Neogend permet aux gendarmes de vérifier les identités et pré-remplir en mobilité un dépôt de plainte (à droite le Lt-Colonel Olivier Langou).

L'Image du jour

Neogend permet aux gendarmes de vérifier les identités et pré-remplir en mobilité un dépôt de plainte (à droite le Lt-Colonel Olivier Langou).

La refonte du SI face à la transformation numérique

Dernier Dossier

La refonte du SI face à la transformation numérique

La meilleure façon d'illustrer la transformation numérique est d'apporter des témoignages concrets d'entreprises. C'est dans cette optique que la...

Restez proche de l'actualité IT

NEWSLETTERS THEMATIQUES

Découvrez nos différentes newsletters adaptées à vos besoins d'actualités IT Pro : Mobilité, Réseaux, Stockages, ...

Abonnez-vous 
FERMER

LMI MARKET

Votre comparateur de prestataires IT : Comparez les devis, Evaluez les prestataires, Trouvez le juste prix!...

Accéder à ce service 

BLOG

Découvrez les contenus exclusifs publiés par les lecteurs du Monde Informatique avec la plateforme LMI Blog...

Accéder à ce service 

COMPARATEUR DE SALAIRE

Partagez votre situation salariale anonymement, consultez les statistiques depuis 2009 et faites vos propres analyses...

Accéder à ce service 

IT TOUR

LMI vous invite à sa Matinée-Débats dans votre région.
Inscrivez-vous

Accéder au site 
FERMER
0
Réagissez Imprimer Envoyer

Google met sur GitHub 80 tests pour bibliothèques de chiffrement

Le projet Wycheproof comporte plus de 80 tests couvrant la plupart des types d'attaques menées contre des systèmes de chiffrement. (crédit : Pixabay/Geralt)

Le projet Wycheproof comporte plus de 80 tests couvrant la plupart des types d'attaques menées contre des systèmes de chiffrement. (crédit : Pixabay/Geralt)

Le projet de recherche Wycheproof lancé par des experts de Google met plus de 80 tests à la disposition des développeurs pour repérer des faiblesses de chiffrement courantes qui pourraient servir aux pirates à mener leurs attaques.

Les experts en sécurité de Google ont développé une suite de tests qui permettent aux développeurs de trouver des failles dans leurs bibliothèques de chiffrement et dans leurs mises en oeuvre. Le projet Wycheproof, disponible sur GitHub, contient plus de 80 procédures permettant de tester les algorithmes de chiffrement les plus répandus, notamment RSA, AES-GCM, AES-EAX, Diffie-Hellman, les courbes elliptiques Diffie-Hellman (ECDH), et la signature algorithmique digitale (DSA). Pour mettre au point ces tests, les chercheurs de Google ont reproduit des attaques courantes. Grâce à ces procédures, ils ont déjà découvert plus de 40 bogues de sécurité dans les bibliothèques, failles qu’ils ont signalées aux éditeurs concernés.

« En cryptographie, la moindre erreur peut avoir des conséquences catastrophiques, et trop souvent, les bibliothèques de logiciels de chiffrement open source comportent des erreurs qui restent inconnues pendant longtemps », écrivent dans un billet Daniel Bleichenbacher et Thaï Duong, ingénieurs en sécurité chez Google. « Cependant, il est très difficile de définir les meilleures pratiques : il faut digérer des décennies de littérature universitaire pour savoir comment mettre en œuvre du chiffrement de manière sécurisée ».

Des tests écrits en Java mais bientôt convertis

Les chercheurs de Google espèrent qu'en livrant ces tests au public, les développeurs et les utilisateurs pourront tester les mises en oeuvre de chiffrement qu'ils créent ou qu’ils utilisent. Certaines bibliothèques sont très populaires et sont couramment intégrées dans de nombreux produits commerciaux ou utilisées dans des applications d'entreprise. Les tests disponibles actuellement ont été écrits en Java, mais les chercheurs de Google vont les convertir en vecteurs de test afin de les porter facilement vers d'autres langages de programmation. Certes, même si une bibliothèque passe sans encombre les tests Wycheproof, cela ne signifie pas pour autant qu’elle est sécurisée et que son code ne comporte pas de failles. Mais ses utilisateurs peuvent estimer au minimum qu’elle n’est pas vulnérable aux attaques les plus courantes.

 

Commenter cet article

commenter cet article en tant que membre LMI

CONNEXION

Commenter cet article en tant que visiteur






* Les liens HTML sont interdits dans les commentaires

#LMItoutneuf

lancement dans

Publicité
Publicité
Publicité