Selon un article du Monde (oui le journal en papier), il se pourrait que nous commencions à tout d’à coup faire beaucoup, beaucoup, beaucoup moins confiance à toutes ces pages cryptées et sécurisées que nous utilisons à chaque achat sur internet.
On considère en effet qu’en matière de cryptage, plus la clé est longue, plus elle est difficile à casser tellement cela rend le processus de crackage susceptible d’être trop long pour être utilisé dans des conditions réalistes. Sauf qu’il suffisait de penser à s’y prendre autrement, de manière un peu plus fine que de tenter de trouver une faille dans l’implémentation de la méthode de sécurité. Ça a fini par arriver et ce, en utilisant un truc indispensable à tout microprocesseur moderne : son unité de prédiction de branche, le “truc” qui prévoit à l’avance “où” va aller le programme en cours d’exécution et permet de remplir les pipelines et d’exécuter du code par anticipation. Le principe consiste grossièrement à écouter ce que fait le CPU pendant l’exécution du processus de cryptage et à utiliser la BPU [ndlije : Branch Processing Unit] pour deviner la clé.
Jean-Pierre Steifert est à l’origine des raffinements de cette technique qui permettrait de retrouver une clé de 512 bits en quelques millisecondes. Il dévoilera des détails lors de la prochaine conférence RSA. Les conséquences sont assez évidentes et devraient vous inciter à blinder votre machine encore plus qu’elle ne l’est actuellement. Le problème est de taille puisque contrairement à du logiciel, l’exploitation du matériel lui-même rend nettement plus difficile la correction de la faille à moins de sacrifier drastiquement les performances en désactivant la BPU.
Les matheux peuvent lire l’article en question et nous faire part de leurs commentaires et de leur expertise en cliquant ici.