Cassage d’une clé privée RSA de 1024 bits

Trois chercheurs de l’Université de Michigan ont démontré qu’il était possible d’obtenir une clé privée avec un appareil simple et bon marché soumettant le serveur à des fluctuations de tension afin de provoquer des erreurs de chiffrement. Il leur aura fallu un peu plus de 4 jours (104 heures pour être précis) pour obtenir la clé réputée inviolable en « torturant » un serveur afin qu’il commette des erreurs lors des communications avec les clients. Les erreurs leur indiquaient de petits morceaux de la clé qui, une fois assemblés, ont permis d’obtenir les 1024 chiffres de code.

Comme ils l’ont expliqué dans le document intitulé « FaultBased Attack of RSA Authentication », ils n’ont pas eu besoin d’accéder aux composants internes du système de la victime, mais simplement de se trouver à proximité.

Cela change considérablement l’approche de la sécurité. D’un côté, avec le succès des ordinateurs portables, netbooks, smartphones et autres appareils informatiques ultra-portables il est extrêmement simple pour un attaquant de s’approcher de ces supports. De l’autre, exploiter une faille sévère dans la mise en place d’un algorithme de signature RSA sous OpenSSL, outil largement utilisé pour l’authentification et le cryptage SSL par les serveurs de messagerie, les plateformes d’e-commerce et de services bancaires en ligne, révèle également que les connexions Internet sont menacées.

Bien qu’il soit encore trop tôt pour en conclure que des cybercriminels vont vous harceler avec des appareils permettant de modifier le voltage de votre batterie et de dérober vos données, mieux vaut être prudent et surveiller attentivement vos affaires afin de sécuriser votre matériel. Sinon, laissons simplement les spécialistes vaquer à leurs occupations, peaufiner et adopter la solution qui a déjà été trouvée à ce problème.