Les serveurs web d'e-commerce mis en danger par leurs clés privées

C'est une faille de sécurité des plus préoccupantes qui vient d'être dévoilée par les experts Nicko Van Someren, directeur technique de nCipher (éditeur de solutions de sécurité) et Adir Shamir, du Weizmann Institute d'Israël, co-fondateur du système de cryptage RSA. Le danger concerne la sécurité de l'infrastructure de tout serveur Web et affecte donc les trois principaux protagonistes du marché, Apache, Microsoft et Netscape. Il serait possible à tout utilisateur pouvant exécuter un logiciel sur un serveur d'e-commerce, de localiser les clés cryptographiques qui permettent l'accès aux informations sécurisées.
Typiquement sur un serveur web d'e-commerce, les clés privées sont codées et stockées en mémoire sur le serveur et sont décodées avant utilisation. Au moment où elles sont décryptées, elles deviennent vulnérables à une attaque de type "key finding". En effet, elles possèdent des propriétés mathématiques spécifiques qui les rendent facilement identifiables pour un hacker disposant de fortes compétences en cryptologie. Néanmoins, nCipher reconnaît que la taille de ces clés, une centaine de bits, comparée à la masse de stockage des serveurs d'e-commerce, de plusieurs dizaines de gigabits, rend difficile leur localisation.
Dès lors qu'un hacker est en possession de cette clé, il peut décoder toutes les transactions passées, présentes ou à venir. Pour se protéger de cette éventualité, il convient de stocker ces clés sur un autre serveur que le serveur web d'e-commerce, conseille nCipher. Une solution est proposée par l'éditeur de solutions de sécurité et sera utilisée pour exporter une clé d'un serveur web et la stocker sur un serveur nCipher spécialement protégé contre une attaque de type key finding. Cette solution est gratuite pour les clients de nCipher. Pour les autres, elle coûtera entre 4.000 et 17.000 dollars, et sera disponible uniquement en complément de la solution matériel d'accélérateur cryptographique nFast.