Dites « affaiblissement du chiffrement » et vous risquez de vous attirer les foudres d’utilisateurs soucieux de la protection de leurs données. Flux de données Web, certificats électroniques, logiciels de gestion de disques, etc. la technique est omniprésente de nos jours. De récents développements d’Eric Filliol, directeur du laboratoire de cryptologie et virologie opérationnelles de l’ESIEA, ont mis en exergue le fait que ces technologies sur lesquelles on s’appuie tant au quotidien pour des raisons désormais évidentes sont à prendre avec des pincettes.
Dans le cadre de la conférence Black Hat Europe 2017, le chercheur a en effet présenté l’algorithme BEA-1, un algorithme de chiffrement symétrique par bloc similaire à l’AES. Ce dernier passe avec brio les tests de résistance auxquels des solutions similaires ont été soumises jusqu’ici et est conforme au standard FIPS 140 du gouvernement américain. Seulement voilà, certaines propriétés mathématiques bien particulières de cet algorithme permettent de trouver la clé secrète en 10 secondes sur une machine munie d'un processeur Core i7 avec une probabilité de succès de 95 %.
« L’algorithme n’est absolument pas indiqué pour assurer une sécurité véritable », conclut le chercheur. Et pour cause, il s’agit d’un algorithme de chiffrement qui intègre une porte dérobée mathématique. Tout le problème est ici : celui qui conçoit un algorithme de chiffrement peut y intégrer une faille au niveau du design ouvrant ainsi la voie au déchiffrage des données des utilisateurs. AES et compagnie pourraient donc bien être dans la même situation.
Si rien à date ne constitue une preuve de l’existence d’une backdoor au sein de l’algorithme AES supervisé par la NSA, il faut rappeler que l’agence a trempé par le passé. En excellent recueil d’histoire, la publication du chercheur de l’ESIEA souligne que Dan Shimow et Niels Ferguson ont démontré une faiblesse dans le générateur de nombres aléatoires « Dual EC DRBG », approuvé par l’Institut national des normes et de la technologie américain (NIST) et implémenté dans certains produits d’une entreprise américaine spécialisée en sécurité (RSA). Edward Snowden a contribué à ce propos en 2013 en soulignant qu’il s’agissait bien d’une porte dérobée de l’agence. L’entreprise spécialisée en sécurité a reçu un chèque de 10 millions de dollars de la part de la NSA pour l’intégrer.
Les travaux d’Eric Filliol sont de nature à tirer la sonnette d’alarme. La Russie utilise GOST, son propre algorithme de chiffrement pour les raisons précitées. Aussi amusant que cela puisse paraitre, les conclusions de ces travaux ne l’exemptent pas elle aussi. L’Europe gagnerait peut-être à suivre l’exemple du géant russe avec une solution personnalisée.
Source
Présentation Black Hat Europe 2017 (format PDF)
Votre opinion
Peut-on se fier totalement à un algorithme de chiffrement venu d’ailleurs ?
À quand l’avènement d’un algorithme de chiffrement européen ?
Voir aussi
Le patron du FBI réclame l'introduction d'un backdoor dans les smartphones, celui-ci préoccupé par le chiffrement par défaut d'Android et d'iOS
Chiffrement : trop improbable la possibilité de l'existence de backdoors dans AES et autres ?
Les travaux d'un chercheur tirent la sonnette d'alarme
Chiffrement : trop improbable la possibilité de l'existence de backdoors dans AES et autres ?
Les travaux d'un chercheur tirent la sonnette d'alarme
Le , par Patrick Ruiz
Une erreur dans cette actualité ? Signalez-nous-la !