Samedi 15 - lundi 17 janvier 2000
|
Les serveurs web d'e-commerce mis en danger par leurs clés
privées
C'est une faille
de sécurité des plus préoccupantes qui
vient d'être dévoilée par les experts
Nicko Van Someren, directeur technique de nCipher (éditeur
de solutions de sécurité) et Adir Shamir, du
Weizmann Institute d'Israël, co-fondateur du système
de cryptage RSA. Le danger concerne la sécurité
de l'infrastructure de tout serveur Web et affecte donc les
trois principaux protagonistes du marché, Apache, Microsoft
et Netscape. Il serait possible à tout utilisateur
pouvant exécuter un logiciel sur un serveur d'e-commerce,
de localiser les clés cryptographiques qui permettent
l'accès aux informations sécurisées.
Typiquement sur un serveur web d'e-commerce, les clés
privées sont codées et stockées en mémoire
sur le serveur et sont décodées avant utilisation.
Au moment où elles sont décryptées, elles
deviennent vulnérables à une attaque de type
"key finding". En effet, elles possèdent des propriétés
mathématiques spécifiques qui les rendent facilement
identifiables pour un hacker disposant de fortes compétences
en cryptologie. Néanmoins, nCipher reconnaît
que la taille de ces clés, une centaine de bits, comparée
à la masse de stockage des serveurs d'e-commerce, de
plusieurs dizaines de gigabits, rend difficile leur localisation.
Dès lors qu'un hacker est en possession de cette clé,
il peut décoder toutes les transactions passées,
présentes ou à venir. Pour se protéger
de cette éventualité, il convient de stocker
ces clés sur un autre serveur que le serveur web d'e-commerce,
conseille nCipher. Une solution est proposée par l'éditeur
de solutions de sécurité et sera utilisée
pour exporter une clé d'un serveur web et la stocker
sur un serveur nCipher spécialement protégé
contre une attaque de type key finding. Cette solution est
gratuite pour les clients de nCipher. Pour les autres, elle
coûtera entre 4.000 et 17.000 dollars, et sera disponible
uniquement en complément de la solution matériel
d'accélérateur cryptographique nFast.
Responsable de rubrique : Alain Steinmann
|
|