Vous êtes nouveau sur Developpez.com ? Créez votre compte ou connectez-vous afin de pouvoir participer !

Vous devez avoir un compte Developpez.com et être connecté pour pouvoir participer aux discussions.

Vous n'avez pas encore de compte Developpez.com ? Créez-en un en quelques instants, c'est entièrement gratuit !

Si vous disposez déjà d'un compte et qu'il est bien activé, connectez-vous à l'aide du formulaire ci-dessous.

Identifiez-vous
Identifiant
Mot de passe
Mot de passe oublié ?
Créer un compte

L'inscription est gratuite et ne vous prendra que quelques instants !

Je m'inscris !

Des chercheurs mettent au point une méthode pour déchiffrer une clé RSA
Grâce au son produit par l'ordinateur

Le , par Stéphane le calme

240PARTAGES

0  0 
En Israël, une équipe de trois chercheurs spécialisés en sécurité informatique vient de publier ses travaux sur un nouveau type d’attaque par canal auxiliaire. Daniel Genkin (de la Technion and Tel Aviv University), Adi Shamir (du Weizmann Institute of Science) et Eran Tromer (de la Tel Aviv University) ont dévoilé une méthode de cryptanalyse acoustique qui leur a permis de casser une clé RSA 4.096 bits.

Pour réussir ce tour de force, les chercheurs se sont servis de prime abord d’un microphone qu'ils ont placé à quatre mètres d’un ordinateur portable. Par la suite ils ont envoyé un courriel chiffré en RSA 4.096 bits à cet ordinateur et ont écouté le bruit émis par le processeur en le déchiffrant. Précisons que le trio de chercheurs avait auparavant démontré que chaque clé RSA induit un profil sonore spécifique. L'analyse des sons émis par l’ordinateur se fait en temps réel par un logiciel spécialement développé qui extrait la clé en moins d'une heure. Le trio a ensuite testé sa méthode en remplaçant le microphone par un smartphone placé à 30 cm de l'ordinateur et dont le microphone est dirigé vers la grille de ventilation


Dans le préambule, les chercheurs ont expliqué que «lorsqu’ils fonctionnent, beaucoup d’ordinateurs émettent un bruit aigu qui est produit par la vibration de certains de leurs composants électroniques. Ces émanations acoustiques sont plus qu’une nuisance, elles peuvent véhiculer des informations sur le logiciel qui est exécuté et exposer des informations sensibles sur des traitements informatiques sécurisés».

L’attaque a été élaborée à partir du logiciel GnuPG 1.x (version open source et gratuite d’OpenPGP), qui est une des implémentations la clé RSA. GnuPG permet d’envoyer des messages chiffrés avec une combinaison de clés publique et privée.

«Notre attaque ne prend que quelques secondes pour extraire chaque bit de la clé RSA. Le plus longtemps vous pouvez écouter, le plus de bits vous pouvez acquérir.», a expliqué Eran Tromer. «Tout ce dont un assaillant a besoin est de pouvoir déclencher le décryptage du texte chiffré de son choix et de mesurer le son correspondant produit par l’ordinateur cible» a-t-il ajouté.

Bien que mener des attaques avec cette méthode dans des conditions réelles reste difficilement réalisable, les chercheurs se sont laissés allé à présenter des scénarios des plus troublants. Ils expliquent par exemple qu'il serait possible de créer une application mobile clé en main qui ferait tout le travail. «Par exemple, lors d’une réunion, un assaillant pourrait placer son téléphone sur le bureau à proximité du PC portable cible et obtenir la clé à la fin du meeting.». A ce stade un smartphone, une tablette ou un ordinateur portable disposant d'un microphone pourrait faire l'affaire.

Un exemple d'attaque un cran supérieur : les chercheurs formulent l'hypothèse d'un espionnage de masse au niveau d’un data center. Il suffirait alors d'y placer un mouchard pour écouter chaque serveur et y dérober les clés de chiffrement.

Source : TAU (au format PDF)

Et vous ?

Qu'en pensez-vous ? Ces attaques représentent-elles une menace réaliste pour les personnes qui utilisent des dispositifs de chiffrement dans certains contextes ?

Une erreur dans cette actualité ? Signalez-le nous !

Avatar de lememe
Membre du Club https://www.developpez.com
Le 28/12/2013 à 16:37
Je me rappelles de l'époque où la coupe du monde se jouait en Afique du Sud.
Les supporteurs faisaient tellement de boucan avec le vuvuzela que les gens de Canal+ se sont fait développer un logiciel qui a éliminé le bruit du vuvuzela tout en gardant l'ambiance du stade.
Je ne dis pas que c'est du même ordre d'idées, mais il est clair que cela n'aurait pas été possible 10 ans plutôt.
En conclusion, je me dis que le décryptage d'une RSA à partir de fréquences sonores hors laboratoire se fera dans quelques années. Peut être bien plus rapidement que beaucoup ici ne veulent le croire.
2  0 
Avatar de mmw01
Nouveau membre du Club https://www.developpez.com
Le 26/12/2013 à 17:03
Citation Envoyé par Stéphane le calme Voir le message
Qu'en pensez-vous ?
La NSA est deja en route pour Israel


Ces attaques représentent-elles une menace réaliste pour les personnes qui utilisent des dispositifs de chiffrement dans certains contextes ?
meme si ca parait dangereux je trouve cela un peu aleatoire mais bon comme dit l'article cet attaque sera plus orientée industriel
1  0 
Avatar de sevyc64
Modérateur https://www.developpez.com
Le 26/12/2013 à 17:47
Citation Envoyé par mmw01 Voir le message
La NSA est deja en route pour Israel
Le Mossad est déjà sur place et a tout récupéré (et au passage, a rappeler aux chercheurs en question que leur travail devait, à l'origine, rester secret)
1  0 
Avatar de Christuff
Membre habitué https://www.developpez.com
Le 26/12/2013 à 20:48
Capter les bruits du processeur avec un micro de smartphone ?

Quand on sait les moyens colossaux mis en oeuvre pas des créateurs d'enceintes pour pouvoir déceler l'acoustique de leur enceintes ( chambre anéchoïque ) J'ai de sérieux doutes sur la possibilité d'un micro de smartphone qui décèle au travers du bruit des ventilateurs le bruit du processeur
1  0 
Avatar de javan00b
Membre actif https://www.developpez.com
Le 26/12/2013 à 21:23
Christmas Troll?
1  0 
Avatar de Neckara
Inactif https://www.developpez.com
Le 27/12/2013 à 10:47
Plus j'y pense et plus ça me parait étrange...

Ils disent bien le "bruit produit par le processeur", donc cela inclus :
- mémoire cache L3 ;
- mémoire cache L2 ;
- mémoire cache L1 ;
- 2 coeurs minimums ;
- accélérateur graphique ;
- MMU ;
- NorthBridge.

Sachant en plus qu'une la pipeline d'un cœur peut exécuter jusqu'à 24 instructions en "parallèle", sans compter les processeur super-scalaire et/ou vectoriel ainsi que l'hyper-threading.

Je n'ai pas le temps de lire toute l'étude en détail, mais ça sent un peut le fake
1  0 
Avatar de vohufr
Membre éclairé https://www.developpez.com
Le 27/12/2013 à 11:33
On arrive bien à faire des logiciels qui corrigent en temps réèl la voix de nos chanteurs qui chantent faux non ?

On arrive même à faire des logiciels qui réécrivent des partitions à plusieurs voix.

C'est sur que c'est encore les débuts, mais je ne voix pas en quoi ce ne serait pas possible. Ceux qui n'y croient pas sous-estiment largement la capacité de certains à manipuler des équations et divers capteurs afin d'en faire des utilisations bien spéciales...
1  0 
Avatar de vohufr
Membre éclairé https://www.developpez.com
Le 27/12/2013 à 12:11
Lol

Faut s'ouvrir un peu les gars...

Faut arrêter de croire que parce que vous ne comprenez pas quelque chose, ce n'est pas possible...

Je dis pas que je comprends tout, mais que c'est en croyant et en cherchant un peu plus que quelques heures (et je ne pense pas que vous ayez réfléchi autant sur ce sujet) qu'on trouve de nouvelles choses...

Les mecs l'ont fait en labo... c'est un début, comme toute nouveauté, il y aura d'autres recherches, peut être des amélioration, ou pas... en tout cas, il fallait y penser, et je pense pas que ce soit si farfelu que ça...
1  0 
Avatar de gangsoleil
Modérateur https://www.developpez.com
Le 06/01/2014 à 14:53
Citation Envoyé par lememe Voir le message
Je me rappelles de l'époque où la coupe du monde se jouait en Afique du Sud.
Les supporteurs faisaient tellement de boucan avec le vuvuzela que les gens de Canal+ se sont fait développer un logiciel qui a éliminé le bruit du vuvuzela tout en gardant l'ambiance du stade.
Supprimer le bruit ambiant, c'est tres facile : dans l'article, ils expliquent d'ailleurs bien que les bruits ambiants sont le plus souvent sur des frequences inferieures a 10KHz, alors que les bruits qui les interessent sont autour de 20. Donc le filtre est extrememement simple a faire.

D'ailleurs, je conseille a tous les sceptiques de lire l'article plutot que de se demander si c'est valable ou non, ou si l'article est faux car j'ai-eu-une-idee-la-tout-de-suite-sur-les-multicoeurs, idee a laquelle ils n'ont probablement absolument pas pense vu que ce sont 3 rigolos qui ne peuvent qu'en etre encore aux pentiums 3, ou qui ont volontairement biaise l'experience pour se faire taper dessus.

Oui, il s'agit de conditions de laboratoires, mais ce n'est pas pour autant qu'il suffit de prendre un dual-core avec winamp en fond de tache pour que toute l'etude se revele fausse.
1  0 
Avatar de gangsoleil
Modérateur https://www.developpez.com
Le 15/01/2014 à 15:28
Pour ceux qui doutent du fait qu'on puisse "ecouter" un ordinateur travailler, et savoir ce qu'il fait, je vous conseille la lecture de cet article du NYTimes, qui explique que la NSA a litteralement ecoute des machines.
1  0