Des chercheurs de plusieurs universités européennes ont conclu que l'algorithme de chiffrement GEA-1, utilisé dans les premiers réseaux de données mobiles dans les années 1990 et 2000, a été délibérément affaibli lors de son introduction. Le GPRS est une norme de données mobiles basée sur la technologie 2G, et de nombreux pays et fournisseurs de réseaux l'utilisent encore comme solution de secours pour les données mobiles, les SMS et les appels téléphoniques. Le chiffrement GEA-1 est utilisé entre le téléphone et la station de base. Le GEA-2, qui succède au GEA-1, présente lui aussi une protection insuffisante, bien qu'aucune preuve d'une porte dérobée délibérée n'ait été trouvée par les chercheurs.
Selon le rapport des chercheurs, cette faiblesse dans l'algorithme a permis aux pirates d'espionner une partie du trafic Internet. Le nouveau document a provoqué une onde de choc dans la communauté du chiffrement en raison de ses implications. En effet, les chercheurs estiment que la probabilité mathématique que la faiblesse soit introduite par accident est extrêmement faible. Ils supposent donc qu'une faiblesse a été introduite intentionnellement dans l'algorithme. Après la publication de l'article, le groupe qui a conçu l'algorithme a confirmé à un média que c'était le cas.
Bien que GEA-1 et GEA-2 soient des algorithmes de chiffrement propriétaires, les chercheurs les ont obtenus d'« une source qui préfère rester anonyme ». Selon le rapport, il existe une forte probabilité statistique que l'algorithme GEA-1, qui était utilisé dans les téléphones portables lorsque l'industrie a adopté les normes GPRS dans les réseaux 2G, ait été considérablement affaibli et qu'il ne soit pas réellement sécurisé sur 64 bits comme annoncé. Au lieu de cela, il n'offrait qu'une sécurité de 40 bits ; un chiffrement de 40 bits offre une sécurité très faible, car un réseau d'ordinateurs était capable de forcer brutalement une clé en peu de temps. Matthew Green, chercheur en cryptographie à l'Université John Hopkins, a renforcé les affirmations selon lesquelles il s'agirait d'une "porte dérobée" délibérée.
« Quoi qu'il en soit, voici l'essentiel des conclusions de l'article : pour l'un des algorithmes (GEA-1), il est censé y avoir 2^64 états internes possibles. Cependant, en raison de certaines circonstances improbables dans la conception du système, seules environ 2^40 valeurs d'état possibles apparaissent dans la pratique », a écrit Green dans un fil de discussion sur Twitter. Il a poursuivi dans un autre tweet : « (Cette différence de 24 peut sembler insignifiante, mais c'est une réduction potentielle de 16 777 216x en termes de sécurité) ».
Dans leurs tentatives de rétro-ingénierie de l'algorithme, les chercheurs ont écrit qu’ils ont essayé de concevoir un algorithme de chiffrement similaire en utilisant un générateur de nombres aléatoires souvent utilisé en cryptographie et n'ont jamais été près de créer un schéma de chiffrement aussi faible que celui réellement utilisé : « En un million d'essais, nous ne nous sommes jamais approchés d'une instance aussi faible », ont-ils écrit. « Cela implique que la faiblesse de GEA-1 n'est pas susceptible de se produire par hasard, ce qui indique que le niveau de sécurité de 40 bits est dû aux réglementations en matière d'exportation ».
Dans ce cas, combiné à la capacité d'écouter les communications GPRS, il est théoriquement possible d'intercepter et de déchiffrer facilement tout le trafic du réseau mobile qui utilise l'algorithme GEA-1. Matthew Green note également que TLS n'était pas utilisé par la plupart des sites Web à l'époque et que toute personne utilisant l'Internet comptait sur ces algorithmes pour protéger ses communications : « N'oubliez pas que ces algorithmes étaient largement utilisés avant que la plupart des sites Web n'utilisent TLS. Donc, si vous utilisiez des données mobiles dans les années 2000, vous comptiez essentiellement sur ces schémas de chiffrement pour éviter les écoutes », a-t-il écrit dans un tweet.
Des millions d'utilisateurs mal protégés pendant des années « pour répondre aux exigences politiques »
L'Institut européen des normes de télécommunications (ETSI), l'organisation qui a conçu l'algorithme GEA-1, a réagi au rapport, en admettant que l'algorithme contenait une faiblesse, mais a déclaré qu'elle avait été introduite parce que les règlements d'exportation de l'époque ne permettaient pas un chiffrement plus fort. « Nous avons suivi la réglementation : nous avons suivi les règles de contrôle des exportations qui limitaient la force de GEA-1 », a déclaré un porte-parole de l'ETSI.
Håvard Raddum, l'un des chercheurs qui ont travaillé sur le document, a résumé les implications de cette décision : « Pour répondre aux exigences politiques, des millions d'utilisateurs ont apparemment été mal protégés en surfant pendant des années », a-t-il déclaré. Lukasz Olejnik, un chercheur et consultant indépendant en cybersécurité, titulaire d'un doctorat en informatique de l'INRIA, a parlé du document des chercheurs en déclarant que « cette analyse technique est solide, et les conclusions quant à l'affaiblissement intentionnel de l'algorithme plutôt sérieuses ».
GEA-2, le successeur de GEA-1, ne contenait pas la même faiblesse, selon le rapport. En fait, le porte-parole de l'ETSI a déclaré que les contrôles à l'exportation avaient été assouplis lors de l'introduction de GEA-2. Les chercheurs ont néanmoins réussi à déchiffrer le trafic protégé par GEA-2 au moyen d'une attaque plus technique et ont conclu que GEA-2 « n'offre pas un niveau de sécurité suffisant pour les normes actuelles », comme ils l'ont écrit dans leur article. Les chercheurs recommandent que seuls les GEA-3 et supérieurs soient mis en œuvre à partir de maintenant.
Par ailleurs, la bonne nouvelle est que les algorithmes GEA-1 et GEA-2 ne sont plus vraiment utilisés depuis que les fournisseurs de téléphones portables ont adopté de nouvelles normes pour les réseaux 3G et 4G. La mauvaise nouvelle est que, même si l'ETSI a interdit aux opérateurs de réseau d'utiliser GEA-1 en 2013, les chercheurs affirment que GEA-1 et GEA-2 persistent à ce jour, car le GPRS est toujours utilisé comme solution de repli dans certains pays et réseaux.
« Dans la plupart des pays, [le risque n'est] pas très élevé, et nettement plus faible qu'au début des années 2000 puisque GEA-3 et GEA-4 sont utilisés aujourd'hui », a déclaré Raddum. « Mais les téléphones portables supportent toujours le GEA-1. Il existe des scénarios dans lesquels un téléphone mobile d'aujourd'hui peut être piégé pour utiliser GEA-1 ».
En fait, les chercheurs ont testé plusieurs téléphones modernes pour voir s'ils prenaient encore en charge les algorithmes vulnérables et ont constaté de manière "surprenante" qu'ils le faisaient toujours. Les chercheurs ont déclaré que ce sont les fabricants de bandes de base qui sont responsables de la mise en œuvre des normes.
« Ils ne sont même plus inclus que dans certaines anciennes bandes de base de téléphones. Mais ce n'est pas une raison pour se réjouir », a tweeté Green. Il a poursuivi en disant : « Car en fin de compte, les gouvernements ont toujours les mêmes raisons de saboter les normes de chiffrement. Nous aimons prétendre qu'ils sont trop éclairés pour le faire, ou que nous sommes assez intelligents pour les attraper. Peut-être. J'en doute ».
« L'utilisation de GEA-1 a encore des conséquences importantes sur la vie privée de l'utilisateur », ont écrit les chercheurs, « et doit être évitée à tout prix ».
En conclusion de son fil de tweets, Matthew Green a écrit : « À la fin des années 2030, attendez-vous à ce qu'une équipe de chercheurs écrive un article comme celui-ci, sauf qu'il portera sur le chiffrement que vous utilisez aujourd'hui ».
Sources : Rapport de recherche, Tweets
Et vous ?
Que pensez-vous de ce rapport ?
Que vous inspire le fait que GEA-1 ou GEA-2 sont toujours utilisés aujourd’hui ?
Selon le chercheur Green, un tel rapport serait publié en 2030 sur le chiffrement que nous utilisons aujourd'hui. Quel commentaire en faites-vous ?
Voir aussi :
La cryptanalyse des algorithmes de chiffrement GPRS GEA-1 aurait une faille intentionnellement cachée, selon l'IACR
Piratage de Twitter : les pirates ont ciblé les employés via une attaque d'hameçonnage par téléphone, pour exploiter les vulnérabilités humaines afin d'accéder aux systèmes internes de l'entreprise
Google vous permet désormais d'utiliser votre téléphone Android comme clé de sécurité physique, une forme avancée d'authentification en 2 étapes ?
De nouvelles vulnérabilités du protocole 5G permettent le suivi de la localisation, selon une étude d'AdaptiveMobile
Un rapport révèle que le chiffrement des premiers réseaux téléphoniques a été délibérément affaibli,
Certains appareils sortis même ces dernières années utilisent toujours les mêmes algorithmes
Un rapport révèle que le chiffrement des premiers réseaux téléphoniques a été délibérément affaibli,
Certains appareils sortis même ces dernières années utilisent toujours les mêmes algorithmes
Le , par Stan Adkens
Une erreur dans cette actualité ? Signalez-nous-la !