Une faille dans le cryptage RSA

Le système de cryptage des transactions bancaires en ligne de RSA présenterait une faille au risque limité, mais qualifiée de sérieuse.

Une équipe de chercheurs Suisses de l’Ecole Polytechnique Fédérale de Lausanne (EPFL), dirigée par le professeur Arjen Lenstra, affirme avoir découvert qu’une partie des clés RSA publiques présenterait une faille, ce qui se traduirait par ce que l’on appelle une clé faible, à risque, présentant peu voire pas de sécurité.

La clé n’est pas cassée, l’algorithme reste fiable, ce que confirme RSA. En revanche, le système de génération des clés pourrait produire des doublons. Dans ces conditions, le message crypté par une clé privée pourrait être déchiffré par une clé publique qui ne lui serait pas destinée. Pour exploiter la faille – nous parlerons plutôt de faiblesse – il faut donc multiplier l’usage de clés publiques avant de tomber sur celle qui va pouvoir décrypter le fichier. Autant dire chercher une aiguille dans une botte de foin, ce qui réduit sensiblement la menace.

La plupart des clés restent fiables

L’EPFL a testé un échantillon de 11,7 millions de clés RSA 1024 bits, et 99,8 % étaient fiables. 0,2 % des clés RSA ‘seulement’ seraient donc défectueuses. Pour Security Vibes, 4 % des 6,6 millions de certificats SSL et clés PGP basées sur RSA seraient concernés, et 1,1 % de manière répétée.

La découverte pose également la question du niveau d’entropie offert par les générateurs de nombres aléatoires. Ce que confirme RSA en la personne de Ari Juels, chief scientist, qui dans sa réponse pointe « les failles relatives aux protocoles de cryptage durant le processus de génération de nombres aléatoires ». Une façon de botter en touche en reportant la responsabilité sur les systèmes de génération des clés de chiffrement.

Lire aussi : Cybersécurité : Dell vend RSA Security pour 2 milliards $