Vulnérabilité critique impactant l'algorithme de génération des clés RSA (ROCA)

Une implémentation de l’algorithme RSA au sein des puces Infineon est vulnérable à l’attaque dénommée ROCA (Return of Coppersmith’s Attack) qui touche la génération des clés par la librairie cryptographique. Toute clé privée RSA inférieure ou égale à 2048 bits et générée par les puces d’Infineon Technologies AG peut être retrouvée à partir de la clé publique correspondante.

Les clés de 4096 bits ne sont pas affectées pour l’instant car elles ne peuvent pas être factorisées en théorie, mais elles le seront peut-être dans un futur proche si l’attaque évolue.

La vulnérabilité a été découverte par le centre de recherche en cryptographie et sécurité de République Tchèque (CRoCS) et a été soumise à Infineon pendant la première semaine de février avec un accord de huit mois de préavis avant communication publique de la vulnérabilité. Les constructeurs comme Microsoft, Google, HP, Lenovo, Fujitsu ont publié des mises à jour remédiant à cette vulnérabilité. Le CRoCS, à son tour, alerte le grand public et publie des outils d’audit afin de vérifier la robustesse des clés utilisées.

Plus de détails seront présentés lors de la prochaine conférence ACM sur la sécurité des communications et des ordinateurs (ACM CCS) le 2 novembre 2017.

Informations
+

Impact

  • Atteinte à la confidentialité des données
  • Atteinte à l’intégrité des données
  • Usurpation d’identité

Criticité

Critique

Existence d’un code d’exploitation de la vulnérabilité

Des outils permettant de tester la vulnérabilité sont présents sur Internet.

En particulier, le CRoCS inclut sur son site une liste d’outils de détection à utiliser pour tester la génération des clés et aussi la robustesse des clés déjà utilisées:

Composants & versions vulnérables

Toute puce construite par Infineon Technologies est affectée. Il est à noter que ces puces sont omniprésentes et ne sont pas forcément vendues par ce constructeur puisqu’elles peuvent être embarquées dans d’autres dispositifs issus de constructeurs différents.


Recommandations
+

Correctifs

Les constructeurs comme Microsoft, Google, HP, Lenovo, Fujitsu ont publié des correctifs et des directives générales pour remédier à cette faille. Il est donc recommandé de mettre à jour les systèmes à la dernière version publiée.

Solution de contournement

Le CERT de l’ANSSI et le centre de recherche en cryptographie et sécurité de République Tchèque ont publié sur leurs sites respectifs des solutions de contournement et des directives générales à suivre après la publication de l’alerte et en cas de compromission.

Il est recommandé de générer de nouvelles paires de clés RSA. Le CERT de l’ANSSI conseille une taille minimale de 3072 bits. Cette solution provisoire réduit le risque de compromission mais ne l’écarte  pas.

Le CRoCS intègre dans le site dédié à l’explication de la vulnérabilité plusieurs lignes directives :

  • Mettre à jour les logiciels ;
  •  Remplacer le matériel vulnérable par un autre n’utilisant pas la libraire affectée ;
  • Générer des paires de clés RSA en utilisant d’autres dispositifs que l’appareil en question (i.e : Librairie OpenSSL) et l’importer puisque seule la génération est vulnérable ;
  • Utiliser d’autres algorithmes de chiffrement sur les appareils affectés ;
  • Utiliser des longueurs non impactées par la méthode de factorisation (3936 bits). Il est à noter que cette ligne directive spécifique est à utiliser en dernier recours puisque l’attaque peut évoluer.