Certes, la vieille rengaine de RSA cassé n’affole plus grand monde. A force de crier au loup, il devient en effet difficile de prendre au sérieux quiconque affirme avoir cassé l’un des algorithmes de chiffrement les plus utilisés au monde.

En revanche, la récente découverte d’une équipe de chercheurs Suisses de l’Ecole Polytechnique Fédérale de Lausanne (EPFL) a de quoi faire dresser l’oreille aux spécialistes. Après avoir étudié plusieurs millions de clés RSA publiques (publiques dans tous les sens du terme, car elles étaient pour certaines librement accessibles sur Internet), les chercheurs de l’EPFL sont arrivés à la conclusion qu’une partie d’entre elles ne fournissait que peu, voire aucune, sécurité.

Combien ? La proportion semble augmenter avec la taille de l’échantillon et, il nous a été difficile de trouver une réponse claire à la lecture de leur publication. Les chercheurs indiquent cependant que 4% des 6,6 millions de certificats SSL et clés PGP basées sur RSA seraient concernées, et 1,1% de manière répétées. Leur échantillon total est de 11,7 millions de clés. Mais ils précisent aussi que, globalement, les clés RSA 1024 bits ne sont fiables « qu’à 99,8% seulement ».

Bon, mais alors, RSA est-il cassé oui ou non ?

Non ! L’algorithme reste fiable mais le processus de génération des clés peut, sous certaines conditions, produire des doublons.

La « faille » (notez les guillemets) tient avant tout à de mauvais générateurs de nombres aléatoires (RNGs) qui ré-utiliseraient par mégarde des grands nombres premiers déjà utilisés pour générer d’autres clés. De fait, certaines clés privées permettrait alors de déchiffrer ce qui l’a été avec une autre clé publique qui ne lui est pas liée. Pas aussi simplement, bien entendu : reproduire les travaux de l’équipe de l’EPFL (et d’une autre équipe américaine de l’université de San Diego, d’ailleurs) nécessite tout de même une bonne maîtrise des concepts mathématiques derrière la génération de ces clés.

Mais les chercheurs ont démontré qu’il était donc possible, pour le possesseur d’une clé privée, de déchiffrer les message cryptés à l’aide d’une autre clé publiques, qui ne lui sont pas destinés (une « collision » en quelque sorte). A condition, bien entendu, de la trouver ! Entre des clés locales, des clés inutilisées, révoquées, et tout simplement la masse de clés publiques disponibles sur Internet, ce n’est pas une mince affaire.

Il semble donc difficile d’exploiter cette vulnérabilité dans le cadre d’une attaque ciblée. C’est pourquoi son impact n’est pas jugé critique. Il s’agit plutôt d’un rappel à l’ordre en direction des fabricants de solutions de chiffrement : la crypto est un métier ! Et – surtout – générer des nombres véritablement aléatoires est un défi largement plus complexe qu’il n’y parait (à lire à ce sujet dans « L’art de l’intrusion« , le dernier ouvrage de Kevin Mitnick, l’aventure d’un groupe de pirates américains qui, dans les années 90, sont parvenus à prédire les cartes cachées tirées par les machines à sous de type Poker des casinos de Las Vegas. Justement parce que le générateur de nombres aléatoires de ces machines ne l’était pas franchement).

S’il est donc Inutile de re-générer tous vos certificats, l’on peut tirer quelques enseignements de cette affaire :

• Il peut être utile de challenger précisément vos fournisseur d’outils de chiffrement sur la qualité de leur générateur de nombres aléatoires. Certes, si leur réponse est détaillée, vous n’en comprendrez qu’une infime partie – voire rien ! Mais au moins ils se seront engagés de manière concrète sur l’entropie des nombres générés.
• Il est grand temps qu’une autorité externe (sous l’égide de l’ANSSI, par exemple ?) soit en mesure d’évaluer précisément le niveau d’entropie offert par les générateurs de nombres aléatoires utilisés par des outils vendus sur le marché.
• Préférez des clés ElGamal ou DSA aux clés RSA : l’étude des chercheurs de l’EPFL montre qu’elles sont largement moins touchées par ce défaut.