Des chercheurs de Microsoft et des chercheurs néerlandais de l'Université Catholique de Louvain, basée en Belgique, ont découvert comment casser l'algorithme de cryptage Advanced Encryption Standard (AES) utilisé pour sécuriser la plupart des transactions en ligne et les communications sans fil. « Le mode d'attaque mis au point par ces chercheurs est capable de récupérer la clé AES secrète trois à cinq fois plus vite que ce l'on pensait jusqu'ici », a fait savoir l'Université de Louvain. Les chercheurs ont précisé que le mode d'attaque était complexe et qu'il ne pouvait être réalisé facilement avec les technologies existantes. « En pratique, la méthodologie utilisée prendrait des milliards d'années de temps d'ordinateur pour briser l'algorithme AES », précisent-ils.
Mais le résultat, fruit d'un projet d'analyse cryptographique mené sur le long terme, pourrait être le premier accroc dans le standard AES, considéré jusque-là comme inviolable. Quand une norme de cryptage est évaluée pour servir à des usages essentiels comme la sécurisation des transactions financières, les experts en sécurité jugent la capacité de l'algorithme à résister aux attaques les plus extrêmes. La méthode de cryptage, qui offre en apparence toutes les garanties de sécurité aujourd'hui, pourrait être plus facilement cassée par les ordinateurs de demain, ou par de nouvelles techniques utilisées pour casser les codes.
La marge de sécurité de l'AES s'érode
En 2001, le National Institute of Standards and Technology (NIST) américain, avait commissionné l'AES pour remplacer le Digital Encryption Standard (DES). Selon le NIST, le DES était devenu insuffisant, même s'il fournissait à l'époque un niveau de sécurité adéquate pour la plupart des besoins quotidiens. « Ce travail montre que la « marge de sécurité » de l'AES continue à s'éroder, » fait remarquer l'expert en sécurité Bruce Schneier dans un blog. « Les attaques se portent toujours mieux, elles ne peuvent qu'empirer », écrit-il, citant un expert de l'Agence de sécurité nationale (NSA) américaine. Malgré la complexité de sa mise en oeuvre, l'attaque en question pourrait casser toutes les versions de l'AES.
Andrey Bogdanov, chercheur de l'Université Catholique de Louvain, Dmitry Khovratovich, chercheur de Microsoft et Christian Rechberger de l'École Normale Supérieure de Paris, ont mené le projet à son terme. Andrey Bogdanov et Christian Rechberger avait pris congé de leurs universités respectives pour finaliser le projet avec Microsoft Research. Les créateurs d'AES, Joan Daemen et Vincent Rijmen, ont reconnu la validité de l'attaque, indique encore l'Université belge.
Illustration : extrait du document "Biclique Cryptanalysis of the Full AES" (crédit : K.U. Leuven, Belgium, Microsoft Research Redmond, USA, ENS Paris and Chaire France Telecom, France)
Des chercheurs prouvent que le standard AES n'est pas inviolable
L'algorithme utilisé pour sécuriser la plupart des transactions en ligne peut être compromis.