Le Monde
CRYPTOLOGIE « BUG » ET « PORTE DÉROBÉE »
Deux experts mettent en garde
COUP sur coup, deux spécialistes
mondiaux de la cryptologie – la
science des codes secrets – viennent
de lancer des mises en garde
concernant la sécurité des systèmes
d’information. La stature des
deux personnages rend leurs avertissements
– distincts – parfaitement
crédibles.
Le premier est Adi Shamir, le
« S » de RSA, un système de cryptographie
à clé publique–garantissant
la sécurité des transactions en
ligne – parmi les plus utilisés dans
le monde. Il y a quelques jours, ce
chercheur du Weizmann Institute
(Israël) a diffusé auprès de ses collègues
une note intitulée « Les
bugs des microprocesseurs peuvent
être des désastres pour la sécurité
».
Il y décrit la façon dont de petites
erreurs dans la réalisation de
calculs élémentaires au sein des
puces électroniques pourraient
être exploitées pour déchiffrer les
clés de chiffrement censées assurer
la sécurité des échanges en
ligne.« Une simple anomalie (innocente
ou intentionnelle) pourrait
conduire à un immense désastre de
sécurité, qui pourrait être exploité
secrètement, de façon indétectable,
par une organisation d’espionnage
sophistiquée », conclut Adi Shamir.
La seconde alarme vient de Bruce
Schneier, qui, le 15 novembre,
sur son blog, a déconseillé l’usage
d’un générateur de nombres aléatoires
– une brique de base de la
cryptographie moderne – approuvé
par le département du commerce
américain. L’algorithme en
question « comprend une faiblesse
qui ne peut être décrite que comme
une porte dérobée »permettant l’accès
aux données protégées, écrit-il.
Or ce programme a été fortement
soutenu par la National Security
Agency (NSA), l’agence américaine
spécialisée dans la surveillance
des communications.
Interrogé par le New York Times
sur l’attaque qu’il décrit, Adi Shamir
a admis qu’il n’avait aucune
preuve qu’elle soit actuellement
mise en oeuvre par quiconque.
Mais la complexité croissante des
microprocesseurs et le secret qui
entoure leur mise au point ne permet
pas d’exclure le fait qu’ils
contiennent de telles failles : au
milieu des années 1990, le microprocesseur
Pentium d’Intel avait
présenté des problèmes dansla réalisation
de divisions, rappelle le
chercheur.
Chez le fabricant de processeurs
Intel, on souligne que la menace
découverte par Adi Shamir est
« théorique », mais que des vulnérabilités
de ce type, régulièrement
rendues publiques, font l’objet
d’une surveillance attentive.
Contre-mesures
« Une contre-mesure consiste à
vérifier tous les calculs cryptographiques
pour envoyer sans risque les
résultats de ceux d’entre eux utilisant
les secrets qui pourraient être
compromis, souligne Jean-Jacques
Quisquater (Université catholique
de Louvain, Belgique). Mais, dans
certains cas, la vérification coûte
plus cher [en calcul] que l’exécution
même de l’algorithme cryptographique.
»
A court terme, estime le chercheur,
le problème évoqué par Bruce
Schneier est « certainement plus
dangereux ». Les deux annonces
sont en tout cas propres à nourrir
une théorie de la conspiration,
convient Jean-Jacques Quisquater.
« Mais n’est-ce pas toujours le cas
lorsqu’on évoque le nom de la NSA,
s’interroge-t-il. Ses agents ne sontils
pas payés pour espionner ? »
Hervé Morin
ben apparemment il y en a deux...donc cest de bien connaitre aussi l'autre non?