Dr. Patrick Fischer Les mathématiques au service de la sécurité informatique à l’époque de “Flame” et de “Stuxnet”
Le monde de la sécurité informatique est en effervescence depuis que la société russe Kaspersky a dévoilé il y a quelques jours l’existence d’un nouveau virus du nom de « Flame ». Ce virus, qui d’après les experts serait le plus sophistiqué jamais découvert à ce jour, a également été détecté sous le nom de « Flamer » par le concurrent américain de Kaspersky, la société Symantec (éditeur des produits grand-public Norton). Cette cyber-attaque touche essentiellement des ordinateurs se trouvant au Moyen-Orient, et plus particulièrement en Iran. Elle fait suite à une précédente vague d’attaques mise à jour par la découverte du virus Stuxnet dans un certain nombre d’ordinateurs en charge du fonctionnement des centrifugeuses du programme nucléaire iranien.
Dans cette guerre de l’ombre, les ordinateurs de certains pays et d’organisations terroristes sont tous les jours infiltrés. En retour, les ingénieurs informatiques des états voyous et des organisations terroristes essayent de pénétrer les protections des pays qu’ils cherchent à attaquer. Dans un monde ou la “cyber-guerre” prend une place de plus en plus importante, nous sommes donc en droit de nous demander, comment à l’avenir nous pourrions lutter contre la menace qui pèse sur la sécurité de l’information. Notamment, comment les gouvernements américain et israélien feront-ils pour protéger leurs informations primordiales des mains de ces états et organisations ?
Ces attaques très médiatisées viennent nous rappeler à nous, simples utilisateurs, que toute information stockée dans un ordinateur n’est jamais complètement sécurisée. Nous sommes habitués de nos jours à acheter, consulter nos comptes bancaires, réserver un billet d’avion ou faire notre déclaration d’impôts en ligne. L’ordinateur est rentré dans notre quotidien et internet est un outil formidable. Nous sommes tous d’accord. Cependant, cette technologie n’aurait pas connu un tel succès si elle ne présentait pas un minimum de sécurité pour les utilisateurs. En effet, personne n’a envie de voir ses codes bancaires interceptés au moment d’un achat en ligne. Ce souci de sécurité numérique pour l’utilisateur d’internet est, comme l’actualité nous le rappelle, la préoccupation de tous les gouvernements, des grandes entreprises, des banques, des militaires, des services de renseignements et d’une manière générale de toute personne qui souhaite transmettre une information à quelqu’un sans que celle-ci ne puisse être interceptée. La solution mise en place actuellement réside dans l’utilisation de codage/décodage de l’information : la personne qui souhaite envoyer une information de façon sécurisée va utiliser un code pour transformer cette information. Celle-ci devient alors incompréhensible par quiconque ne connaissant pas le code. Puis le destinataire, qui lui connait la méthode de décodage, peut ensuite décoder l’information.
De l’antiquité à nos jours
Cette nécessité de vouloir coder l’information ne date évidemment pas d’internet et du programme nucléaire iranien, mais remonte (à notre connaissance) au moins à l’antiquité. Ainsi les premiers systèmes de codage consistant à remplacer une lettre par une autre ont été utilisés par les Egyptiens il y a près de 3500 ans déjà. Jules César communiquait ainsi avec ses généraux et le type de codage utilisé (par décalage) est d’ailleurs connu sous le nom de « chiffre de César ». Ce système consiste à remplacer le A par D, le B par E, le C par F et ainsi de suite.
Toutes les civilisations ont développé des méthodes de cryptage. La Gematria, bien connue des rabbins, qui consiste à donner une valeur numérique aux lettres et à réinterpréter ainsi les textes sacrés est également une forme de codage. D’une manière générale, la recherche d’un sens caché dans les textes sacrés a toujours été une préoccupation majeure parmi les érudits juifs à travers les siècles. C’est ainsi qu’est née la Kabbalah, ou que récemment grâce aux progrès de l’informatique des nouveaux codes ont été découverts dans la Bible par le mathématicien israélien Eliyahu Rips.
Avec le temps, des codes de plus en plus complexes ont été développés. En effet, les codes que nous venons de décrire sont relativement simples et faciles à décrypter. Avec le développement des ordinateurs et des réseaux de télécommunications, des codes toujours plus sophistiqués se sont révélés être nécessaires. Les meilleurs codes actuels sont rendus très difficilement déchiffrables grâce à l’utilisation de nouvelles théories mathématiques regroupées dans un domaine que l’on nomme la cryptographie. Cette discipline a connu un essor fulgurant dans les années 80s avec la publication en 1978 de l’algorithme qui reste aujourd’hui un des plus fiables au monde : RSA, d’après les initiales de ses concepteurs, Ron Rivest, Adi Shamir and Leonard Adleman. L’algorithme RSA a révolutionné le domaine de la sécurité informatique, et Rivest, Shamir et Adleman ont de ce fait obtenu le Prix Turing en 2002, prix le plus prestigieux en informatique souvent décrit comme étant l’équivalent d’un prix Nobel.
En quoi consiste RSA ? Les algorithmes modernes de cryptage repose sur l’utilisation de « clefs ». La clef est le terme utilisé pour désigner la méthode qui permet de coder et décoder l’information. Il existe des algorithmes à clef symétriques qui utilisent la même clef pour coder et décoder, et des algorithmes à clef asymétriques qui utilisent des clefs différentes. RSA est un algorithme à clef asymétrique. Toute personne souhaitant crypter une information va générer deux clefs. La première clef est dite publique et va lui permettre de coder son message. La deuxième clef, dite privée, est utilisée par la personne qui reçoit le message pour le décoder . Toute la fiabilité d’un algorithme repose donc sur l’utilisation de clefs complexes. En effet, un individu ne possédant pas la clef privée ne doit pas être en mesure de la découvrir à partir du message codé. L’algorithme RSA repose sur la décomposition de nombres semi-premiers pour construire la clef publique et la clef privée. Un nombre semi-premier est un nombre qui peut s’écrire sous la forme d’un produit de 2 nombres premiers (un nombre premier est un entier qui ne peut être divisé que par 1 et par lui même). Par exemple, le nombre 35 pouvant s’écrire comme 7 fois 5 est donc un nombre semi-premier. Plus le nombre semi-premier est grand, plus il est difficile de trouver sa décomposition. La société RSA Security qui exploite le brevet déposé par Rivest, Shamir et Adleman a ouvert une compétition en 1991 où elle offrait des récompenses à toute personne capable de factoriser des nombres semi-premiers mis au concours. Le premier nombre mis au concours qui a pu être factorisé était composé de 100 chiffres (dénommé RSA-100). Le plus grand nombre semi-premier factorisé dans le cadre de ce concours, RSA-768, contient 232 chiffres en numérotation décimale ou 768 bits en numérotation binaire. Les applications commerciales utilisent en générale des nombres semi-premiers représentés sur 1024 bits, alors que le plus grand nombre semi-premier connu du public et généré par RSA Security est représenté sur 2048 bits soit 617 chiffres décimaux. D’après les spécialistes, cela prendra des années avant qu’une personne externe à RSA puisse factoriser un tel nombre.
Piratage et sécurité nationale
Comme vous pouvez l’imaginer, les travaux d’Adi Shamir ont vite intéressé les services des renseignements et de sécurité de plusieurs pays. Adi Shamir menait alors ses recherches au M.I.T. lorsque RSA fut conçu, et c’est sous un brevet du M.I.T. que l’algorithme a été protégé. C’est ainsi que très vite, la National Security Agency (N.S.A.) décida d’utiliser la technologie mise au point par Shamir pour protéger ses documents et ses transmissions, mais elle n’apprécia pas vraiment le communiqué de presse de RSA Security en 2006 qui dévoilait que la N.S.A. utilisait le cryptage RSA. En effet, il existe une course effrénée entre les acteurs de la sécurité informatique et les pirates qui essayent de pénétrer les systèmes et il n’est donc pas étonnant que la N.S.A. souhaite garder secret les méthodes qu’elle utilise.
Les meilleurs concepteurs de méthodes de protection étant également les meilleurs « pirates », Adi Shamir est également pionnier dans le développement de méthodes pour percer les sécurités informatiques. Il est ainsi à la pointe de la recherche en « cryptanalyse acoustique », discipline qui consiste à analyser les bruits émis par les ordinateurs ; bruits de claviers par exemple ou microprocesseurs lorsque ceux-ci effectuent des opérations de cryptage ou décryptage. Cette discipline a vu le jour dans les années 60-70 et permettait à l’époque de percer les encodages réalisés par des machines dédiées (des ancêtres des ordinateurs mais dont l’activité se limitait au codage et décodage). Les techniques de la cryptanalyse acoustique se sont développées en même temps que le matériel. Ainsi en 2004, Adi Shamir et Eran Tromer de l’université de Tel Aviv ont montré qu’il était possible de mener une attaque contre un système effectuant des opérations de cryptographie en analysant les ultrasons émis par les condensateurs situés sur la carte mère ou même en analysant le bruit des ventilateurs qui refroidissent les ordinateurs.
Les technologies en matière de sécurité informatique mises au point aujourd’hui dans les laboratoires de l’université de Tel Aviv, du Technion Institute ou du Weizmann Institute se retrouveront dans quelques années dans nos ordinateurs, nos tablettes numériques ou nos smartphones.
« Les systèmes sécurisés n’existent pas et n’existeront jamais. N’essayez pas de concevoir un système de sécurité parfait parce-que vous n’y arriverez pas. » – Adi Shamir.
Adi Shamir a obtenu sa licence de mathématiques à l’Université de Tel Aviv en 1973. Il obtient ensuite un master d’informatique en 1975 à l’Institut Weizmann et y soutient sa thèse en 1977. Après une année postdoctorale à l’université de Warwick, il poursuit ses recherches au M.I.T. jusqu’en 1980. Il retourne ensuite à l’Institut Weizmann. En 2006, Adi Shamir est le premier titulaire de la chaire de cryptologie mise en place par l’Ecole Normale Supérieure et France Telecom à Paris.
Adi Shamir a reçu de nombreux prix en plus du prix Turing, dont notamment le prix Erdos de la Société de Mathématiques d’Israël, le prix IEEE Koji Kobayashi, le très prestigieux prix d’Israël ou encore la Médaille d’Or Pie XI de l’Académie Pontificale des Sciences.