Viadeo
 

Découverte d'une faille dans le cryptage RSA

Edition du 20/02/2012 (2 commentaires)
Partager
Crédit D.R.

Crédit D.R.

Des chercheurs basés à l'EPFL et aux États-Unis ont mis à jour une faille dans la manière dont sont cryptées les transactions bancaires sur Internet.

Selon une étude d'une équipe dirigée par le Professeur Arjen Lenstra de l'EPFL, il existe une faille dans le système de cryptage RSA. Ce dernier est celui utilisé pour garantir la sécurité des transactions sur Internet. Les chercheurs suisses et américains, Dan Auerbach et Peter Eckersley, ont testé plusieurs millions de clés RSA publiques. Si le système fonctionne correctement dans la grande majorité des cas, il n'offre aucune sécurité dans 0,2% des cas.

Même si l'exploitation de cette vulnérabilité semble difficile dans la mesure où elle nécessite de trouver la clé publique avec laquelle sont cryptées les informations, deux membres de l'Electronic Frontier Foundation (EFF), Dan Auerbach et Peter Eckersley ont estimé sur un blog que «les conséquences de ces failles [étaient] extrêmement sérieuses. Dans tous les cas, une clé faible pourrait permettre à un espion présent sur Internet d'apprendre des informations confidentielles, comme des mots de passe ou le contenu de messages échangés avec un serveur vulnérable.» L'EFF a précisé qu'elle travaillait actuellement avec l'EPFL pour alerter les opérateurs de serveurs utilisant des systèmes de cryptage vulnérables.

ICTjournal.ch

Pour en savoir plus :


- Pour consulter le rapport des deux chercheurs Dan Auerbach et Peter Eckersley : http://eprint.iacr.org/2012/064.pdf

- Et le blog des deux chercheurs : www.eff.org/deeplinks/2012/02/researchers-ssl-observatory-cryptographic-vulnerabilities

-

Article de Hélène Lelièvre/ICTJournal.ch
Partager
| vous aimez cet article ?

L'actualité Sécurité

Pour commenter cet article inscrivez vous ou identifiez vous si vous êtes déjà inscrit :

Mot de passe oublié ?

le 21/02/2012 à 09h20, GaaL a dit :

Titre bien vendeur mais en contradiction avec le contenu de l'article.

La faille est dans la génération des nombres aléatoires, dont la responsabilité est de l'éditeur du logiciel, et non dans l’algorithme de chiffrement RSA lui même.

Signaler un abus

le 21/02/2012 à 09h06, JPG a dit :

"semble difficile dans la mesure où elle nécessite de trouver la clé publique" : le principe d'une clé publique est que justement elle est accessible à tout le monde !

Si les 0.2% de cas que les chercheurs ont trouvé correspondent aux quelques rares occurrences restantes de vieux navigateurs dont le RNG était bogué (les premières versions de Netscape, par exemple, ne généraient qu'un range très limité de clés), le titre n'a rien à voir avec la réalité. Malheureusement, le PDF ne dit pas grand chose sur la méthode de collecte utilisée, ni les origines des certificats.

Signaler un abus

L'actualité sur RSA

Dossiers Sécurité

Tous les dossiers

Livre blanc Sécurité

Tous les livres blancs