Le système de cryptage le plus perfectionné au monde est défectueux

Faut-il s'inquiéter ? Les échanges de données, notamment les paiements en ligne ne sont pas tout à fait sûrs. Et ce alors qu'ils augmentent en permanence. Ainsi, en France en 2011, plus de 30 millions de personnes ont fait des achats en ligne, pour un total de 37,7 milliards d'euros. 

Rivest, Shamir et Adleman sont les premiers à avoir décrit un algorithme de cryptographie asymétrique, dans les années 1970. Ce dernier a donc pris leur nom : RSA. Il est aujourd’hui très utilisé pour sécuriser l'échange de données confidentielles sur Internet, ainsi que le commerce électronique.

Les logiciels de cryptage RSA fonctionnent avec deux clés, l’une pour chiffrer (la clé publique), l’autre pour déchiffrer (la clé privée). Certaines des suites de chiffres utilisées par la clé publique sont générés de manière aléatoire par le système.

Des mathématiciens et des cryptographes européens et américains ont décidé de tester la sécurité de cette méthode de cryptage. Et le résultat n'est ps tout à fait rassurant : “Nous avons découvert que la grande majorité des clés publiques fonctionnait comme prévu. Ce qui est plus déconcertant, c’est que deux algorithmes sur mille n’offrent aucune sécurité." Autrement dit, dans 0,2% des cas, il devient possible de décrypter les informations.

C’est certes une proportion très réduite. Mais elle pose de sérieuses questions, notamment quant à la fiabilité du commerce sur Internet. Des millions sont en jeu.

Pour réaliser cette étude, les scientifiques ont pris en compte 7,1 millions de clés publiques. Ils ont découvert que dans certains cas, les nombres n’étaient pas générés de manière parfaitement aléatoire. "Les données secrètes sont accessibles à tous ceux qui veulent se donner la peine de refaire notre travail", résument les chercheurs.

Ils n’ont par contre pas été en mesure d’expliquer le pourquoi de ces imperfections, mais elles apparaissent chez plusieurs développeurs différents. Et ils estiment probables que ces mêmes découvertes aient été faites auparavant, par des esprits mal intentionnés. "Le manque de sophistication de nos méthodes nous fait penser que ceci n’est pas nouveau", avancent-ils. 

Les chercheurs indiquent également n'avoir pas pu contacter toutes les personnes détentrices des clés défaillantes. C’est donc pour cette raison qu’ils ont décidé de publier leurs résultats : favoriser la prise de conscience et pousser à la prudence.

En 1995, c’est la navigateur Internet Netscape qui avait été montré du doigt. Encore une fois, des séries de nombres qui n’avaient pas été générées de manière aléatoire permettaient de décrypter des communications codées. Près de vingt ans plus tard, la sécurité sur internet a encore quelques progrès à faire...