L’histoire de la faille cryptographique d’Infineon continue de faire tache d’huile. La semaine dernière, des chercheurs en sécurité avaient révélé que le fabricant allemand de semi-conducteurs avait généré de mauvaises clés de chiffrement RSA pendant plus de cinq ans. Ces clés, que l’on peut aisément casser par force brute, se sont retrouvés dans nombre d’appareils et logiciels informatiques : PC portables, cartes d’identité, tokens d’authentification, logiciels de messagerie, etc. Ainsi, 750.000 cartes d’identité estoniennes avaient été identifiés comme vulnérables.
Selon Ars Technica, des millions des cartes à puce Gemalto viennent s’additionner à cette crypto-hécatombe. Dans un communiqué, le fabricant français a reconnu que « les produits IDPrime.NET pourraient être impactés ». Il s’agit là de cartes d’authentification qui embarquent des certificats RSA et qui servent à contrôler l’accès des salariés aux ressources informatiques, à chiffrer des emails ou à activer un VPN. Dans un message envoyé à The Register, un porte-parole de Gemalto précise que seul « un set très limité de produits customisés (dont IDPrime.NET) sont affectés ». D’autres produits sont donc impactés.
Pour sa part, le cryptographe Dan Cvrcek, fondateur de la société Enigma Bridge, estime que « toutes les cartes à puce Gemalto IDPrime.NET » sont vulnérables à la faille Infineon. Son équipe a détecté « nombre de cartes vulnérables » dont la date de fabrication s’échelonne de 2008 à 2017, sachant que ce modèle de carte a été commercialisé par Gemalto de 2004 à septembre 2017. Le problème, c’est que ces cartes sont encore largement utilisées dans les entreprises. Gemalto n’a pas indiqué combien de cartes de ce modèle ont été livrées, mais selon Ars Technica il s’agirait de millions d’exemplaires.
Pour les entreprises concernées, le risque est important. La faille Infineon permet en effet de révéler la clé privé RSA à partir de la clé publique, ouvrant ainsi la porte à l’usurpation d’identité. Les chercheurs ayant découvert la faille ont mis en ligne un outil qui permet de vérifier si une clé RSA est vulnérable ou non. Le cas échéant, il faudra remplacer les cartes et révoquer le plus rapidement possible les certificats qui étaient en circulation. Les administrateurs réseaux et sécurité risquent de faire quelques heures supplémentaires.
🔴 Pour ne manquer aucune actualité de 01net, suivez-nous sur Google Actualités et WhatsApp.
