L’actualité du web démontre l’importance croissante de la sécurité des données sur Internet. Or, une équipe de chercheurs français vient de mettre en partie un terme à une solution de cryptage étudiée depuis plus de 30 ans.

Sécurité informatique : la fin d’un système de cryptage
Sécurité informatique : la fin d’un système de cryptage © / http://fr.wikipedia.org/wiki/Cadenas

Après les révélations d’Edward Snowden sur la NSA, la faille de sécurité Heartbleed, ou encore le vol de données chez Orange, on comprend bien aujourd’hui l’importance de la sécurité informatique, et de la cryptographie, cette discipline qui s’intéresse à protéger et rendre confidentielles les données.

Certains systèmes cryptographiques se basaient jusqu’à maintenant sur les logarithmes discrets , qui permettent de crypter les informations selon un système alors considéré comme très difficile à résoudre. Or, une nouvelle recherche change ce paradigme : une équipe composée de quatre chercheurs du CNRS, de l'Inria et du Laboratoire d'informatique de Paris 6, avec Pierrick Gaudry, Răzvan Bărbulescu, Emmanuel Thomé et Antoine Joux, vient de montrer qu’à l’aide d’un nouvel algorithme il est dans certains cas plus facile que prévu de résoudre les logarithmes discrets (les scientifiques parlent du cas de la «petite caractéristique»). Et donc, que la sécurité des données cryptées selon cette méthode s’en trouve menacée.

Comme l’explique Emmanuel Thomé, « En matière de cryptographie on souhaite souvent garantir une sécurité des données. Cette sécurité repose sur un problème mathématique difficile à résoudre. On fait en sorte que la tâche qui incombe à l’attaquant soit un problème difficile » . Les cryptographes disposent ainsi d’un catalogue de problèmes mathématiques parmi lesquels ils choisissent celui qu’ils souhaitent utiliser.

Le problème des logarithmes discrets consiste à restreindre l'accès aux données par des opérations qui donnent un résultat obtenu à partir de nombres élevés à une certaine puissance. Dans ces opérations il est difficile de retrouver les nombres initiaux, connaissant seulement le résultat, comme l’explique cette vidéo (pour une explication de l’opération « a mod b » , voir cet article) :

L'algorithme conçu par les chercheurs est bien plus efficace que les précédents pour résoudre les problèmes de logarithmes discrets évoqués. La résolution de ce genre de problèmes mathématiques en cryptographie s’en trouve ainsi grandement facilitée et à la portée des calculateurs actuels.

Les scientifiques précisent que cette découverte ne met pas directement en péril les protocoles de sécurité utilisés dans la vie quotidienne, pour les produits les plus courants. Cependant, il n’est pas inconcevable qu’elle impacte directement les applications en cryptographie.

Par exemple, si on considère le protocole HTTPS , on connait très bien les problèmes mathématiques qui sous-tendent sa sécurité. « Je peux vous assurer qu’il ne sera pas affecté directement par notre travail » , affirme Emmanuel Thomé. « Par contre si on échappe à ce contexte là, tout peut arriver. Si une société X vend un système de chiffrement de téléphones ou une clé USB chiffrante, on ne sait pas quel problème difficile elle va choisir et il est tout à fait possible qu’elle opte pour celui qui est attaqué par notre algorithme. Cette société ferait mieux de s'en tenir aux standards ou aux documents de référence proposés par exemple par l'Agence Nationale de la Sécurité des Systèmes d'Information (ANSSI). » .

Concernant le RSA, un algorithme de cryptographie très utilisé dans le commerce électronique, et plus généralement pour échanger des données confidentielles sur Internet, il serait très prématuré de dire que sa sécurité est remise en cause. Pour Emmanuel Thomé, « Ce serait aller bien vite en besogne » , mais cette possibilité n’est pas complètement écartée. Elle demandera en revanche plus de recherches.

La résolution du logarithme discret dans les cas traités par le nouvel algorithme semblait extrêmement difficile, et cela depuis plus de trois décennies. « L’impact académique est considérable » selon Emmanuel Thomé. Ce résultat rend également caduque divers protocoles comme les signatures électroniques courtes ou des propositions de monnaie électronique.

La sécurisation du web est au cœur de nombreuses réflexions actuellement. Jari Arkko, président de l’Internet Engineering Task Force, expliquait récemment au magazine Usbek & Rica que « Plus de cent groupes de travail sont en train de soigneusement et systématiquement étudier la sécurité d’Internet, pour explorer les manières d’améliorer la protection de la vie privée et les différents aspects de la sécurité » . L’Internet Architecture Board, qui définit les orientations à long terme du web, travaille également au « durcissement d’Internet », c’est-à-dire aux moyens de rendre le réseau moins vulnérable pour les usagers. Enfin, certains plaident maintenant pour un web totalement sécurisé.

Antoine Bonvoisin pour La tête au carré.

Ce contenu n'est pas ouvert aux commentaires.