MacBidouille

Vous connaissez peut être de près ou de loin le RSA, un algorithme de cryptographie. Il existe aussi la fameuse sociéte RSA, filiale de EMC (un des poids lourds du stockage).

Un de leurs produits, une clef USB nommée RSA SecureID 800, et qui est chargée d'authentification, vient de subir les foudres de talentueux chercheurs de l'INRIA (cocorico !). L'INRIA n'est pas la seule sur cette découverte, les universités de Venise, de Birminghan et Sicence et Technologie de Norvège ont participé.

En moins de 15 minutes, les chercheurs ont réussi à extraire une clef [confidentielle] de ce dispositif. Pour rappel, ce type de produit est conseillé et présenté par leurs créateurs comme un Fort Knox de stockage de données sensibles. Ces clefs sont souvent utilisées comme moyens complémentaires pour y stocker des informations de connections à un VPN, à des environnements sensibles, etc.

Il va de soit qu'un tel dispositif (utilisé comme moyen de stockage de clefs d'accréditation) branché sur un périphérique tel qu'un serveur, lui même derrière plusieurs mètres de béton armé, ne risque pas grand chose... sauf il est perdu ou volé. Pour information, le procédé utilisé pour l'attaque de cette clef USB permet également d'exploiter des failles sur les cartes d'identification que le gouvernement estonien demande à tout citoyen de plus 15 ans de détenir.

Avec l'arrivée promise du NFC sur les terminaux mobiles, cartes bancaires, nous sommes en droit de se poser des questions : quel degré de confiance accorder à des produits qui nous sont vendus et présentés comme fiables ? Nous ne sommes pas naïfs non plus : Murphy et sa célèbre loi est là pour nous le rappeler.

Mesdames et Messieurs de la sécurité informatique et de la cryptographie, vous avez du boulot en perspective.

- PS : D'autres produits sont aussi affectés. La liste sur le rapport de l'INRIA.