Une enquête a récemment découvert une flopée de clefs de sécurité aux performances douteuses.
Si vous n’êtes pas bien familier avec ce sujet, sachez que les cryptographes connaissent depuis longtemps certaines règles à respecter. Et pour dire, la découverte mathématique qui a été omise dans le cas que nous allons décrire a été démontrée pour la première fois en 1643 par le mathématicien français Pierre de Fermat. Certains programmateurs vont devoir retourner à l’école et se remémorer la méthode de factorisation de Fermat….
C’est le chercheur Hanno Böck qui est tombé sur cette erreur de conception. Et ce ne serait pas un cas isolé…
Un mauvais rachat de la part de Rambus
La première clé mal conçue découverte concerne la société Rambus. Elle aurait acquis un ancien software dont les clés cryptographiques générées actuellement peuvent être utilisées pour sécuriser le trafic Web, les shells et d’autres connexions en ligne.
Malheureusement, en ne prenant pas en compte cette règle élémentaire, ces clés seraient « cassables » avec du matériel informatique basique. Le software, initialement nommé Inside Secure, est en vente en tant que Rambus FIPS Security Toolkit depuis son rachat par Rambus.
L‘erreur pointée du doigt par le chercheur, est que le programme en question ne randomise pas suffisamment les deux nombres premiers qu’il utilise pour générer des clés RSA. Il choisirait deux nombres premiers bien trop proches l’un de l’autre.
À lire aussi > Antivirus : quelle est la meilleure suite de sécurité ?
Pour les curieux, Hanno Bock décrit plus avant cette vieille découverte mathématique :
Qu’est-ce que l’algorithme de factorisation de Fermat ?
En très bref, l’idée de l’algorithme de factorisation de Fermat est qu’un produit de deux grands nombres premiers peut toujours s’écrire N=(ab)(a+b), avec a étant le milieu entre les deux nombres premiers et b la distance du milieu à chacun des premiers.
Une flopée de clés mal conçues
Le problème, c’est que ce n’est pas la seule clef ratée découverte par le chercheur. Il semblerait que d’autres, elles aussi non enregistrées sur la librairie SafeZone, se baladeraient dans notre environnement.
La solution ? Elle est déjà communément appliquée. Il s’agit simplement de générer les deux nombres premiers aléatoirement et indépendamment. Ainsi, le risque de créer une telle situation est infiniment plus petit (inférieur à 1:2^500).
Si un seul chercheur parvient à mettre le doigt sur plusieurs clés mal construites, nous pouvons craindre qu’un bon nombre d’entre elles se baladent sur nos ordinateurs. Et, étant parfois responsables de la sécurité de données sensibles, il est nécessaire de s’en débarrasser. Il y a du ménage à faire… Et en attendant, apprenez dix mesures essentielles pour assurer votre sécurité numérique.
Source : arstechnica
