter aucune sorte de décalage, ni ralentir vos utilisateurs. 

Mais le RC4 peut être piraté, surtout si vous utilisez plusieurs fois la même clé. Si un hacker déchiffre le code une fois et que vous réutilisez la même clé, vous lui ouvrez la porte pour décoder toutes vos communications.Il convient donc d'être toujours rigoureux. 

RC4 n'est pas non plus la meilleure solution pour envoyer des volumes de données très petits.Cet outil est conçu pour traiter de grands volumes d'informations. À tel point que sa protection peut être remise en cause s'il est appliqué à de petits éléments.

Pour aller plus loin que le chiffrement

Le chiffrement ordinaire des échanges de données devrait faire partie du plan de sécurité de chaque entreprise.Et vous devriez aussi protéger vos serveurs. Vous aurez donc besoin d'outils pour repérer et bloquer les logiciels malveillants.Nous pouvons vous aider.

Okta est un leader du secteur de la sécurité. Pour en savoir plus.

Références

"The Most Efficient Distinguishing Attack on VMPC and RC4A. ECRYPT. 

Ethical Hacking: Breaking Cryptography (For Hackers). (Septembre 2019). Infosec. 

Prohibiting RC4 Cipher Suites. (Février 2015). Internet Engineering Task Force.

The RC4 Stream Encryption Algorithm. (2005). William Stallings. 

Stream Ciphers and Message Integrity. (Juin 2017). Alexei Kojenov.