En cette période de fin d’année, les sites de e-commerce battent des records de ventes et de livraisons. Selon la FEVAD (Fédération du e-commerce et de la vente à distance), le nombre total de transactions de paiement sur Internet pourrait atteindre le milliard en 2016, contre 700 millions en 2014. Pour faciliter ses achats, 80 % des acheteurs en ligne ont opté pour un paiement par carte bancaire au cours du premier semestre de cette année.
Le commerce électronique et de façon plus générale les règlements en ligne sont entrés dans les mœurs. Plus pratiques, plus rapides et plus sûrs… Si les deux premiers ne laissent pas de place au doute, il n’en va pas de même avec le dernier. Il représente pourtant le maillon essentiel au commerce et de façon générale à tous les échanges sur Internet : la confiance. C’est la raison pour laquelle on fait appel à la cryptographie qui permet de garantir la sécurité des échanges sur Internet, ou encore les transactions par carte bancaire. Il existe plusieurs algorithmes de chiffrement, mais le RSA est le plus connu et utilisé. Il est dit asymétrique puisqu’il fonctionne avec une paire de clés : l’une privée et l’autre publique, et repose sur la factorisation des entiers et les nombres premiers.
Or, une équipe franco-américaine impliquant des chercheurs du Laboratoire lorrain de recherche en informatique et ses applications (LORIA) a démontré qu’il est possible de compromettre une clé de chiffrement pour la rendre quasi inopérante… En un mot, il est possible de compromettre la sécurité des communications sur Internet en utilisant des nombres « truqués ».
La sécurité des flux sensibles repose sur l’échange d’une série de chiffres – une clé (fondés sur l’algorithme de Diffie-Hellman, du nom de ses inventeurs en 1976) entre deux ordinateurs, grâce à laquelle sont ensuite chiffrées les informations ou authentifiées les connexions. Cette série de chiffres comprend un nombre premier et deux nombres secrets (un pour l’émetteur et l’autre le destinataire). Selon cette équipe, un pirate ayant eu connaissance du nombre premier échangé au départ et disposant d’une puissance de calcul suffisante pourrait « craquer » cette clé.
« De nos jours, une clé construite à partir d’un nombre premier de 768 bits n’offre plus qu’une protection illusoire. En effet, en juin, une équipe de l’université de Leipzig et de l’École polytechnique fédérale de Lausanne est parvenue à casser une telle clé. Il est vrai qu’en pratique, les nombres utilisés sont de 1 024 bits, soit environ 300 chiffres.
Mais là où le bât blesse, c’est que certains nombres premiers génèrent des clés totalement perméables aux algorithmes casseurs de clés », peut-on lire dans le Journal du CNRS.
« Nous y sommes parvenus à casser cette clé 10 000 fois plus rapidement que le temps nécessaire pour une “vraie” clé, et ce avec 10 fois moins de puissance de calcul que celle utilisée par nos collègues de Leipzig et de Lausanne dans le cas à 768 bits », précise Emmanuel Thomé, du Loria. La sécurité d’Internet serait donc perfectible même si actuellement, on utilise couramment des clés asymétriques sur 2048 / 4096 bits.
Le plus inquiétant est que des listes standard, qui recensent les nombres utilisés en cryptographie, ont été utilisées par un sous-traitant de la NSA. Selon le lanceur d’alerte Edward Snowden, cette agence de renseignement américaine a essayé d’influencer les standards et les spécifications pour les techniques commerciales de clés publiques. Par ailleurs, des vers ont été développés de façon à voler la clef au moment où elle est traitée par l’algorithme… « Personne ne sait très bien comment ces nombres ont été sélectionnés », s’inquiète le cryptologue du LORIA. D’où le risque que la NSA puisse espionner ces transactions.
Philippe Richard
Dans l'actualité
- Le paiement sans contact et sans… sécurité
- La sécurité du Web face à l’informatique quantique
- Blockchain : c’est quoi ?
- Une panne générale d’Internet : fantasme ou réelle menace ?
- État de l’internet en France : bilan de santé mitigé
- Hackers éthiques et emploi : 11% d’augmentation mais un poste peu accessible
- Cybersécurité : la multiplication des menaces
- High-Tech : les fatalités et craintes du Gartner
- La Russie peut-elle faire web à part ?
- Le who’s who des pirates
Dans les ressources documentaires