mercredi 18 octobre 2017

Accueil du site > Informatique > Sécurité Informatique > Deux experts mettent en garde sur la sécurité sur Internet

Deux experts mettent en garde sur la sécurité sur Internet

Hervé Morin, le Monde

mardi 20 novembre 2007, sélectionné par Spyworld

logo

Coup sur coup, deux spécialistes mondiaux de la cryptologie - la science des codes secrets - viennent de lancer des mises en garde concernant la sécurité des systèmes d’information. La stature des deux personnages rend leurs avertissements - distincts - parfaitement crédibles.

Le premier est Adi Shamir, le "S" de RSA, un système de cryptographie à clé publique - garantissant la sécurité des transactions en ligne - parmi les plus utilisés dans le monde. Il y a quelques jours, ce chercheur du Weizmann Institute (Israël) a diffusé auprès de ses collègues une note intitulée "Les bugs des microprocesseurs peuvent être des désastres pour la sécurité".

Il y décrit la façon dont de petites erreurs dans la réalisation de calculs élémentaires au sein des puces électroniques pourraient être exploitées pour déchiffrer les clés de chiffrement censées assurer la sécurité des échanges en ligne. "Une simple anomalie (innocente ou intentionnelle) pourrait conduire à un immense désastre de sécurité, qui pourrait être exploité secrètement, de façon indétectable, par une organisation d’espionnage sophistiquée", conclut Adi Shamir.

La seconde alarme vient de Bruce Schneier, qui, le 15 novembre, sur son blog, a déconseillé l’usage d’un générateur de nombres aléatoires - une brique de base de la cryptographie moderne - approuvé par le département du commerce américain. L’algorithme en question "comprend une faiblesse qui ne peut être décrite que comme une porte dérobée" permettant l’accès aux données protégées, écrit-il. Or ce programme a été fortement soutenu par la National Security Agency (NSA), l’agence américaine spécialisée dans la surveillance des communications.

Interrogé par le New York Times sur l’attaque qu’il décrit, Adi Shamir a admis qu’il n’avait aucune preuve qu’elle soit actuellement mise en oeuvre par quiconque. Mais la complexité croissante des microprocesseurs et le secret qui entoure leur mise au point ne permet pas d’exclure le fait qu’ils contiennent de telles failles : au milieu des années 1990, le microprocesseur Pentium d’Intel avait présenté des problèmes dans la réalisation de divisions, rappelle le chercheur.

Chez le fabricant de processeurs Intel, on souligne que la menace découverte par Adi Shamir est "théorique", mais que des vulnérabilités de ce type, régulièrement rendues publiques, font l’objet d’une surveillance attentive.

CONTRE-MESURES

"Une contre-mesure consiste à vérifier tous les calculs cryptographiques pour envoyer sans risque les résultats de ceux d’entre eux utilisant les secrets qui pourraient être compromis, souligne Jean-Jacques Quisquater (Université catholique de Louvain, Belgique). Mais, dans certains cas, la vérification coûte plus cher (en calcul) que l’exécution même de l’algorithme cryptographique."

A court terme, estime le chercheur, le problème évoqué par Bruce Schneier est "certainement plus dangereux". Les deux annonces sont en tout cas propres à nourrir une théorie de la conspiration, convient Jean-Jacques Quisquater. "Mais n’est-ce pas toujours le cas lorsqu’on évoque le nom de la NSA, s’interroge-t-il. Ses agents ne sont-ils pas payés pour espionner ?"


Envoyer : Newsletter Imprimer : Imprimer Format PDF : Enregistrer au format PDF PartagerPartager :