
Dans le cadre de la conférence Black Hat Europe 2017, le chercheur a en effet présenté l’algorithme BEA-1, un algorithme de chiffrement symétrique par bloc similaire à l’AES. Ce dernier passe avec brio les tests de résistance auxquels des solutions similaires ont été soumises jusqu’ici et est conforme au standard FIPS 140 du gouvernement américain. Seulement voilà, certaines propriétés mathématiques bien particulières de cet algorithme permettent de trouver la clé secrète en 10 secondes sur une machine munie d'un processeur Core i7 avec une probabilité de succès de 95 %.
« L’algorithme n’est absolument pas indiqué pour assurer une sécurité véritable », conclut le chercheur. Et pour cause, il s’agit d’un algorithme de chiffrement qui intègre une porte dérobée mathématique. Tout le problème est ici : celui qui conçoit un algorithme de chiffrement peut y intégrer une faille au niveau du design ouvrant ainsi la voie au déchiffrage des données des utilisateurs. AES et compagnie pourraient donc bien être dans la même situation.
Si rien à date ne constitue une preuve de l’existence d’une backdoor au sein de l’algorithme AES supervisé par la NSA, il faut rappeler que l’agence a trempé par le passé. En excellent recueil d’histoire, la publication du chercheur de l’ESIEA souligne que Dan Shimow et Niels Ferguson ont démontré une faiblesse dans le générateur de nombres aléatoires « Dual EC DRBG », approuvé par l’Institut national des normes et de la technologie américain (NIST) et implémenté dans certains produits d’une entreprise américaine spécialisée en sécurité (RSA). Edward Snowden a contribué à ce propos en 2013 en soulignant qu’il s’agissait bien d’une porte dérobée de l’agence. L’entreprise spécialisée en sécurité a reçu un chèque de 10 millions de dollars de la part de la NSA pour l’intégrer.
Les travaux d’Eric Filliol sont de nature à tirer la sonnette d’alarme. La Russie utilise GOST, son propre algorithme de chiffrement pour les raisons précitées. Aussi amusant que cela puisse paraitre, les conclusions de ces travaux ne l’exemptent pas elle aussi. L’Europe gagnerait peut-être à suivre l’exemple du géant russe avec une solution personnalisée.
Source
Présentation Black Hat Europe 2017 (format PDF)
Votre opinion


Voir aussi

Vous avez lu gratuitement 1 795 articles depuis plus d'un an.
Soutenez le club developpez.com en souscrivant un abonnement pour que nous puissions continuer à vous proposer des publications.
Soutenez le club developpez.com en souscrivant un abonnement pour que nous puissions continuer à vous proposer des publications.