mardi 17 octobre 2017

Accueil du site > Informatique > Sécurité Informatique > Bogues de microprocesseurs : un désastre à prévoir, côté sécurité (...)

Bogues de microprocesseurs : un désastre à prévoir, côté sécurité ?

Canoë, d’après Information Week

mercredi 21 novembre 2007, sélectionné par Spyworld

logo

La sophistication croissante des processeurs augmente le risque que la présence de bogues non détectés sur ces puces puissent servir à « craquer » des systèmes de chiffrement à clé publique, prévient un expert reconnu en matière de sécurité des données.

L’avertissement a été publié vendredi par Adi Shamir, professeur à l’Institut Weizmann pour la Science en Israël. Le « S » de l’acronyme RSA, justement un algorithme de chiffrement à clé publique, symbolise le nom de M.Shamir, un de ses trois créateurs.

« Étant donné l’augmentation régulière des longueurs de mots et l’optimisation poussée des unités de multiplication sur les microprocesseurs modernes, ces derniers courent un plus grand risque d’abriter des bogues non détectés », a dit M. Shamir dans sa note. « Cette possibilité a été démontrée lors de la découverte fortuite de l’obscur bogue de la division Pentium d’Intel, au milieu des années 90, de même que par la découverte récente d’un bogue de multiplication dans le programme tableur Excel de Microsoft. »

M. Shamir explique qu’un organisme de renseignement qui découvrirait ou placerait secrètement un tel bogue sur un microprocesseur parviendrait facilement à ouvrir toute clé de chiffrement publique sur quelque ordinateur que ce soit, à l’aide d’un seul message. »

L’idée que des agences de renseignement puissent influencer la conception de microprocesseurs avec l’objectif d’y créer une porte dérobée (back door) ou, plus simplement, exploiter sciemment une faille préexistante sur des puces semble relever de la paranoïa à l’état pur. Des questions de cette nature ont cependant été lancées récemment par le cryptographe réputé Bruce Schneier, intrigué par les origines nébuleuses d’une faille découverte dans un algorithme de génération de nombres aléatoires, un programme soutenu par les organismes National Security Agency (NSA) et National Institute of Standards and Technology (NIST). On ne peut aussi que constater de nos jours la sophistication grandissante des cyberattaques, ce qui donne soudainement un air moins excentrique à ces préoccupations alarmistes.

M. Shamir compare les attaques exploitant un bogue à une méthode d’attaque au moyen d’une faille décrite en 1996, qui pourrait impliquer, par exemple, de profiter d’un pic soudain de puissance dans un appareil électronique pour s’emparer du contrôle de celui-ci. Une attaque exploitant un bogue ou erreur de calcul constitue toutefois un risque théorique de plus grande envergure, puisque qu’elle pourrait permettre de cibler simultanément des millions d’ordinateurs.

Si un fabricant important comme Intel peut avoir appris de ses erreurs de jeunesse, M. Shamir estime que de plus petites entreprises pourraient ne pas se montrer aussi méticuleuses. Le problème pourrait également s’étendre au-delà des ordinateurs pour affecter les téléphones cellulaires.

De tels risques sont bien connus des experts en chiffrement. Un expert a d’ailleurs publié, sur Google Groups, une réplique à la note de M. Shamir. Wei Dai, cocréateur du code d’authentification de messages VMAC et auteur de Crypto++, une librairie gratuite de classes d’algorithmes de chiffrement en C++, y écrit que « …il existe des façons de prémunir un processeur contre les erreurs de calcul au moment de sa réalisation et l’implémentation de RSA dans Crypto++ est déjà protégée contre ce genre d’attaques. »

Tout de même, ce n’est pas tous les jours qu’un grand spécialiste du chiffrement lance un avertissement de cette nature.


Envoyer : Newsletter Imprimer : Imprimer Format PDF : Enregistrer au format PDF PartagerPartager :