L'alimentation électrique fait courir un risque aux applications

Par 08 mars 2010

Provoquer une panne fugitive de l'ordinateur pendant le processus d'authentification d'un module sécurisé rend le système vulnérable. Et facilite la récupération de la clé qui les sécurise.

Les infrastructures à clés publiques sont un moyen de sécurisation des échanges de données dans les secteurs du e-commerce et du m-banking. Le problème, pour des chercheurs de l'université du Michigan, c'est que, même si l'algorithme RSA utilisé est réputé inviolable, une manipulation du microprocesseur peut casser les protections de la partie logicielle. Dans un rapport, les chercheurs expliquent qu'ils sont parvenus à perpétrer une attaque en modifiant le voltage de l'alimentation du système. Ils entendent ainsi prouver qu'une faille du matériel peut avoir un impact sur la sécurité d'applications sensibles.
Provoquer des pannes fugitives pendant le processus d'authentification
La manipulation de l'alimentation électrique a pour conséquence de provoquer des pannes fugitives dans le système visé. Ce sont ces pannes qui vont être exploitées pour accéder à la clé privée qui sert à sécuriser les applications. Plus précisément, cette injection volontaire d'erreurs système intervient durant le processus d'authentification des messages échangés entre le serveur d'une application client et l'ordinateur. C'est à dire au moment où le système utilise la clé privée pour signer le message. Conséquence : la signature produite est erronée.
Récupérer un nombre suffisant de signatures corrompues
Les chercheurs expliquent qu'en récupérant ces signatures défectueuses et en les analysant, il est possible de déduire la nature de la clé. "L'attaque ne nécessite qu'une connaissance limitée des composants matériels du système qui la subit", expliquent-ils. "Une fois qu'un nombre suffisant de signatures corrompues ont été récupérées, la clé privée peut être obtenue grâce à une analyse hors-ligne". Il leur a fallu environ cent heures de calcul pour déduire la clé des signatures extorquées. Plus le nombre de signatures récupéré est grand, plus l'extraction de la clé est facilitée.

Mentions légales © L’Atelier BNP Paribas