Le processeur, une faille à lui seul

24/11/2006 à 00h00

Des chercheurs viennent de dévoiler le moyen de lire toute clé de cryptage. Cette faille remet en cause l'usage des architectures basées sur un unique microprocesseur.

On ne peut se fier à un processeur généraliste. Tel est l'avertissement répété inlassablement par Jacques Stern, directeur du département et du laboratoire d'informatique de l'ENS. La raison ? ' Ces dernières années, les attaques ont particulièrement ciblé les failles de fonctionnement des microprocesseurs : alimentation, mémoire... ', rappelle Jon Callas, directeur technique de PGP Corporation. La dernière a fait parler d'elle, puisque relayée par le Monde.Pour schématiser, les chercheurs étaient auparavant obligés de lancer des milliers d'attaques pour déduire statistiquement - et de façon approximative - la clé cryptographique traitée par le processeur. Après les travaux de l'équipe menée par Jean-Pierre Seifert, il serait possible de la lire en une seule fois.L'équipe s'est appuyée sur une implémentation répandue d'un algorithme RSA et sur un comportement particulier des processeurs Pentium 4 (voir schéma). Au contraire de ce qui a pu être dit, cette faille ne freinera pas l'essor du commerce électronique et les échanges interentreprises. François Morain, professeur associé d'informatique à l'Ecole polytechnique, pense que, si rupture il y a, elle date déjà d'une dizaine d'années, quand les premières attaques ont visé le matériel.

Un coprocesseur réservé à la sécurité ?

' Les conditions pour concrétiser ce vol de clé de cryptage ne sont pas simples à réunir ', ajoute James Randall, responsable de la cryptographie chez RSA. Ainsi, l'attaque suppose le téléchargement, sur la machine cible, d'un programme malveillant. En outre, toutes les entreprises n'utilisent pas un seul et même processeur pour traiter le tout-venant et les tâches cryptographiques.L'ensemble des spécialistes s'accorde sur la nécessité de s'équiper d'un processeur ou d'un coprocesseur réservé à la sécurité. Et ' si une entreprise désire ne garder qu'un seul serveur, elle doit prendre des précautions classiques, comme installer un antivirus, et ne charger sur cette machine que des programmes fiables ', résume Jean-Jacques Quisquater, spécialiste de la cryptographie à l'Université catholique de Louvain, en Belgique. Une autre solution, avancée par Jacques Stern, est de débrancher le Branch Prediction Unit (BPU) incriminé pendant l'exécution de calculs cryptographiques. Dernier consensus : les fondeurs sont condamnés à modifier l'architecture de leurs processeurs.

Contrepoint : Hervé Shauer (HSC) : ' la cryptographie n'est pas totalement remise en question '

' Il s'agit ici d'un problème lié à l'implémentation d'un algorithme cryptographique. Et ce genre de problème n'est pas rare : nombre aléatoire pas vraiment aléatoire, clés faibles, présence de la clé secrète en clair dans la mémoire, etc. Les conditions d'exploitation pour l'attaque citée ici sont difficiles à réunir : cette attaque ne peut pas toucher tous les processeurs, le programme mal-veillant doit fonctionner au moment précis où la clé est utilisée sur la machine cible... Pour se prémunir contre ce type d'attaque, il suffit d'utiliser une carte consacrée à la cryptographie. Mais, même dans ce cas, les entreprises n'ont pas à salarmer. Et le recours à une telle solution doit être réservé aux informations très sensibles. '

Renaud Edouard-Baraud