S’il y a bien un meme de la sécurité, c’est la casse de l’algorithme RSA. Chaque année, ou presque, un inventeur annonce avoir brisé l’algorithme le plus attaqué de la planète.

La dernière annonce en date nous vient d’une équipe internationale de chercheurs en cryptographie (dont des français de l’INRIA et de l’ENS Cachan). L’équipe, baptisée Team Prosecco, affirme parvenir à casser les tokens RSA hybrides en 13 minutes pour les plus faibles (SecuriID 800) et 92 minutes pour les plus résistants (Gemalto).

Evidemment, l’annonce n’a pas manqué de créer une petite tempête médiatique. D’autant plus qu’elle intervient tout juste un an après le piratage dont a été victime RSA et qui avait semé de sérieux doutes quant à l’intégrité de ses solutions d’authentification SecurID en circulation. Les deux affaires n’ont cependant strictement rien à voir l’une avec l’autre : l’on parle dans un cas d’authentification forte et dans l’autre de chiffrement. La confusion provient du fait que les jetons en question (SecurID 800 notamment) sont dits hybrides : ils embarquent une fonctionnalité d’authentification OTP traditionnelle et une puce cryptographique au standard PKCS (c’est cette dernière qui est concernée ici). Connecté par USB à un PC, le token peut via sa puce stocker des certificats qui serviront à chiffrer ou signer des documents.

Les détails de l’attaque menée par l’équipe Prosecco seront connus au mois d’août prochain. Pour l’heure on ne peut que spéculer en se basant sur le document officiel publié par les chercheurs. Et sur cette base on est tenté de conclure que les jetons hybrides SecurID ont encore de beaux jours devant eux !

« Ceci peut être réalisé en plaçant un malware sur la machine »

L’annonce des chercheurs contient en effet cette phrase magique, de celles qui relativisent systématiquement toute annonce sécurité un peu trop fracassante : « Ceci peut être réalisé en plaçant un malware sur la machine« …

Bref, l’attaque exige comme pré-requis de pouvoir infecter la machine cible (le PC auquel est connecté le jeton pour les opérations de signature ou de chiffrement). Mais alors à quoi bon s’embêter à mener une attaque cryptographique complexe si l’on contrôle la machine ? C’est ce détail qui, jusqu’à présent, à tué la quasi-totalité des annonces sécurité un peu trop belles pour être vraies.

Dans le cas de cette attaque particulière une autre option serait d’avoir librement accès à une fonction crypto critique (UnwrapKey) à travers le réseau, ce qui est probablement purement académique (ou qui exige d’exploiter une vulnérabilité dans le serveur RSA).

En outre, les chercheurs reconnaissent que leur attaque ne permet pas de révéler la clé privée de la paire RSA (ce qui serait la seule vraie « casse » acceptable). Elle permet seulement de révéler la clé de chiffrement symétrique (et donc temporaire) du message, qui est elle-même chiffrée avec la paire de clés asymétriques. Cette clé symétrique permet donc de déchiffrer le contenu d’un message particulier mais pas de casser toutes les communications (ou d’usurper toutes les signatures) liées à cette paire de clés RSA.

Et enfin, l’attaque ne donne pas accès aux « seeds » des jetons (ces même seeds qui sont au coeur de la polémique du hack RSA de l’année dernière). L’attaque s’intéresse en effet à la partie carte à puce (PKCS) du jeton et non à sa fonction d’authentification OTP.

De son côté RSA a réagi en publiant une mise au point sur son blog officiel. Selon l’éditeur cette attaque nécessite pour fonctionner de connaître le code PIN qui protège le token, ce qui – si c’est exact – rend l’attaque encore plus académique qu’elle ne l’est déjà.

A leur crédit, les chercheurs reconnaissent n’avoir fait qu’améliorer une attaque connue depuis 1998 nécessitant beaucoup d’itérations pour fonctionner. Ils sont parvenus à réduire grandement le nombre d’itérations nécessaire pour arriver au même résultat. L’exploit est donc académique, et parfaitement respectable, mais il n’a certainement rien à voir avec la fin du monde RSA que nous prédisent les Cassandre médiatiques.

Nous serons fixés au mois d’août prochain, à l’occasion de la conférence CRYPTO 2012 de Santa Barbara.