Flame utilise une attaque cryptographique inconnue à ce jour

Tant pis pour les esprits railleurs qui étaient tentés de ne voir dans Flame qu’un gros coup médiatique.

Tant pis pour les esprits railleurs qui étaient tentés de ne voir dans Flame qu’un gros coup médiatique. Certes, la portée du logiciel malveillant est limitée et elle le restera. Mais une nouvelle découverte montre à tout le moins le niveau élevé de compétence de ses créateurs. Deux chercheurs en cryptographie néerlandais, Marc Stevens et Benne de Weger, ont indiqué dans une liste de diffusion dédiée au sujet avoir confirmé que «Flame utilise une attaque par collision MD5 jusqu’ici inconnue ». Dès 2008, tous deux - associés à cinq autres chercheurs - avaient fait la démonstration d’une vulnérabilité affectant les infrastructures à clé public basées sur des empreintes MD5 pour signer les certificats numériques. Une vulnérabilité permettant d’envisager des attaques par «collision», à savoir «la construction de messages différents à partir de la même empreinte MD5 ». Comme ils le soulignaient à l’époque, le concept d’attaque par collision MD5 avait déjà été démontré bien avant. Mais leur équipe faisait là, en 2008, la démonstration d’une attaque exploitant cette vulnérabilité. À l’époque, ils expliquaient que leur travail montrait «qu’au moins un scénario d’attaque peut être exploité en pratique, exposant ainsi l’infrastructure de sécurité du Web à des menaces réalistes ». L’US-CERT estime d’ailleurs que MD5 «doit être considéré comme cassé et inadapté à l’usage ».

Dans un communiqué, Marc Stevens explique que Flame «utilise une variante complètement nouvelle d’attaque par collision» et que, selon lui, «la conception de cette nouvelle variante a nécessité des compétences de haut niveau ». Dès lors, il lui semble essentiel «d’investir dans la recherche cryptographique pour continuer d’être en avance sur ces développements ».

La découverte de ces chercheurs va probablement contribuer à alimenter les théories selon lesquelles un puissant État serait à l’origine de Flame.

En complément :

- Opinion : Flame ravive la question des certificats

- Flame réussit (au moins) à enflammer les esprits

- Flame, Stuxnet : Mikko Hypponen fait le mea culpa de l'industrie de la sécurité

- Skywiper/Flame, le nouveau super-malware

- Flame s’auto-éradique

Pour approfondir sur Gestion des accès (MFA, FIDO, SSO, SAML, IDaaS, CIAM)

Close