Comme n’importe quel serveur web, les objets connectés utilisent des certificats électroniques pour chiffrer leurs échanges de données. Mais la qualité de ces certificats laisse franchement à désirer, comme viennent de le remarquer deux chercheurs en sécurité de la société Keyfactor.
En scannant les services TLS/SSL disponibles sur Internet, ces experts ont collecté plus de 75 millions de certificats électroniques. Ils ont également collecté plus de 100 millions de certificats électroniques au travers de la base de données de Certificate Transparency, une initiative qui permet aux autorités de certification de référencer des certificats dignes de confiance. Dans les deux collectes, l’écrasante majorité des certificats était fondée sur l’algorithme RSA.
Dans cet algorithme, la clé secrète est composée de deux grands nombres premiers et la clé publique est leur produit. La sécurité de RSA repose sur le fait qu’il est très difficile de factoriser le produit de deux grands nombres premiers.
Mais cette sécurité éclate si plusieurs clés privées partagent un même nombre premier. Celui-ci peut alors être trouvé en déterminant le plus grand commun dénominateur (PGCD) des clés publiques, un calcul relativement peu complexe à faire. Retrouver la clé privée est ensuite trivial, car il suffit de faire une division. Cette attaque — connue de longue date — montre qu’il est important de générer les nombres premiers de manière aléatoire, car cela diminue la probabilité de retrouver les mêmes facteurs dans plusieurs clés.
Les deux chercheurs ont créé un algorithme permettant d’automatiser cette méthode à un grand nombre de certificats. Ils l’on implémenté sur un serveur virtuel Ubuntu doté de 32 cœurs de calcul, 432 Go de RAM et 1 164 To de stockage SSD. Il ne leur a fallu que quelques jours pour calculer les PGCD de leurs 175 millions de clés publiques. Résultat : ils ont réussi à retrouver la clé privée de 435 694 certificats. Seuls 5 certificats vulnérables provenaient de la base de Certificate Transparency, ce qui prouve leur haut niveau de qualité. Environ 50 % des certificats vulnérables provenaient, par ailleurs, d’objets connectés.
C’est aussi une question de coût
Cette étude montre que les certificats des objets connectés sont globalement de mauvaise qualité, car ils manquent cruellement d’entropie. L’une des raisons est économique. Le meilleur moyen de générer des nombres premiers de façon aléatoire est d’utiliser un générateur de nombres aléatoires matériel. Mais cela coûte relativement cher, surtout s’il s’agit d’appareils grand public.
Le problème, c’est que ces appareils, qui sont de plus en plus nombreux sur la Toile, fragilisent nos infrastructures. En effet, une fois qu’un pirate a cassé une clé privée, il peut l’utiliser pour intercepter et déchiffrer des flux de données, mais aussi pour usurper l’identité de ces appareils. Les scénarios d’attaque sont nombreux.
Les chercheurs de Keyfactor ont présenté ces résultats à l’occasion de la conférence IEEE TPS, qui s’est déroulée du 12 au 14 décembre à Los Angeles.
Source: Keyfactor
🔴 Pour ne manquer aucune actualité de 01net, suivez-nous sur Google Actualités et WhatsApp.