Sweet32 : les vieux algos se cachent pour mourir
Elle a un petit nom Ă elle, un site dĂ©diĂ© et elle affecte OpenSSL, mais la faille Sweet32 nâest pas un nouvel Heartbleed. Contrairement Ă la faille de 2014, Sweet32 est une faille complexe qui se rĂ©vĂšle difficile Ă mettre en place en pratique et qui nâaffecte pas lâensemble des utilisateurs et sites web. NĂ©anmoins, selon les chercheurs de lâInria Ă lâorigine de la dĂ©couverte, elle reste effective et incite Ă se poser Ă nouveau la question de la suppression des algorithmes de chiffrement vieillissants.
Sweet32 est une attaque qui vise plusieurs algorithmes de chiffrement exploitant des blocs de chiffrement infĂ©rieurs Ă 64bits. Certains algorithmes tels que Blowfish ou Triple-DES ont recours Ă une technique visant Ă chiffrer les donnĂ©es par blocs de taille variable. Lâattaque dĂ©crite par les chercheurs de lâInria vise les algorithmes disposant dâune taille de blocs infĂ©rieure Ă 64 bits et peut permettre Ă un attaquant particuliĂšrement dĂ©terminĂ© de rĂ©cupĂ©rer des identifiants via le dĂ©cryptage de tokens dâidentification utilisĂ©s par exemple dans le cadre dâune connexion TLS ou dâun service de VPN.
Le paradoxe des anniversaires
Lâattaque sâappuie sur un paradoxe bien connu de la cryptographie, connue sous le nom dâattaque des anniversaires. Celui-ci est gĂ©nĂ©ralement dĂ©crit de la façon suivante : si 23 personnes sĂ©lectionnĂ©es au hasard donnent leur date dâanniversaire, il existe 50% de chance de se retrouver avec deux personnes partageant la mĂȘme date. Cette probabilitĂ© monte Ă 99,9% si le nombre de personnes dĂ©passe 70.
Lâattaque Sweet32 sâappuie sur ce principe et en tire dâailleurs son nom, qui vient du sweet 16 amĂ©ricain. Dans le cadre de lâattaque, Karthikeyan Bhargavan et GaĂ«tan Leurent sont parvenus Ă dĂ©montrer, en sâappuyant sur un principe similaire, quâil Ă©tait possible de dĂ©crypter des informations chiffrĂ©es Ă lâaide dâalgorithmes ayant recours Ă des blocs 64bits. Pour cela, il est nĂ©cessaire dâisoler des collisions au sein du chiffrement et de procĂ©der Ă une importante collecte de donnĂ©es, afin ensuite dâanalyser ces collisions pour rĂ©cupĂ©rer des informations en clair.
Lâattaque prĂ©sente nĂ©anmoins plusieurs conditions pour aboutir. Ainsi, les attaquants devront ĂȘtre en mesure dâanalyser le trafic entre un site visĂ© et la victime tout en forçant la victime Ă exĂ©cuter du code JavaScript malicieux sur sa machine. La connexion chiffrĂ©e doit Ă©galement avoir recours Ă un algorithme ayant recours Ă une taille de bloc de 64 bits, mais de nombreux protocoles de chiffrement supportent ces algorithmes par souci de rĂ©trocompatibilitĂ©. Si un utilisateur dĂ©marre une session TLS avec un navigateur mis Ă jour, la connexion sera automatiquement chiffrĂ©e avec un algorithme de chiffrement compatible et donc potentiellement vulnĂ©rable.
Entre 18 et 38 heures nécessaires
Une fois ces premiĂšres conditions rĂ©unies, le script devra rĂ©cupĂ©rer et analyser le trafic de la session TLS visĂ© pendant parfois plus de 38 heures afin de recueillir les donnĂ©es nĂ©cessaires Ă la collision. Lâattaque peut nĂ©anmoins ĂȘtre plus rapide selon les algorithmes utilisĂ©s. Les chercheurs expliquent ainsi que ce type dâattaque visant un service tel quâOpenVPN, qui a recours Ă lâalgorithme Blowfish, ne prendrait que 18 heures et 750 GB de donnĂ©es collectĂ©es.
Autant dire que Sweet32 nâest pas Ă la portĂ©e du premier venu. Les auteurs de lâĂ©tude ne cherchent pas vraiment ici Ă alerter sur une nouvelle attaque, mais plutĂŽt Ă mettre en garde les utilisateurs sur lâutilisation dâalgorithmes parfois vieillissants et qui ne prĂ©sentent plus autant de garanties de sĂ©curitĂ© que par le passĂ©. « Le fait est bien connu dans le milieu de la cryptographie : des tailles de blocs trop rĂ©duites rendent les algorithmes vulnĂ©rables Ă lâattaque des anniversaires, quand bien mĂȘme il nây aurait pas dâattaque cryptographique visant un bloc en lui-mĂȘme. Nous observons dans notre Ă©tude que ce type dâattaque est devenu envisageable pour les algorithmes employant ce type de bloc en 64 bits, utilisĂ©s notamment au sein de TLS et OpenVPN » expliquent les chercheurs en introduction.
Lâattaque est donc peu pratique, mais elle suscite des rĂ©actions de la part des Ă©diteurs et des mainteneurs des protocoles de chiffrement. OpenSSL a ainsi mis lâalgorithme triple DES sur la voie de garage, en amorçant sa suppression prĂ©vue pour la release 1.1.0. Apple, Mozilla, Microsoft ou encore OpenVPN ont Ă©galement annoncĂ© avoir pris des mesures afin de limiter ce type dâattaques, que ce soit via la fin de support de 3DES ou la possibilitĂ© de le dĂ©sactiver pour les utilisateurs.
Les connexions 3DES reprĂ©sentent moins de 1% du trafic web, ce qui reste un nombre dâutilisateurs significatif pour les Ă©diteurs de navigateurs. Des mesures de contournement sont donc prises par certains Ă©diteurs tels que Mozilla, en attendant de pouvoir mettre fin au support des algorithmes touchĂ©s par la faille. Sweet32 ne fait pas trembler le web sur ses bases, mais comme souvent en cryptographie, mieux vaut prĂ©venir que guĂ©rir et les algorithmes touchĂ©s par cette attaque vont devoir laisser la place Ă leurs Ă©quivalents plus rĂ©cents au cours des prochaines annĂ©es.
Sweet32 : les vieux algos se cachent pour mourir was originally published on JDCHASTA SAS