ACTUALITES

Si les clés RSA pouvaient être cassées à tous les coups en quelques millisecondes, la nouvelle serait en effet monumentale pour le petit monde de la sécurité informatique. Tout l'édifice de la confiance en ligne s'écroulerait et les répercussions techniques et économiques seraient inextricables. Dans ces conditions, on comprend tout à fait l'intérêt suscité par l'annonce faite par un universitaire Allemand : Jean-Pierre Seifert aurait cassé une clé RSA de 512 bits en quelques millisecondes. Il n'en faut pas plus pour emballer la machine médiatique.

Oui mais voilà, quelques bémols s'imposent : tout d'abord, la clé cassée est d'un calibre extrêmement faible (le "cassage" de clés RSA de 512 bits est commun, par d'autres techniques) et elle l'a été dans des conditions ultra-favorables, en affaiblissant notamment certains paramètres du logiciel chargé de la manipuler et n'en récupérant qu'une partie. Aujourd'hui, la majorité des clés RSA utilisées dans le commerce électronique sont de 1024 bits, une valeur infiniment plus élevée, et elles sont manipulées dans des conditions largement plus contrôlées. Mais surtout l'attaque mise en oeuvre par Jean-Pierre Seifert et son équipe exige qu'un logiciel espion soit présent sur le serveur au moment de la manipulation de la clé privée. C'est à dire que la sécurité du système soit déjà compromise.

L'amélioration d'une attaque connue

Voilà qui douche certainement l'enthousiasme des tenants du retour au boulier. Les attaques possibles une fois sur un serveur compromis sont légion. Celle-ci n'est que l'amélioration - certes substantielle - d'une attaque par ailleurs déjà connue. Son intérêt essentiel est de ne pas nécessiter de droits accrus sur le serveur une fois celui compromis : le logiciel mouchard cité par le quotidien pourrait alors être déposé et exploité beaucoup plus facilement, par exemple sur un serveur mutualisé par un client indélicat. Mais, rappelons-le, encore faut-il être en mesure d'installer un logiciel espion sur un serveur et que ce dernier mélange traitement cryptographique et exécution libre de programmes par d'autres utilisateurs : une configuration que l'on ne rencontre pas dans des architectures sécurisées sérieuses.

Notons aussi que l'attaque n'est possible que sur les processeurs mettant en oeuvre la technique des prédictions de branche, ce qui n'est pas obligatoirement le cas de toutes les puces (bien que la technique soit utilisée par tous les processeurs modernes basés sur l'exécution en pipeline). Enfin, lorsque les opérations cryptographiques sont réalisées en dehors du serveur par un équipement dédié (une passerelle SSL par exemple, ce qui est le cas pour tous les sites de commerce électronique importants), l'attaque est bien entendu impossible.

Toutes ces réservent ne remettent cependant pas en cause la publication de Jean-Pierre Seifert : en tant qu'amélioration d'une technique connue, la découverte est passionnante. Mais il faut la replacer dans son contexte : d'une attaque difficile à mettre en oeuvre et qui exige par ailleurs un scénario improbable, l'universitaire en a fait une attaque plus simple à mettre en oeuvre dans certains cas particuliers mais qui exige toujours un scénario aussi improbable. Ce n'est donc pas la fin des achats sur internet, comme ont pu le croire certains médias généralistes.

Plus d'informations : L'article scientifique original (en anglais).