Une approche préventive pour assurer la sécurité à long terme du cyberespace
Pour faire face aux menaces en constante évolution visant le cyberespace, les projets SHARCS et PQCRYPTO financés par l'UE développent des concepts, architectures et logiciels de sécurité capables de garantir la sécurité et la fiabilité de nos systèmes TIC.
Dans le monde connecté actuel, de plus en plus d'activités quotidiennes dépendent de la cybersécurité. Du secteur bancaire au commerce en ligne, en passant par la télémédecine, les communications mobiles, l'informatique dans le cloud et l'Internet des objets, la société continue de mettre en ligne une quantité croissante d'informations confidentielles et privées.
Face à l'évolution permanente du piratage, il est essentiel que les secteurs privé et public adoptent une approche préventive de la cybersécurité. Pour cela, deux projets financés par l'UE, SHARCS et PQCRYPTO, travaillent au développement de nouveaux concepts, architectures et logiciels de sécurité dans le but de rendre nos systèmes TIC à la fois sûrs et fiables.
L'actualisation nécessaire des méthodes de chiffrement
Aujourd'hui, la plupart de nos informations en ligne sont protégées soit par des algorithmes utilisant soit une clé publique (RSA), soit la méthode du logarithme discret sur un corps fini, soit les courbes elliptiques. En pratique, ces systèmes sont généralement suffisamment variés pour assurer la sécurité de nos communications en ligne. L'évolution générale vers l'utilisation de puissants ordinateurs quantiques conduira à l'obsolescence de ces systèmes.
À titre d'exemple, des informations confidentielles telles que des dossiers médicaux et des secrets de sécurité nationale doivent bénéficier d'un niveau de sécurité garanti. Toutefois, lorsqu'elles sont conservées sur un ordinateur quantique, ces informations ne sont plus protégées du piratage en cas d'utilisation d'un chiffrement basé sur un algorithme de clé publique ou sur une courbe elliptique. Compte tenu des importants investissements nationaux et européens dans le développement d'ordinateurs quantiques, les chercheurs des projets SHARCS et PQCRYPTO insistent sur le fait que la société doit se préparer aux conséquences sur la cybersécurité du passage à l'informatique quantique.
Des vulnérabilités révélées par le Flip Feng Shui
Pour mettre en perspective la gravité de cette menace, des experts du piratage associés au projet ont utilisé une nouvelle technique non logicielle basée sur des bugs pour modifier la mémoire des machines virtuelles hébergées dans le cloud. Appelée Flip Feng Shui (FFS), cette technique autorise le pirate à louer une machine virtuelle sur le même hôte que la victime. Il peut alors craquer les clés de la machine virtuelle ou installer un programme malveillant sans être détecté. Avec une telle attaque, le pirate peut non seulement consulter et divulguer les données, mais il peut aussi les modifier en exploitant une faille matérielle. En conséquence, il peut donner l'ordre au serveur d'installer un logiciel malveillant et indésirable et d'accorder l'accès à des utilisateurs non autorisés.
Dans le cadre d'une attaque FFS, les chercheurs ont pu accéder aux machines virtuelles de l'hôte en affaiblissant les clés publiques d'OpenSSH avec un seul bit. Durant une autre attaque, les chercheurs ont changé les paramètres de l'application de gestion de logiciels apt en apportant des modifications mineures à l'adresse URL utilisée par apt pour télécharger un logiciel. Le serveur est alors en mesure d'installer une menace se présentant sous la forme d'une mise à jour logicielle.
Contrer dès aujourd'hui les menaces de demain
À l'évidence, il reste encore beaucoup à faire pour protéger nos informations en ligne. Grâce à un seul test, les chercheurs ont infirmé la croyance générale selon laquelle les inversions de bits matériels limitent la puissance en pratique. Armés de primitives FFS, les chercheurs sont parvenus à lancer une attaque de bout en bout aux effets dévastateurs, même en l'absence de vulnérabilité logicielle.
Pour limiter des menaces telles que le FFS, ont doit pouvoir compter en permanence sur de nouvelles méthodes de test, une certification du matériel et des adaptations des logiciels. Pour cela, le projet SHARCS conçoit, crée et procède à la démonstration d'applications et services sécurisés dès la conception et capables d'offrir une sécurité de bout en bout. Parallèlement, le projet PQCRYPTO travaille à la mise au point de systèmes cryptographiques adaptés aux besoins de protection actuels mais pouvant également contrer les menaces présentées par les ordinateurs quantiques. Ensemble, ces projets déboucheront sur une offre de systèmes de haute sécurité capables de faire face à l'évolution des besoins en cybersécurité des appareils mobiles, de l'informatique cloud et de l'Internet des objets.
Pour plus d'informations, veuillez consulter:
http://sharcs-project.eu/ (site web du projet SHARCS)https://pqcrypto.eu.org/ (site web du projet PQCRYPTO)
publié: 2016-09-07