Cryptage : une semaine catastrophique (1)
Une zone dépressionnaire centrée sur l'Allemagne semble provoquer un amoncellement de cumulo-hackers. Un article du Monde signale sur un ton plus qu'alarmiste la fin des algorithmes RSA et des clefs de chiffrement quelques soient leurs longueurs. Article que l'on peut retrouver notamment sur un forum Ubuntu ou sur Spyworld. Les détails de ce hack spectaculaire seront dévoilés à l'occasion de la prochaine RSA Conference de San Francisco. L'affaire relativement préoccupante n'est pourtant pas particulièrement nouvelle. Depuis longtemps déjà, le chercheur Allemand, Jean Pierre Seifer, un ex-Intel, s'intéresse à plusieurs techniques d'attaque visant les clefs de chiffrement (AES). Mais contrairement à ses principaux collègues du monde du hacking « brute force » ou « rainbow tables », Seifer s'est tout d'abord concentré sur les « timing attacks » touchant le processeur chargé des opérations de chiffrement, ainsi que sur le comportement de la cache processeur et de son traitement statistique. Une idée qui remonte aux années 90, mais qui était demeurée plus théorique que pratique. De ces travaux naît peu à peu une technique baptisée « Branch Prediction Analysis », BPA, technique consistant à examiner certains mécanismes d'accélération de calculs des processeurs actuels. Ces composants ont recours à une méthode prédictive de calcul dont le résultat contenu dans la cache est tantôt exact -le temps de calcul est fortement diminué- tantôt erroné -le temps de calcul est accru-. En se basant sur les temps de réaction de ce mécanisme prédictif, il devient alors aisé, par une série d'approximations successives, d'extraire la clef de chiffrement convoitée. Mais cette approche est entachée d'un énorme défaut : elle consomme beaucoup de temps processeur, puisque chaque « morceau » de clef calculé doit être traité un grand nombre de fois avant de générer un résultat positif. Et un tel processus passe bien entendu difficilement inaperçu aux yeux de l'administrateur du système. C'est alors que l'équipe Seifer a l'idée d'injecter un processus espion dans le processeur, parallèle au traitement de la clef, et qui, aux dires de son auteur, peut en une seule passe récupérer « presque toute la clef privée d'un processus RSA », dixit l'une des dernières communications de Seifer courant juin 2006. Le procédé deviendrait donc immédiat et quasiment indétectable. Le principe, baptisé SBPA, pour Simple Branch Prediction Analysis ne repose plus du tout sur une estimation statistique du contenu d'une mémoire cache, mais bel et bien sur l'examen du comportement du processeur et une extraction directe des données de celui-ci. Pis encore, toutes les barrières de protection, de segmentation « étanche » de l'espace mémoire, les boîtes à sable en tous genres, les astuces de virtualisation restent sans effet face à ce genre d'intrusion. L'auteur conclut que la seule parade possible contre cette famille de menaces SBPA serait une « révision sérieuse » des principaux logiciels de cryptage clef publique/clef privée. Faut-il paniquer ? Pas encore, assurent les spécialistes du milieu. Il n'existe pour l'instant aucun code « tout fait » exploitable par des script-kiddies, et le cryptoanalyste allemand précise que le programme-espion doit être « consciencieusement écrit »... ce qui n'est pas, dans ce secteur très pointu des exécutables rédigés en langage machine ou assembleur, une opération simple à réaliser. En outre, chaque poison est souvent accompagné de son antidote dans les jours ou les semaines suivant sa découverte. Un rapide mémo de Shay Gueron, qui travaille également en collaboration avec l'équipe Seifer, laisse espérer l'existence d'une contre-mesure. Peu de temps après la RSA Conference 2007, Gueron et Seifer devraient publier le fruit d'un travail complémentaire détaillant les mesures de contournement sur OpenSSL.
