Après l’épisode Debian, voilà que OpenSSL fait de nouveau parler de lui. Des chercheurs de l’Université du Michigan spécialisés dans l’Ingéniérie electrique et le département informatique, ont réussi à recomposer une clé RSA de 1024 bits.
La manière de procéder est assez originale. En effet ils ont agi sur l’alimentation éléctrique de la machine pour provoquer des erreurs pendant le traitement de messages cryptés. En provoquant de petites fluctutations de courant ils étaient alors en mesure de récupérer des petits bouts de la clé.
Ils ont alors récupéré 8800 messages malformés et les ont introduit dans un cluster composé de 81 machines à base de pentium4 2,4 ghz.
Il leur a alors fallu 104 heures pour trouver l’intégralité de la clé.
Evidemment cette méthode est plus difficile à effectuer sur des serveurs de production, ceux ci se trouvant théoriquement dans des datacenters protégés, même si ce dernier point ne constitue pas forcément une immunité absolue.
Les développeurs OpenSSL ont affirmé qu’ils étaient déjà occupés à produire un patch pour cette faille.
(source: The Register)
Toujours aussi impressionné par l’ingéniosité mise en œuvre, pour trouver ce genre de faille. Dingue!
Faut en vouloir quand même ^^
Faut surtout n’avoir que ça à foutre 😉
Sûr et certain, que le patch sera disponible rapidement!
Pour mémoire, le problème survenu sur les distributions Debian n’était pas imputable aux développeurs OpenSSL, mais à un mainteneur Debian qui avait trop violemment patché le source d’OpenSSL.
À ce niveau d’intervention, sur du matériel et non du soft, peut-on vraiment parler d’une faille ?
C’est quand même un cas extrême.
Je pense que cela devrait plutôt nous conforter que cette techno est décidément très robuste, vu les moyens employés pour la « cracker » : avoir besoin d’un accès physique et de 80 machines, rien que ça !
On est quand même loin d’avoir besoin de trouver un remplaçant à openssl. S’il faut un cluster de 81 machines pour déchiffrer une clé de 1024bits en 104 heures, on est très loin de pouvoir déchiffrer des clés de 4096bits (raisonnable) par le PC de Mr Dupont.
La technique utilisée a l’air très ingénieuse. De là dire que openssl est « mis à mal » je pense que c’est un peu excessif.