Selon une étude d'une équipe dirigée par le Professeur Arjen Lenstra de l'EPFL, il existe une faille dans le système de cryptage RSA. Ce dernier est celui utilisé pour garantir la sécurité des transactions sur Internet. Les chercheurs suisses et américains, Dan Auerbach et Peter Eckersley, ont testé plusieurs millions de clés RSA publiques. Si le système fonctionne correctement dans la grande majorité des cas, il n'offre aucune sécurité dans 0,2% des cas.
Même si l'exploitation de cette vulnérabilité semble difficile dans la mesure où elle nécessite de trouver la clé publique avec laquelle sont cryptées les informations, deux membres de l'Electronic Frontier Foundation (EFF), Dan Auerbach et Peter Eckersley ont estimé sur un blog que «les conséquences de ces failles [étaient] extrêmement sérieuses. Dans tous les cas, une clé faible pourrait permettre à un espion présent sur Internet d'apprendre des informations confidentielles, comme des mots de passe ou le contenu de messages échangés avec un serveur vulnérable.» L'EFF a précisé qu'elle travaillait actuellement avec l'EPFL pour alerter les opérateurs de serveurs utilisant des systèmes de cryptage vulnérables.
ICTjournal.ch
Découverte d'une faille dans le cryptage RSA
2
Réactions
Des chercheurs basés à l'EPFL et aux États-Unis ont mis à jour une faille dans la manière dont sont cryptées les transactions bancaires sur Internet.
Newsletter LMI
Recevez notre newsletter comme plus de 50000 abonnés
2 Commentaires
Suivre toute l'actualité
Newsletter
Recevez notre newsletter comme plus de 50 000 professionnels de l'IT!
Je m'abonne
Titre bien vendeur mais en contradiction avec le contenu de l'article.
Signaler un abusLa faille est dans la génération des nombres aléatoires, dont la responsabilité est de l'éditeur du logiciel, et non dans l’algorithme de chiffrement RSA lui même.
"semble difficile dans la mesure où elle nécessite de trouver la clé publique" : le principe d'une clé publique est que justement elle est accessible à tout le monde !
Signaler un abusSi les 0.2% de cas que les chercheurs ont trouvé correspondent aux quelques rares occurrences restantes de vieux navigateurs dont le RNG était bogué (les premières versions de Netscape, par exemple, ne généraient qu'un range très limité de clés), le titre n'a rien à voir avec la réalité. Malheureusement, le PDF ne dit pas grand chose sur la méthode de collecte utilisée, ni les origines des certificats.