Une clé de cryptographie majeure sur le point d'être cassée

Une équipe internationale réunissant des mathématiciens de l'Ecole polytechnique fédérale de Lausanne, de l'université de Bonn et de la compagnie NTT au Japon ont extrait les facteurs premiers d'un nombre qui totalise 307 chiffres. En clair, cette équipe a ' presque ' cassé la fameuse clé RSA de 1 024 bits, souvent utilisée, par exemple, pour protéger les transactions sécurisées SSL sur Internet. Ce ' presque ' ne doit pas minimiser l'annonce car elle va remettre en cause toute la sécurité dans les prochaines années.Ce nouveau nombre à 307 chiffres est tout prêt des 308, du fameux cryptage RSA de 1 024 bits (constitué de deux nombres de 150 chiffres). Les nombres RSA (du nom de leurs concepteurs, Ron Rivest, Adi Shamir et Leonard Adleman) se définissent par leurs propriétés quasi incassables, car ils sont immenses et ne sont divisibles que par deux nombres premiers. Des facteurs très difficiles à découvrir. Du moins jusqu'à l'annonce de cette équipe internationale.Son exploit témoigne d'une montée en puissance des ordinateurs et du perfectionnement des techniques de cryptologie. Il leur a fallu onze mois de calculs et un siècle de ' temps machine ' pour parvenir à leurs fins. A titre de comparaison, ces mêmes scientifiques avaient mis neuf ans pour casser un nombre ' irrégulier ' de 150 chiffres, il y a quelques années.

Recommandations

Autant dire que le cassage des clés RSA de 1 024 bits n'est pas à la portée de tout le monde et encore moins des pirates qui ne disposent pas d'une telle puissance de calcul. ' Il n'y a pas de danger pour l'instant. Le travail des Suisses confirme que la sécurité de ces clés s'érode et que leur longueur nécessite un ajustement régulier, c'est-à-dire tenant compte notamment des améliorations des algorithmes ', précise Ari Juels, directeur scientifique des Laboratoires RSA.Ces recherches montrent néanmoins que les clés 1 024 bits ne seront bientôt plus un standard. Dans une publication spéciale de mai 2006, le National Institute of Standards and Technology avait recommandé que cette clé ne soit plus utilisée après 2010. Le même mois, les Laboratoires RSA avaient publié des recommandations invitant à passer aux clés de 2 048 bits. De quoi être tranquille jusqu'en... 2030, selon RSA.La majorité des entreprises n'est pas concernée par cette évolution, car très peu ont recours à la cryptologie. Pour celles qui devront s'adapter (les banques, les grandes entreprises comme Thales ou France Télécom...), le passage à une longueur de clé de 2 048 bits impliquera la réalisation de nouveaux certificats et le déploiement de moyens afin de déployer ces nouvelles clés. Un travail assez fastidieux.