Les transactions sécurisées menacées par une vulnérabilité

Une équipe de crypto-analystes américains et européens a étudié 6,7 millions de clefs utilisant l’algorithme RSA. Et il s’avère que 12 270 ne sont pas fiables du tout et que 27 000 d’entre elles sont vulnérables.

L’annonce a fait l’effet d’une bombe dans la communauté des crypto-analystes puisque l’algorithme RSA semblait jusqu’alors inviolable.
C’est précisément mardi dernier que le New York Times a publié un article dévoilant au grand jour cette découverte.

Initialement, les chercheurs en question comptaient publier leur découverte en août 2012 lors d’une conférence dédiée au chiffrement qui se tiendra à Santa Barbara en Californie. L’article (.pdf) soumis pour publication a donc été intercepté et dévoilé.

Peter Eckersley, qui officie pour l’Electronic Frontier Foundation (EFF), explique qu’il s’agit maintenant de régler ce problème au plus vite.

« Nous travaillons désormais 24 heures sur 24 pour informer les parties dont les clefs sont vulnérables et les autorités de certification qui leur ont délivré les certificats, de telle sorte que de nouvelles clefs puissent être générées et que les certificats vulnérables puissent être révoquées. »

Le système SSL qui met en oeuvre l’algorithme RSA repose sur la cryptographie par clef publique de sorte que la transmission de données via le net soit garantie.

Un canal de communication sécurisé est établi entre deux entités (généralement un serveur et un client) suite à une étape d’authentification. La couche SSL vient entre la couche applicative et la couche dédiée au transport tel le protocole TCP.

Une personne se connecte au serveur SSL et s’authentifie généralement. A partir de ce moment, le serveur prend acte de la requête et lui envoie un certificat contenant sa clef publique (valide, c’est-à-dire signée par l’autorité de certification idoine).

Le client à l’origine de la requête vérifie la validité du certificat et génère alors une clef aléatoire. Il utilise alors la clef publique pour chiffrer cette clef aléatoire et lui une clef dite de session pour que le serveur puisse à son tour recomposer la clef privée du client. Les deux parties sont dès lors en possession de la paire de clefs et le canal de communication est de facto établi.

Les systèmes HTTPS et TLS qui procèdent de manière analogue seraient touchés de la même manière.

Selon les chercheurs, sur les certificats incriminés, le bât blesserait sur l’aspect prétendu aléatoire de certaines clefs. Trop prévisibles, elles seraient faciles (peu d’effort de calcul) à reconstituer.

Des hackers pourraient dès lors utiliser cette faille et procéder à des opérations malveillantes. Le chiffrement par clef publique est un système fondamental. Il s’agit de la pierre angulaire des échanges sécurisés sur internet.

Les chercheurs ont donc compris que le problème provenait de « nombres aléatoires insuffisamment bons » mais ne savent pas encore si ce problème est « accidentel » ou bien s’il a été introduit délibérément.

Crédit photo : © Yong Hian Lim-Fotolia.com