Des données mieux sécurisées grâce à une cryptographie renforcée
Les pirates arrivent à pirater les cartes à puce et autres systèmes de sécurisation, affaiblissant ainsi les techniques actuelles de cryptographie. Un projet financé par l'UE s'est attaqué à ce problème.
La cryptographie consiste à appliquer des techniques pour sécuriser les
communications et éviter les intrusions de tiers non autorisés. Elle est
essentielle pour protéger tous les types de données. Qu'il s'agisse de
garantir la confidentialité et l'intégrité de paiements en ligne, ou de
valider des passeports électroniques, elle s'appuie sur des preuves de
sécurité des algorithmes afin de bloquer les attaques de pirates
externes.
L'un des fondements de la cryptographie est le concept de boîte noire: un attaquant extérieur (nommé adversaire dans ce contexte) ne peut interagir avec les algorithmes de sécurité qu'en leur fournissant des données et en étudiant les résultats. Ce concept est considéré comme sûr, en théorie, mais il en va autrement dans la réalité. Un pirate peut utiliser des attaques par canaux auxiliaires contre un système cryptographique de type boîte noire, en mesurant la durée de fonctionnement, la consommation d'énergie et d'autres variables accessibles de l'extérieur.
C'est dans ce contexte que le projet GAPS (Guiding physical security by proofs), financé par l'UE, étudie une meilleure théorie de sécurité matérielle afin d'élargir les méthodes de conception. Il cherche à contrer les attaques par canaux auxiliaires sur le modèle de boîte noire, en élargissant aux systèmes cryptographiques réels l'analyse de sécurité basée sur des preuves.
Les chercheurs visent de meilleures méthodes de masquage de la consommation électrique, des concepts plus sophistiqués pour la cryptographie symétrique résistant aux fuites, et de nouvelles méthodes informatisées d'analyse de la sécurité matérielle. Ils étudient ainsi des contre-mesures de masquage, largement utilisées pour protéger les cartes à puce (smart cards) contre les attaques par analyse de la consommation. L'un de leurs résultats importants a été la mise au point de nouveaux modèles de sécurité et techniques de preuve pour ces contre-mesures.
Le projet GAPS a ainsi montré une relation entre deux modèles de type boîte noire, celui de sondage (probing) et celui de fuites de bruit (noisy leakage). Il est plus facile de fournir des preuves de sécurité pour le modèle de sondage (voire de les automatiser), mais le projet vise l'autre modèle, plus proche de la réalité et qui apporte des garanties de sécurité plus signifiantes d'un point de vue pratique.
Les résultats du projet pourraient avoir d'importantes conséquences dans la lutte contre les attaques visant les cartes à puce. En effet, ces cartes sont très utilisées, non seulement pour les paiements mais pour de nombreux autres usages comme l'assurance médicale, la mobilité et les accès. Les travaux du projet se sont traduits par 7 publications, qui contribueront à renforcer la cryptographie et à améliorer la confidentialité.
publié: 2016-03-18