Passer au contenu

Inviolables, les cartes à puce ?

Un étudiant australien vient de remettre à l’honneur une attaque imparable contre les cartes à puce. Il a pu extraire le code PIN de sa carte en observant simplement son activité électrique. L’attaque est connue depuis 1998, et touche toutes les cartes du marché.

Le code PIN d’une carte à puce n’est pas aussi protégé que l’on veut bien le croire. Ni d’ailleurs la clé privée qu’elle héberge, ou n’importe quelle information confidentielle. Une attaque publiée en 1998 par la société Cryptography Research décrit comment il est possible d’extraire n’importe quelle information d’une puce, quel que soit son algorithme de chiffrement. Il ” suffit ” pour cela de l’observer pendant assez longtemps sous l’oeil d’un oscilloscope.En mesurant l’activité électrique de la puce en fonctionnement, il est possible de déduire n’importe quelle information traitée par la carte : clé de chiffrement privée, code PIN… On appelle cela une attaque par Differential Power Analysis (DPA).Bien sûr, si son principe est connu depuis longtemps, ses détails, eux, n’ont jamais étés publiés en dehors d’un cercle restreint de spécialistes. Mais, aujourd’hui, un étudiant de l’université de Sydney les a découverts de lui-même. C’était le sujet de sa thèse.Il lui a fallu neuf heures d’observation pour extraire ce qu’il voulait de la carte, et avec pour seul matériel un oscilloscope de laboratoire à moins de 5 000 euros. Interrogé, Bruce Graham, responsable de la communication pour l’activité Recherche et développement de Gemplus, reconnaît l’attaque mais en modère tout de même le risque : “Cette attaque a mis l’industrie en émoi lorsqu’elle a été publiée, mais cela s’est calmé depuis ; nous n’avons jamais observé de fraude qui y soit lié, certainement en raison de sa complexité de mise en oeuvre. Il faut non seulement de très bonnes connaissances sur le fonctionnement de la puce, mais aussi sur celui de l’algorithme de chiffrement utilisé.”Sans compter qu’il est nécessaire d’obtenir un accès physique à la carte pour en lire la puce, ce qui complique nettement les choses pour l’attaquant. Techniquement, des parades existent bien, mais elles ne garantissent pas l’immunité : “En théorie, aucune carte n’est totalement à l’abri. Mais les fabricants ont intégré de nombreuses contre-mesures, destinées à rendre beaucoup plus difficile l’exploitation des informations lues sur la puce “, poursuit Bruce Graham.Il reste que, si un étudiant à pu, à partir du seul principe de l’attaque, en découvrir les détails et les mettre en oeuvre pour son rapport de thèse, il devient difficile de continuer à prétendre que la carte à puce est inviolable…

🔴 Pour ne manquer aucune actualité de 01net, suivez-nous sur Google Actualités et WhatsApp.

Jérôme Saiz
Les dernières actualités
Dji Power 1000 2
Après les drones, DJI se lance dans les stations électriques portables
Iphone Daisy Recyclage
Recyclage : Apple détruirait des iPhone en état de fonctionner
Google Logo Flou
Google licencie des employés après des manifestations contre le « Projet Nimbus »
Huawei Pura 70
Huawei met en vitrine sa nouvelle gamme Pura 70
Drapeau européen
Le régulateur européen émet de fortes réserves sur le système « Payer ou Consentir » : quelles conséquences pour Meta ?
Nothing Ear (a) Une 1
Nothing Ear et Ear (a) : les écouteurs sans fil à moins de 150 euros repartent de zéro
Nouveau Robot Atlas Boston Dynamics
N’ayez pas peur, Boston Dynamics présente son nouveau robot humanoïde
Iphone 15 Apple
Vendu au prix de l’occasion, cet iPhone 15 neuf va partir comme des petits pains 🥖
Top téléchargements