Cryptage des données numériques
Les processeurs mis en cause
De quoi inquiéter les centraux bancaires et les officines d’e-commerce, des articles publiés dans la presse spécialisée suscitent quelques interrogations sur la fiabilité des processeurs de nos chères (…) bécanes…
Suite aux révélations de l’équipe conduite par le cryptologue allemand Jean-Pierre Seifert (ex-Intel, enseignant dans les universités d’Haïfa et d’Innsbruck), les fabricants de microprocesseurs seraient sur les dents. En cause, une technique d’espionnage au niveau du code machine qui reposerait sur un logiciel capable de récupérer la clé de cryptage SSL au cours même de la phase de calcul… les spécialistes apprécieront. Qu’il s’agisse de crypter, de signer ou de garantir l’intégrité de données numériques, d’après les expériences conduites par l’équipe de JPS, les processeurs de la quasi-totalité du parc informatique mondial seraient vulnérables et le commerce en ligne serait selon lui menacé, ainsi que tout ce qui permet la dématérialisation des échanges, fondée sur des applications faisant appel aux codes asymétriques (procédé utilisant une clé publique codant les données et une clé secrète pour les restituer). Il s’agirait même de la fin des algorithmes RSA et des clefs de chiffrement couramment utilisées (RSA, acronyme formé à partir des noms de ses créateurs : Rivest, Shamir et Adleman). Pour de plus amples détails, nos lecteurs peuvent se reporter au research group “Mathematical Computer Science”, de la Johann Wolfgang Goethe-University (docs en allemand). Dans le détail cette menace qui porte le nom d’analyse de prédiction de branche (BPA), nécessitait jusqu’à maintenant de très nombreux essais pour déduire de façon statistique la clé de cryptage (ce qui la rendait de fait impraticable). Dans une étude encore assez confidentielle, JPS décrit la façon dont il a pu (selon lui en une seule tentative) récupérer la quasi-intégralité d’une clé de cryptage de 512 bits (NDR : rappelons que ce type de cryptage consiste en une suite d’autant de 0 ou de 1 permettant de « brouiller » les données transitant par le Net afin de les rendre illisibles ; elle est donc couramment utilisée pour les transactions cryptées ; sachant que la plus grande clé publique faisait 640 bits ; sa décomposition en 2005, avait nécessité pendant trois mois, l’utilisation de 80 microprocesseurs cadencés à 2,2 GHz). Cette découverte fait figure de bombe, puisqu’elle ne ferait appel qu’à une seule lecture de code ; sa force résidant dans le fait que le processus de prédiction, fondamental pour accélérer les performances du processeur, ne serait pas vraiment protégé. Selon lui, le mode de fonctionnement même de la puce, optimisé pour accélérer les calculs, la rendrait vulnérable. « La sécurité a été sacrifiée au bénéfice de la performance », estime le chercheur. Une « taupe » (logiciel) pourrait donc « écouter » la puce en toute discrétion, et renvoyer la clé par exemple à des hackers, voire à des services de renseignement ou à des concurrents potentiels. Sous couvert d’anonymat, des spécialistes de cryptographie confirment le sérieux de la menace sur les systèmes à clé publique : « La solution réelle serait de revoir la conception même de nos microprocesseurs… une solution de court terme serait de ne pas permettre que des applications sensibles tournent en parallèle avec des opérations standards sur un même ordinateur, ce qui est plus facile à dire qu’à faire dans un environnement de travail classique… il reste des remèdes partiels, mais ils impliquent de ralentir considérablement le fonctionnement des PC ».
De quoi inquiéter les centraux bancaires et les officines d’e-commerce, des articles publiés dans la presse spécialisée suscitent quelques interrogations sur la fiabilité des processeurs de nos chères (…) bécanes…
Suite aux révélations de l’équipe conduite par le cryptologue allemand Jean-Pierre Seifert (ex-Intel, enseignant dans les universités d’Haïfa et d’Innsbruck), les fabricants de microprocesseurs seraient sur les dents. En cause, une technique d’espionnage au niveau du code machine qui reposerait sur un logiciel capable de récupérer la clé de cryptage SSL au cours même de la phase de calcul… les spécialistes apprécieront. Qu’il s’agisse de crypter, de signer ou de garantir l’intégrité de données numériques, d’après les expériences conduites par l’équipe de JPS, les processeurs de la quasi-totalité du parc informatique mondial seraient vulnérables et le commerce en ligne serait selon lui menacé, ainsi que tout ce qui permet la dématérialisation des échanges, fondée sur des applications faisant appel aux codes asymétriques (procédé utilisant une clé publique codant les données et une clé secrète pour les restituer). Il s’agirait même de la fin des algorithmes RSA et des clefs de chiffrement couramment utilisées (RSA, acronyme formé à partir des noms de ses créateurs : Rivest, Shamir et Adleman). Pour de plus amples détails, nos lecteurs peuvent se reporter au research group “Mathematical Computer Science”, de la Johann Wolfgang Goethe-University (docs en allemand). Dans le détail cette menace qui porte le nom d’analyse de prédiction de branche (BPA), nécessitait jusqu’à maintenant de très nombreux essais pour déduire de façon statistique la clé de cryptage (ce qui la rendait de fait impraticable). Dans une étude encore assez confidentielle, JPS décrit la façon dont il a pu (selon lui en une seule tentative) récupérer la quasi-intégralité d’une clé de cryptage de 512 bits (NDR : rappelons que ce type de cryptage consiste en une suite d’autant de 0 ou de 1 permettant de « brouiller » les données transitant par le Net afin de les rendre illisibles ; elle est donc couramment utilisée pour les transactions cryptées ; sachant que la plus grande clé publique faisait 640 bits ; sa décomposition en 2005, avait nécessité pendant trois mois, l’utilisation de 80 microprocesseurs cadencés à 2,2 GHz). Cette découverte fait figure de bombe, puisqu’elle ne ferait appel qu’à une seule lecture de code ; sa force résidant dans le fait que le processus de prédiction, fondamental pour accélérer les performances du processeur, ne serait pas vraiment protégé. Selon lui, le mode de fonctionnement même de la puce, optimisé pour accélérer les calculs, la rendrait vulnérable. « La sécurité a été sacrifiée au bénéfice de la performance », estime le chercheur. Une « taupe » (logiciel) pourrait donc « écouter » la puce en toute discrétion, et renvoyer la clé par exemple à des hackers, voire à des services de renseignement ou à des concurrents potentiels. Sous couvert d’anonymat, des spécialistes de cryptographie confirment le sérieux de la menace sur les systèmes à clé publique : « La solution réelle serait de revoir la conception même de nos microprocesseurs… une solution de court terme serait de ne pas permettre que des applications sensibles tournent en parallèle avec des opérations standards sur un même ordinateur, ce qui est plus facile à dire qu’à faire dans un environnement de travail classique… il reste des remèdes partiels, mais ils impliquent de ralentir considérablement le fonctionnement des PC ».
La polémique avait même fait rage entre observateurs. Selon l’hebdomadaire Le Monde Informatique (LMI, publication d’International Data Group, éditeur de Computer World), le quotidien le Monde « faisait saigner la tomate » à propos d’une technique potentielle qui permet de récupérer les clés de cryptage au cœur des processeurs. Pour cet hebdomadaire spécialisé « il est hautement regrettable que la sécurité des systèmes d’information, qui concerne effectivement l’ensemble des citoyens des pays industrialisés, soit encore traitée sur un ton alarmiste et superficiel, entretenant une défiance diffuse et, plus grave encore, le fatalisme ambiant et l’apathie juridique qui en découle, le tout garantissant l’impunité des responsables des causes réelles et sérieuses des milliards d’euros ou de dollars volés chaque année, en particulier les banques et les détenteurs d’informations personnelles qui ne sont toujours pas tenus, en France, d’alerter les victimes potentielles à la suite d’une effraction de leur système d’information, et l’on ne s’y prendrait pas autrement si l’on voulait, sciemment, désinformer une population tout entière pour lui faire supporter les frais d’une dématérialisation des échanges conduite au seul profit des intermédiaires financiers ». Les résultats des travaux de Jean-Pierre Seifert avaient été publiés lors de la conférence RSA, début 2007. Claude A.Frison
Phishing
massiv attack
Les opérations de phishing se multiplient. Et ce malgré les alertes émises par les administrateurs gérant les transactions de leurs clients. Des internautes même avertis se laissent encore prendre au piège. Les banques ne sont pas les seules concernées par ce phénomène. Dans tous les secteurs, les pays à fort taux de connexions sont touchés par les agissements de circuits mafieux. Dernier exemple connu, durant trois mois, des pirates ont débité 250 comptes chez Nordea (banque suédoise comptant 2 millions de clients). Butin, environ 800 000 euros restitués depuis aux victimes. Depuis l’automne dernier, l’enquête policière a permis d’interpeller une centaine de petits malins recrutés via le Net. Les enquêteurs sont remontés jusqu’aux commanditaires situés en Russie, opérant via des serveurs nord-américains. Autre exemple du même type, le démantèlement début 2006 d’un réseau franco-russe de détournements de fonds. Des internautes français avaient réussi à pénétrer les comptes bancaires d’une soixantaine de leurs compatriotes. Bilan de l’opération pirate : 200 000 euros détournés. Encore une fois les commanditaires de l’opération étaient russes, agissant via une société fictive aux états-Unis. En bref, ils proposaient à des internautes français de recevoir sur leur compte l’argent détourné. Des mules, mais pas des ânes, puisqu’ils percevaient de 1 à 5 % de commissions sur les sommes détournées, une fois avoir reviré le butin récolté vers la tête du réseau. On ne peut pas leur jeter la pierre, les sites bancaires figurent logiquement parmi les plus sécurisés. Mais il est difficile d’obtenir des statistiques précises. Celles-ci ne communiquant que très peu sur ce sujet, on les comprend. Sans doute de peur de dissuader leurs clients d’utiliser leurs guichets en ligne. Des services payants, qui représentent une manne financière constante, non négligeable au bilan. Claude A.Frison
Les opérations de phishing se multiplient. Et ce malgré les alertes émises par les administrateurs gérant les transactions de leurs clients. Des internautes même avertis se laissent encore prendre au piège. Les banques ne sont pas les seules concernées par ce phénomène. Dans tous les secteurs, les pays à fort taux de connexions sont touchés par les agissements de circuits mafieux. Dernier exemple connu, durant trois mois, des pirates ont débité 250 comptes chez Nordea (banque suédoise comptant 2 millions de clients). Butin, environ 800 000 euros restitués depuis aux victimes. Depuis l’automne dernier, l’enquête policière a permis d’interpeller une centaine de petits malins recrutés via le Net. Les enquêteurs sont remontés jusqu’aux commanditaires situés en Russie, opérant via des serveurs nord-américains. Autre exemple du même type, le démantèlement début 2006 d’un réseau franco-russe de détournements de fonds. Des internautes français avaient réussi à pénétrer les comptes bancaires d’une soixantaine de leurs compatriotes. Bilan de l’opération pirate : 200 000 euros détournés. Encore une fois les commanditaires de l’opération étaient russes, agissant via une société fictive aux états-Unis. En bref, ils proposaient à des internautes français de recevoir sur leur compte l’argent détourné. Des mules, mais pas des ânes, puisqu’ils percevaient de 1 à 5 % de commissions sur les sommes détournées, une fois avoir reviré le butin récolté vers la tête du réseau. On ne peut pas leur jeter la pierre, les sites bancaires figurent logiquement parmi les plus sécurisés. Mais il est difficile d’obtenir des statistiques précises. Celles-ci ne communiquant que très peu sur ce sujet, on les comprend. Sans doute de peur de dissuader leurs clients d’utiliser leurs guichets en ligne. Des services payants, qui représentent une manne financière constante, non négligeable au bilan. Claude A.Frison
Passwords harvesting fishing
Pêche aux mots de passe
Étymologiquement, le terme de « phishing » vient de l’expression anglaise « passwords harvesting fishing » (pêche aux mots de passe), utilisée à l’époque des premières attaques de ce type sur les serveurs d’America Online. En français, il est communément traduit par « hameçonnage ». La technique consiste à faire croire aux internautes qu’ils reçoivent un mail de la part d’un site de confiance qu’ils consultent fréquemment. Une page parfaitement imitée les enjoint à compléter une simple case d’identification par mot de passe, pour authentification. Une fois entré et validé, le tour est joué. A l’insu du particulier, en un éclair, l’attaquant peut se connecter sur la page du client et obtenir des renseignements personnels.Plus grave est la situation quand le pirate, flanqué de ses cyber-acolytes parvient à installer sur le poste client un virus de type troyen (exemple haxdoor.ki). A noter qu’un simple cookie peut contenir ce type de programme. Il s’ajoutera à la base du registre au démarrage du système d’exploitation, se propageant là où il est sensé aller. Une manip d’autant plus facile que beaucoup d’internautes modifient les paramétrages de leurs pare-feux, voire désactivent les contrôles de cookies et de scripts à l’accès, ceci afin d’accélérer la rapidité de leur système, excédés qu’ils sont par les ralentissements que leur fait subir leur programme antiviral. Claude A.Frison
E-learning : la seconde vie de Big Blue
De l’e-learning à l’échelle planétaire. Depuis que Big Blue s’est recentré sur les services, l’irruption de la firme de White Plains dans Second Life est somme toute logique. IBM voit grand et utilise déjà Second Life comme outil de formation pour un millier de ses salariés éparpillés sur la planète. IBM ne fait pas les choses à la légère en matière de BSD (business system development). La jeune équipe de Philip Rosedale du Linden Lab a d’emblée bénéficié de prestations à forte valeur ajoutée (offertes pour certaines en guise de bons procédés). Notamment un système avancé de traduction en temps réel et des outils de visio-conférence, indispensables pour mettre en relation les internautes du monde entier (IBM France est de l’aventure aussi). Les choses sont allées grand train depuis que The Register annonçait les plans “secrets” de la firme en 2006. Pour info, les bases de déploiement furent lancées sous la houlette du boss des développeurs Ian Hughes, pour la circonstance parachuté Metaverse Evangelist entouré d’une escouade de beta-testeur dans un modeste chalet situé en plein centre du Monde SL. Les ingénieurs maisons s’en sont donnés à coeur joie en matière de modélisation. Des expérimentations dont le Linden Lab devrait continuer à bénéficier pour tenter de maintenir sa croissance. Claude A.Frison
Ray Kurzweil
En 2030 une capacité de calcul d’un dollar aura la même performance que celle du cerveau humain indiquait déjà le futurologue américain Ray Kurzweil, spécialiste en intelligence artificielle dans une interview au journal allemand Die Zeit (01/2002). En scannant le cerveau humain ou via d’autres méthodes de reproduction de ce modèle, nous développerons des progiciels qui illustreront par ordinateur toutes les facettes de ce cerveau, y compris la faculté de comprendre et de ressentir des relations et des émotions complexes. La technologie rendue de plus en plus intelligente voire même consciente entrera alors en compétition directe avec les hommes. Des progrès qui nous permettront même, sinon de devenir immortels, du moins de nous refabriquer avant la fin du XXIème siècle. voir le site singularity.com