Atlantico, c'est qui? c'est quoi ?
Dimanche 18 Février 2018 | Créer un compte | Connexion
Extra

Le système de cryptage le plus perfectionné au monde est défectueux

Sur mille séquences cryptées, deux ne sont pas sécurisées. Un nombre faible, mais qui suffit à ébrécher la confiance dans les communications et les transactions sécurisées sur Internet.

Mega bug ?

Publié le - Mis à jour le 17 Février 2012

Faut-il s'inquiéter ? Les échanges de données, notamment les paiements en ligne ne sont pas tout à fait sûrs. Et ce alors qu'ils augmentent en permanence. Ainsi, en France en 2011, plus de 30 millions de personnes ont fait des achats en ligne, pour un total de 37,7 milliards d'euros. 

Rivest, Shamir et Adleman sont les premiers à avoir décrit un algorithme de cryptographie asymétrique, dans les années 1970. Ce dernier a donc pris leur nom : RSA. Il est aujourd’hui très utilisé pour sécuriser l'échange de données confidentielles sur Internet, ainsi que le commerce électronique.

Les logiciels de cryptage RSA fonctionnent avec deux clés, l’une pour chiffrer (la clé publique), l’autre pour déchiffrer (la clé privée).

Certaines des suites de chiffres utilisées par la clé publique sont générés de manière aléatoire par le système.

Des mathématiciens et des cryptographes européens et américains ont décidé de tester la sécurité de cette méthode de cryptage. Et le résultat n'est ps tout à fait rassurant : “Nous avons découvert que la grande majorité des clés publiques fonctionnait comme prévu. Ce qui est plus déconcertant, c’est que deux algorithmes sur mille n’offrent aucune sécurité." Autrement dit, dans 0,2% des cas, il devient possible de décrypter les informations.

C’est certes une proportion très réduite. Mais elle pose de sérieuses questions, notamment quant à la fiabilité du commerce sur Internet. Des millions sont en jeu.

Pour réaliser cette étude, les scientifiques ont pris en compte 7,1 millions de clés publiques. Ils ont découvert que dans certains cas, les nombres n’étaient pas générés de manière parfaitement aléatoire. "Les données secrètes sont accessibles à tous ceux qui veulent se donner la peine de refaire notre travail", résument les chercheurs.

Ils n’ont par contre pas été en mesure d’expliquer le pourquoi de ces imperfections, mais elles apparaissent chez plusieurs développeurs différents. Et ils estiment probables que ces mêmes découvertes aient été faites auparavant, par des esprits mal intentionnés. "Le manque de sophistication de nos méthodes nous fait penser que ceci n’est pas nouveau", avancent-ils. 

Les chercheurs indiquent également n'avoir pas pu contacter toutes les personnes détentrices des clés défaillantes. C’est donc pour cette raison qu’ils ont décidé de publier leurs résultats : favoriser la prise de conscience et pousser à la prudence.

En 1995, c’est la navigateur Internet Netscape qui avait été montré du doigt. Encore une fois, des séries de nombres qui n’avaient pas été générées de manière aléatoire permettaient de décrypter des communications codées. Près de vingt ans plus tard, la sécurité sur internet a encore quelques progrès à faire...  

 
Commentaires

Nos articles sont ouverts aux commentaires sur une période de 7 jours.
Face à certains abus et dérives, nous vous rappelons que cet espace a vocation à partager vos avis sur nos contenus et à débattre mais en aucun cas à proférer des propos calomnieux, violents ou injurieux. Nous vous rappelons également que nous modérons ces commentaires et que nous pouvons être amenés à bloquer les comptes qui contreviendraient de façon récurrente à nos conditions d'utilisation.

  • Par cryptoman - 16/02/2012 - 22:50 - Signaler un abus Consternant

    Cet article n'est qu'une longue collection d'erreurs, d'incompréhensions, de mauvaises traductions, de raccourcis insensés. C'est consternant. La crypto c'est compliqué, les gars. On vous en veut pas si vous n'y captez rien mais par pitié: quand vous ne savez pas, évitez d'écrire des articles sur le sujet vous êtes totalement ridicules. La moindre des choses pour un journaliste ce serait d'avoir suffisamment de respect pour soi-même et pour ses lecteurs pour éviter de publier des choses pareilles sans les faire relire par qqn qui s'y connait.

  • Par Apicius - 16/02/2012 - 22:57 - Signaler un abus Ne mélangeons pas

    L'algorithme RSA est mathématique. En l'absence de démonstration de la conjoncture de Riemann à ce jour, on n'a pas pu démontrer qu'il était incassable au sens mathématique, mais dans la pratique le consensus de la communauté mathématique considère qu'il l'est. Par contre l'implémentation informatique ... ce sont des programmes .. or tout programme, à de rares exceptions près, contient des bugs, parfois très subtils. C'est ce qui vient d'être mis en évidence par ces tests, sachant qu'une difficulté majeure de l'informatique est de générer des suites de nombres vraiment aléatoires. C'est un écueil qui a été mis en évidence il y a une dizaine d'années, et pour peu que les programmes mentionnés soient "légers" sur ce point, il n'est pas anormal de découvrir de telles failles aujourd'hui. Si le problème réside dans la mauvaise qualité des nombres aléatoires, sa résolution n'est pas très difficile à appliquer car on sait générer de "bonnes" suites aujourd'hui ... tout en ayant en tête que seule la cryptographie quantique permettra, au moins au plan théorique, une sécurité absolue.

Pour commenter :

Depuis son lancement Atlantico avait fait le choix de laisser ouvert à tous la possibilité de commenter ses articles avec un système de modération a posteriori. Sous couvert d'anonymat, une minorité d'internautes a trop souvent détourné l’esprit constructif et respectueux de cet espace d’échanges. Suite aux nombreuses remarques de nos lecteurs, nous avons décidé de réserver les commentaires à notre communauté d’abonnés.

Atlantico.fr

Voir la bio en entier

En savoir plus
Je m'abonne
à partir de 4,90€