De nos jours, toutes les transactions sécurisée, comme les transactions bancaires, sont cryptés avec le protocole RSA. Ce cryptage est d’autant plus puissant que la clé est grande. Le but est donc de trouver des clé toujours plus grande mais aussi d’être le premier à casser la clé afin de pouvoir lire le contenu, ou du moins prouver que cette taille de clé n’est plus assez sécurisé, et ainsi passer massivement à l’utilisation d’un clé plus grande.

Jusqu’à il y a quelques années, les transactions bancaires pas exemple étaient sécurisé par une clé de 768bits. Puis cette clé à été cassée. Très vite de nombreux fraudeurs ont tenté de tirer partit de la faille mais les organismes chargé de réguler les transaction par carte ont commencé à émettre des cartes utilisant un autre cryptage plus puissant et rapidement, tout danger fut écarter.

De la même manière, vos transaction bancaires, votre navigation sur votre solution d’e-banking, votre webmail (pour certains), votre session ou compte utilisateur sur tel ou tel site, mais aussi des emails que vous échangeaient peuvent être amené à être sécurisé (je vous le souhaite vivement) et donc crypté avec une clé RSA. Mais voila, la confiance en un cryptage est inversement proportionnel à sa capacité à être craqué. Comme beaucoups de transactions de nos jours utilisent le système RSA, il est logique que beaucoup de monde essaye de casser ses clé afin soit de faire avancer la technique en prouvant que tel ou tel algorithme n’est pas sur avant que des personnes mal intentionnées ne le fasse, soit pour en tirer profit.

C’est devenu tellement vital de connaitre avant tout le monde si une clé à été cassé qu’il existe des récompenses offertes par des organismes pour la découverte d’un cassage de clé. (des organismes n’oeuvrant pas du coté obscur de la force j’entends, pour les groupes dont les intentions sont peu louable, on peut imaginer que ce genre d’information se négotie à prix d’or.

Donc pour faire simple car je commence à en perdre quelques un, une clé RSA à une taille et cette taille dépends directement de deux nombres premiers (les plus grand possible). il existe donc également une course à la découverte de nombre premier toujours plus grand afin de renforcer le cryptage en proposant des clé plus grande.

Bref pour en revenir à la nouvelle, actuellement on utilise beaucoup une clé de 1024 bits (mais on recommande vivement une clé de 2048 bits, plus grands, c’est interdit actuellement en france). Cette clé est pour le moment impossible à casser. il faut en effet de super-ordinateur qui travaillent h24 pour essayer de casser la clé et personne n’y est jamais arrivé. Certains vont jusqu’à dire qu’il faudrais plusieurs années pour y arriver.

Mais voila une équipe de chercheurs de l’université du Michigan a réussit à casser une clé RSA de 1024 bits en seulement 100h. Impossible ? non ! Ils n’ont tout simplement pas utilisé la technique « normale ».

Plutot que d’essayer de casser la clé de manière logicielle, les chercheurs se basent sur une faille des processeurs qui contiennent la clé. Plutot que de faire une attaque de brute force (où l’on essaye toutes les combinaisons possible), ils ont soumis le processeurs à des fluctuations de tensions afin de provoquer des erreurs matérielles qui ont progressivement révélé des morceaux de la clé jusqu’à permettre une déduction sure et certaine. Le gros avantage de cette technique c’est qu’on se moque de la longueur de la clé car cela minimise énormément le temps nécessaire à la divulgation de la clé.

En pratique, même la clé de 2048 bits que l’on considère aujourd’hui comme inviolable (et que la France impose comme extrême limite de cryptage, au dela vous êtes hors la loi, passible de tout un tas de peines … bref … parano quand tu nous tiens …) pourrais être cassé de manière relativement rapide …

Les chercheurs préconisent donc de réviser le fonctionnement des processeurs afin de les rendre insensible à ce genre d’attaque. Wait & see comme on dis …