Nous suivre Industrie Techno

Voler une clé de chiffrement juste en touchant un ordinateur

Julien Bergounhoux
Soyez le premier à réagir

Soyez le premier à réagir

Voler une clé de chiffrement juste en touchant un ordinateur

Des chercheurs israéliens ont publié des travaux démontrant qu'il est possible d'obtenir des informations d'un ordinateur simplement en mesurant les fluctuations du potentiel électrique de sa masse pendant qu'il travaille. Ces fluctuations peuvent être captées par simple contact physique avec l'ordinateur, ou en se branchant à un câble qui y est raccordé. Une vulnérabilité d'autant plus notable que les chercheurs s'en sont servis pour extraire des clés de chiffrement.

Des chercheurs de l'Université de Tel Aviv ont mis au point une technique permettant d'attaquer un système informatique en observant les fluctuations du potentiel électrique de la "masse" de l'ordinateur lorsqu'il effectue des calculs. L'attaquant peut capter ce signal par simple contact physique avec le métal du chassis (à main nue ou en utilisant un objet conducteur), ou en l'interceptant depuis un câble connecté à l'appareil (USB, Ethernet, VGA, DisplayPort, HDMI). Le signal est ensuite mesuré par un voltmètre (auquel il est transmis via un bracelet s'il est intercepté par le biais du corps humain). Bien que du matériel dédié soit préférable, les chercheurs ont testé l'utilisation d'un smartphone pour effectuer les mesures, et il s'est avéré que cela suffit pour certaines attaques.

En utilisant des techniques de traitement du signal et de cryptanalyse, les chercheurs ont pu extraire des clés RSA de 4 096 bits et des clés ElGamal de 3 072 bits de plusieurs ordinateurs portables de marques et modèles différents utilisant GnuPG (un logiciel de cryptage connu qui utilise la norme OpenPGP). Ils ont également pu les récupérer en appliquant deux techniques déjà connues à ce problème spécifique : l'analyse de la consommation électrique et l'analyse du spectre électromagnétique émis par le système.

Malgré les vitesses d'horloge de l'ordre du gigahertz des processeurs des ordinateurs et les multiples sources de bruit propres aux systèmes informatiques, les attaques n'ont besoin que de quelques secondes de mesure à l'aide de signaux moyenne fréquence (d'environ 2 MHz), ou d'environ une heure en utilisant des signaux basse fréquence (jusqu'à 40 kHz).

Les chercheurs ont fait part de leur découverte aux développeurs de GnuPG et l'application a déjà été patchée pour limiter sa vulnérabilité à ce type d'attaque. Mais la nature même de ces attaques (basée directement sur le matériel) fait qu'il est impossible de complètement s'en prémunir, et il est encore possible de s'en servir pour distinguer les clés les unes des autres. Les travaux seront présentés lors de la conférence sur la cryptographie CHES 2014, qui se déroulera à Busan (Corée du Sud) du 23 au 26 septembre.


Spectrogramme montrant les variations de puissance lors d'un décryptage par l'ordinateur cible de données chiffrées en RSA

Pour plus de détails, les recherches dans leur ensemble sont consultables ici.

Bienvenue !

Vous êtes désormais inscrits. Vous recevrez prochainement notre newsletter hebdomadaire Industrie & Technologies

Nous vous recommandons

Avec sa « Ruche », Thalès apporte de l’agilité au développement des solutions de cyberdéfense

Avec sa « Ruche », Thalès apporte de l’agilité au développement des solutions de cyberdéfense

En marge de l'European Cyberweek, qui se termine aujourd'hui à Rennes, le spécialiste de la défense Thalès a[…]

Bertin Nahum veut conquérir le monde avec ses robots chirurgicaux

Bertin Nahum veut conquérir le monde avec ses robots chirurgicaux

« En Europe, la difficulté n’est pas tant la création d’entreprises que leur croissance », selon Chahab Nastar, chef de l’innovation d’EIT Digital

Interview

« En Europe, la difficulté n’est pas tant la création d’entreprises que leur croissance », selon Chahab Nastar, chef de l’innovation d’EIT Digital

La maintenance à distance d’Oculavis récompensée à l’EIT Digital Challenge 2019

La maintenance à distance d’Oculavis récompensée à l’EIT Digital Challenge 2019

Plus d'articles