OpenSSL une nouvelle fois mis à mal

Après l’épisode Debian, voilà que OpenSSL fait de nouveau parler de lui. Des chercheurs de l’Université du Michigan spécialisés dans l’Ingéniérie electrique et le département informatique, ont réussi à recomposer une clé RSA de 1024 bits.
La manière de procéder est assez originale. En effet ils ont agi sur l’alimentation éléctrique de la machine pour provoquer des erreurs pendant le traitement de messages cryptés. En provoquant de petites fluctutations de courant ils étaient alors en mesure de récupérer des petits bouts de la clé.
Ils ont alors récupéré 8800 messages malformés et les ont introduit dans un cluster composé de 81 machines à base de pentium4 2,4 ghz.
Il leur a alors fallu 104 heures pour trouver l’intégralité de la clé.
Evidemment cette méthode est plus difficile à effectuer sur des serveurs de production, ceux ci se trouvant théoriquement dans des datacenters protégés, même si ce dernier point ne constitue pas forcément une immunité absolue.

Les développeurs OpenSSL ont affirmé qu’ils étaient déjà occupés à produire un patch pour cette faille.

(source: The Register)