Des clés RSA cassées avec la cryptanalyse acoustique

Si vous avez un compte PokerStars ou Skrill assez bien garni (ou simplement si vous êtes plus prudent que les autres), il est probable que vous ayez activé la sécurité en 2 étapes de votre compte au moyen d'une clé RSA (à titre de référence, RSA est un sigle formé à partir des noms de ses fondateurs : Ronald Rivest, Adi Shamir et Leonard Adleman).

Cette sécurité en 2 étapes (mot de passe + chiffrement RSA) est réputée pour être hyper sécuritaire, voire impossible à hacker (du moins, jusqu'à présent).

Aujourd'hui, on apprend qu'un groupe de chercheurs vient d’arriver, grâce à une méthode de cryptanalyse acoustique, à casser une clé RSA d’un ordinateur situé à proximité, à l’aide d’un simple microphone.

L'équipe, composée de Daniel Genkin, Adi Shamir et Eran Tromer, est arrivée à casser la clé en écoutant les sons que l'ordinateur émettait avec une méthode appelée la "cryptanalyse acoustique". Il faut savoir que la majorité des ordinateurs émet des sons aigus et que ces sons peuvent être captés avec les bons outils. Pour cette raison, il est donc possible d'être victime d'un hacking sans que personne ne touche à votre ordinateur.

L’équipe de chercheurs est arrivée à extraire des clés de chiffrement RSA de 4096 bits sur un ordinateur portable en seulement une heure grâce aux sons émis par ce dernier au cours d’une action de décryptage.

Pour ce faire, le micro devait être placé à quelques mètres seulement de l'ordinateur cible. En écoutant les sons précis de l'ordinateur, il est possible de déterminer quel composant précis de l'ordinateur travaille.

Pour déterminer les caractéristiques précises des clés de chiffrement RSA, il faut disposer d'un logiciel de données GnuPG. Le programme GnuPG utilise l’algorithme RSA pour ses opérations cryptographiques qui est sensible à des attaques par mesure de temps. Les composants électroniques vibrent durant les opérations du processeur. Un microphone peut donc écouter ces vibrations, afin de déterminer la durée de l’opération de RSA.

En écoutant les sons précis de cette manière, on peut donc décrypter une clé RSA de 4096 bits en environ 1 heure.

Évidemment, il n'y a absolument rien pour s'inquiéter pour le moment, l'expérience ayant été réalisée dans des conditions parfaites à la réussite du décryptage. Un des points positifs de l'expérience est qu'avec cette connaissance, il sera peut-être possible de "corriger" les "failles" qui ont permises de décrypter la clé.

À ce sujet, sur Wikipédia on pouvait lire: "Les clés RSA sont habituellement de longueur comprise entre 1 024 et 2 048 bits. Quelques experts croient possible que des clés de 1 024 bits seront cassées dans un proche avenir (bien que ce soit controversé), mais peu voient un moyen de casser de cette manière des clés de 4 096 bits dans un avenir prévisible."

Pour ceux qui utilisent une clé RSA donc comme 2e étape de sécurité à leur compte, vous pouvez continuer à dormir sur vos deux oreilles.

Discutez de cette nouvelle sur les forums de PokerCollectif: Des clés RSA cassées avec la cryptanalyse acoustique