janvier 13th, 2015

S’il fallait ne retenir qu’une seule conférence sur tout le programme de NoSuchCon, ce serait indiscutablement celle de Renaud Lifchitz (Oppida). A la fois pratique et prospective, technique et vulgarisante, cette causerie sur l’avenir du calcul quantique a été suivie par un atelier pratique utilisant le simulateur web du département photonique de l’Université de Bristol.

Le but d’une telle démonstration était d’appliquer, l’on s’en doute, cette méthode à la décomposition en facteurs premiers des clefs de chiffrement. Reste que l’approche mathématique n’est pas triviale. Car l’informatique des grains de lumière et des miroirs semi-réfléchissants a ses règles, notamment celle de la réversibilité des opérations. Une notion totalement étrangère aux habitués des opérations booléennes, pour qui la terre cesserait de tourner si NAND disparaissait. C’est une toute autre approche binaire qu’il faut réapprendre, avec des portes aux noms bizarres : CNot, Pauli, Hadamard, Toffoli, Swap ou Phase Shift. Tout aussi déstabilisante est la nécessaire absence de connaissance de l’état du « bit quantique » injecté dans le réseau de portes. Ici, pas d’analyseur logique. Dans le monde d’Eisenberg, lorsque l’on inverse une phase on ne connait pas le résultat avant la fin de l’opération (puisque l’observation du Qbit est l’ultime moment ou s’écroulent les improbabilités) et le chemin emprunté par un Qbit est certainement incertain.

Il faut donc être un peu beaucoup mathématicien pour jongler avec des concepts de cette nature. Et Renaud Lifchitz est un pur mathématicien qui a immédiatement compris l’intérêt pratique des ordinateurs quantiques. « Les temps de calcul pour certaines opérations sont accélérés. Je suis parvenu à factoriser un entier RSA de 21 bits en moins d’une minute, à l’aide d’un simple framework maison ». Ce sont, explique-t-il, les algorithmes symétriques qui sont les plus touchés par une attaque quantique. Sans entrer dans les détails techniques, une clef AES 128 traitée par un algorithme quantique (dit algorithme de Grover ) ne possède plus qu’une force de 64 bits. Cette règle a pour conséquence de diviser la force de tous les algorithmes symétriques par deux. « Pour AES, ce sera par exemple 2E64 fois plus rapide que d’examiner les clefs une par une en brute force » explique Renaud Lifchitz. Concrètement, AES 128 et autres crypto-systèmes symétriques seront les plus vulnérables, que ce soient les condensats ou les fonctions de chiffrement. Leur complexité en termes de taille de clef étant divisé par deux, le temps d’attaque bruteforce est divisé quadratiquement (racine du temps de recherche « normal »).

On peut estimer que les algorithmes symétriques les plus faibles de 56, 64 ou 128 bits vont être cassés d’ici 5 à 10 ans maximum si l’on se réfère à cet unique analyse (autrement dit en écartant la question de trappes préexistantes ou autre défauts intégrés volontairement ou non). « Cela ne veut pas dire que les algorithmes symétriques sont cassés dans l’absolu. Mais il faudra A minima, afin de résister à des attaques utilisant les algorithmes de Grover, doubler la taille des clefs » insiste le chercheur d’Oppida. C’est sans oublier l’inertie considérable, la force de l’habitude qui frappe le milieu informatique dès lors qu’il s’agit de chiffrement. Le passage d’une génération « crypto » à une autre, d’une intégration de protocole à une autre demande des années, et certains mécanismes fossiles perdurent des décennies dans certaines applications, parfois à l’insu même de leurs utilisateurs.

Et les systèmes asymétriques ? Eux également sont potentiellement vulnérables aux assauts d’un algorithme quantique, cette fois celui de Peter Shor, qui fonctionne à très petite échelle pour l’instant. Les plus gros systèmes d’ordinateurs quantiques pour l’instant ont une capacité d’une quinzaine de Qbits, ce qu’il faut pour factoriser des nombres de 5 bits. Plus modeste est le record de cassage d’un ordinateur quantique qui, à l’heure actuelle, est de 21 (7 Qbits). Pour donner une idée plus précise et plus concrète, il faudrait, pour casser un RSA 1024, un ordinateur de 300 000 Qbits. Ce qui laisse encore entre 20 et 25 ans aux systèmes asymétriques avant de commencer à craindre les effets de l’algorithme de Shor… faute d’ordinateur « à quanta massifs » conclut Renaud Lifchitz.

Le calcul quantique relève-t-il plus de l’analyse de risque science-fictionnesque que d’une réelle menace ? L’on en revient une fois de plus à l’axiome de Bruce Schneier : la puissance de feu (donc l’investissement de développement) déployé par l’attaquant est proportionnel au gain qu’il espère en tirer. Le calcul quantique utilisé dans le domaine de la sécurité informatique est donc à ranger dans la catégorie des « armes haut de gamme visant potentiellement les secrets d’Etats ». Le monde bureautique/business peut dormir sur ses deux oreilles. Le calcul quantique existe, il est même utilisable sur le Cloud, mais les grands calculateurs qui émettent physiquement des photons uniques et intègrent des « portes à miroirs semi-réfléchissants » en sont au stade du trotteur. Leur mise en application n’est pas attendue avant 20 ans. C’est là une échéance plus courte que l’histoire d’Internet lui-même (35 ans) ou que la microinformatique (40 ans environ). En matière de sécurité, 20 ans ne pèsent pas plus qu’un souffle de ventilateur CPU. Les recommandations de l’Owasp ont elles-mêmes 14 ans et sont loin d’être systématiquement appliquées. Il a fallu 20 ans pour que les utilisateurs « par défaut » de certains systèmes d’exploitation ne bénéficient plus systématiquement de droits « Admin ». Alors, 20 ans pour doubler ou tripler la taille des clefs symétriques ou s’inquiéter de la solidité des algorithmes RSA, cela veut peut-être dire que c’est dès aujourd’hui qu’il faut commencer à y penser.

Les déjà « vieux » participants du défunt iAwacs se souviennent du hack mémorable des réseaux CPL par Xavier Carcelle et de la publication des premières versions de Faifa . C’est sur cette vague, et inspiré en partie par les travaux de son prédécesseur, que Sébastien Dudek, chercheur chez Sogeti, s’est attelé : l’analyse de ces adaptateurs à courant porteur « sans fil qui ont tout de même besoin de fil mais pas de courant porteur ». Une analyse qui débute par un rappel sur les désinformations et autres légendes urbaines que diffusent encore certains (sinon tous) revendeurs de ce genre d’équipement. Non, les CPL ne sont pas « bloqués » par le compteur électrique de la plupart des logements, et peuvent se propager sur le réseau de tout un quartier. Non, les compteurs modernes ne possèdent pas tous de selfs de choke (réjection en mode commun bloquant les signaux radio du CPL). Non, enfin, le système de chiffrement de ces appareils n’est pas inviolable. D’autant moins inviolable que beaucoup de matériel norme « homeplug » installés par défaut acceptent même l’apparition d’un « rogue plug » sans trop s’émouvoir.

Mais correctement configuré par un utilisateur prudent et amoureux des mots de passe alambiqués, le problème se corse. Le chercheur Français cherche tout d’abord à lancer une attaque Bruteforce contre la Network Membership Key (NMK), procédé lent et peu efficace, surtout si le mot de passe est complexe. Une approche plus intelligente consiste à s’intéresser à la phrase de passe DAK (Direct Access Key) propre à chaque prise qui a son tour permettra la modification des clefs de chiffrement réseau. Or, cette DAK est inscrite en clair sur le boîtier dans la majorité des cas. Si l’on ne bénéficie pas d’un accès physique audit boîtier, une requête réseau avec certains outils (ainsi ceux de tp-link) peuvent récupérer cette DAK sans la moindre difficulté. Sans la moindre difficulté ? Une clef de 16 caractères ? Impossible… a moins qu’il y ait une faille dans le système soupçonne Sébastien Dudek. Après analyse de la DLL effectuant ce travail miraculeux, le reverser de Sogeti se rend compte que la clef en question est dérivée de l’adresse MAC de l’adaptateur… une adresse MAC qu’il est bien plus facile de récupérer à distance. Le reste de l’histoire se résume à retrouver l’algorithme de dérivation qui, de l’adresse MAC, génère la clef DAK (que Sébastien Dudek baptise avec ironie K.O. DAK). Cette mauvaise pratique affecte une majorité de vendeurs utilisant le jeu de composants CPL de Qualcomm-Atheros. Pis encore, l’usage de l’adresse MAC en guise de radical de clef Web ou servant à dériver une clef plus complexe a longtemps été une habitude détestable des boutiquiers de l’accès ADSL via Wifi. Les bases changent, le manque de sérieux des revendeurs d’équipements persiste. L’opérateur Free est l’un des rares dont les boîtiers CPL ne sont pas affectés par ce défaut. Reste qu’un système de transmission dont l’appellation est un mensonge technique et dont la technologie même ne respecte pas le quart du début des normes Européennes sur la compatibilité électromagnétique devrait être interdit de séjour dans tout réseau construit par un administrateur sérieux et responsable.

Bien plus simple, mais tout aussi instructif était l’atelier de Damien Cauquil, directeur R&D de l’équipe Sysdream et figure emblématique de la « Nuit du Hack ». Le but du jeu (car l’atelier était très ludique) était de « pirater » une sonnette de porte sans fil, du genre de celles vendues en supermarchés. Comment fonctionnent ces appareils domestiques, comment en détecter la présence sur le spectre radioélectrique de proximité (vive les clefs RTL-SDR et autres outils d’analyse à faible coût), comment deviner le type de modulation utilisé, la nature de l’information transmise et surtout le mécanisme qui empêche que la sonnette d’un voisin déclenche le carillon d’une autre habitation. Chaque participant à l’atelier, généralement des gens du « soft », se sont alors mis au fer à souder pour modifier le boîtier de commande d’une dizaine de kits-sonnette afin de le transformer en « frankenbouton » capable de déclencher une tempête de « Ding Dong » dans toutes les habitations à la ronde. « Plus qu’un « sonnette be-gone » explique Damien Cauquil, ce hack de premier niveau montre à quel point parfois les objets quotidiens sont vulnérables à des attaques de béotiens ». Car derrière cette démonstration, l’on peut imaginer une foultitude d’adaptations, de « fuzzing en mode hardware » visant soit tous les appareils utilisant un lien radio faiblement sécurisé, soit tous les périphériques domestiques intégrant un microcontroleur standard et une zone mémoire flash directement accessible. Ce petit piratage entre amis pourrait aussi donner des idées à toutes les personnes avides de savoir comment fonctionnent, par exemple, les parties « non IP » de l’Internet des objets …