Des chercheurs découvrent une nouvelle attaque par canal secondaire sur les téléphones bas de gamme

Des chercheurs découvrent une nouvelle attaque par canal latéral sur les téléphones bas de gamme

Crédit : Institut de technologie de Géorgie

Les chercheurs de Georgia Tech ont maintenant montré que l’une des mesures mêmes destinées à protéger les données sur un téléphone bas de gamme peut permettre aux attaquants de les voler.

Leur article, présenté le 10 septembre au 6e Symposium européen de l’IEEE sur la sécurité et la confidentialité, démontre des attaques réussies contre deux types différents de téléphones Android bas de gamme, un ZTE Zfive et un Alcatel Ideal. Conformément à la pratique courante, les chercheurs ont fait part de leurs découvertes aux développeurs de logiciels avant de publier leurs résultats afin que le problème puisse être résolu.

L’attaque consiste à placer un capteur radio à quelques centimètres d’un appareil, suffisamment près pour détecter les faibles ondes radio émises par inadvertance par le processeur d’un téléphone. En voyant une seule transaction Web sécurisée transmise dans ces signaux, un attaquant peut découvrir la clé secrète d’un utilisateur, une forme de mot de passe numérique utilisé pour crypter ses données.

« Cela démontre qu’une attaque vraiment puissante, qui peut réellement voler la clé, peut être effectuée dans des conditions réalistes », a déclaré Milos Prvulovic, professeur d’informatique à Georgia Tech et co-auteur de l’étude. « Combien de fois avez-vous posé votre téléphone sur un bureau à l’aéroport sans vérifier ce qu’il y avait sous le bureau ? »

Heureusement, les chercheurs ont trouvé une solution relativement simple. La mise en œuvre de ce correctif est actuellement en cours et sera importante. Si les chercheurs peuvent comprendre comment faire fonctionner l’attaque sur les téléphones haut de gamme, la même vulnérabilité se produira sur des milliards d’appareils modernes les plus largement utilisés.

Pirater un téléphone sur le côté

Les clés secrètes ou les clés de chiffrement sont souvent utilisées pour sécuriser les données des utilisateurs. Une fois que l’attaquant a accès aux clés de chiffrement d’un utilisateur, il peut falsifier sa « signature numérique » et accéder aux données bancaires, par exemple. Étant donné que l’attaque récemment découverte devrait fonctionner sur une grande variété de téléphones utilisés quotidiennement, elle devrait nécessiter une modification rapide des normes de sécurité pertinentes, RFC 7748.

L’attaque cible un processus de cryptage standard utilisé dans un large éventail d’activités en ligne, telles que la connexion à un réseau privé virtuel (VPN), la création d’une connexion Web sécurisée avec une banque ou la signature électronique d’un document numérique. Au cours de ce processus, deux points de terminaison sur un réseau, tels que deux téléphones, doivent échanger une série de messages pour vérifier l’identité de l’autre. S’ils ne peuvent pas vérifier qu’ils sont bien qui ils prétendent être, alors ils savent qu’ils ne doivent pas envoyer de données privées.

Prouver son identité revient à réaliser un certain type d’algorithme de cryptage. Cet algorithme implique une série d’opérations sur une clé secrète appelée « nonce », qui peut être représentée par un nombre binaire, une séquence de uns et de zéros ou de « bits ». Pour chaque opération qu’effectue le processeur d’un téléphone, il émet un signal radio faible, des milliers de fois plus faible que le signal d’un émetteur Wi-Fi. Ces signaux sont appelés émissions de « canaux secondaires » car ils ne proviennent pas des canaux principaux que le téléphone utilise pour communiquer.






Il y a des années, les chercheurs ont réalisé que ces émissions de canaux latéraux peuvent laisser échapper la valeur du nonce. Par exemple, un algorithme de chiffrement peut nécessiter des étapes de traitement supplémentaires lorsqu’un bit du nonce est un, ce qui oblige le processeur à émettre un signal plus durable pour ces bits. En suivant le modèle d’émissions plus longues et plus courtes provenant du téléphone pendant qu’il traite le nonce, un attaquant peut reconstruire la valeur de chacun de ses bits. À partir de là, ils peuvent casser le cryptage d’un utilisateur.

D’autres chercheurs ont inventé une solution à ce problème connue sous le nom d’algorithme « à temps constant ». Cet algorithme garantit qu’un processeur effectue la même séquence d’opérations pour chaque bit. Les émissions radio sont donc indiscernables pour chaque bit et le nonce ne peut pas être reconstruit. Cet algorithme a été codifié dans des normes de cryptage telles que RFC 7748 et largement adopté.

Briser l’algorithme à temps constant

Dans le nouveau travail, les chercheurs ont découvert un problème avec l’algorithme à temps constant. Une opération particulière qui est effectuée pour chaque bit, appelée « échange conditionnel », a un trait révélateur. Lorsque l’opération est effectuée sur un bit de valeur un, le processeur émet un signal radio un peu plus fort. Les chercheurs ont réalisé que si un attaquant pouvait écouter les émissions pendant cette opération, à chaque fois qu’elle se produisait, il pouvait déterminer le nonce.

La partie difficile était de déterminer s’ils pouvaient se concentrer sur la signature radio spécifique de l’échange conditionnel, enfouie dans une séquence de nombreuses autres émissions. De plus, en raison de la vitesse de traitement élevée des téléphones modernes, la signature radio de l’échange conditionnel ne dure que peu de temps. Mais, il s’avère que c’est l’algorithme à temps constant, censé être une contre-mesure aux attaques par canal latéral, qui permet à l’attaque de fonctionner en premier lieu.

La clé pour les chercheurs était d’observer attentivement les émissions d’un téléphone. Du fait de l’algorithme à temps constant, ces émissions sont extrêmement régulières. Chaque fois que le téléphone traite un peu, le même schéma général d’émissions se produit. Les chercheurs pourraient donc automatiser le processus de sélection du minuscule morceau d’émissions correspondant à l’échange conditionnel, comme apprendre à repérer un petit logo sur un wagon de train rapide en regardant suffisamment de wagons passer. À partir de là, les chercheurs ont pu mesurer la force des émissions pour déterminer si chaque bit était un zéro ou un, et ainsi reconstruire l’intégralité du nonce.

L’attaque fonctionne si efficacement que les chercheurs ont découvert qu’ils n’avaient besoin d’écouter qu’une seule transaction sécurisée pour voler la clé secrète d’un téléphone.

« Tant que quelqu’un peut placer une sonde ou une antenne suffisamment près », a déclaré Prvulovic, « nous pouvons avoir votre clé maintenant. »

Pour résoudre le problème, les chercheurs ont modifié l’algorithme à temps constant afin que le signal correspondant à l’échange conditionnel ait la même force quelle que soit la valeur du bit. Une fois que les développeurs ont implémenté ce correctif dans des bibliothèques cryptographiques comme OpenSSL, l’algorithme à temps constant devrait être à nouveau sécurisé.


Une porte dérobée dans le cryptage des téléphones portables des années 90 existe toujours


Plus d’information:
Une attaque de canal latéral EM à trace unique sur plusieurs implémentations de courbes elliptiques à temps constant dans les plates-formes mobiles. Monjur Alam, Baki Yilmaz et Frank Werner (Georgia Tech) ; Niels Samwel (Université Radboud) ; Alenka Zajic (Technologie Géorgie) ; Daniel Genkin (Université du Michigan); Yuval Yarom (Université d’Adélaïde et Data61) ; Milos Prvulovic (Georgia Tech). 6e Symposium européen de l’IEEE sur la sécurité et la confidentialité, du 6 au 10 septembre 2021.

Fourni par le Georgia Institute of Technology

Citation: Des chercheurs découvrent une nouvelle attaque par canal secondaire sur les téléphones bas de gamme (2021, 28 septembre) récupérée le 28 septembre 2021 sur https://techxplore.com/news/2021-09-side-channel-low-end.html

Ce document est soumis au droit d’auteur. En dehors de toute utilisation équitable à des fins d’étude ou de recherche privée, aucune partie ne peut être reproduite sans l’autorisation écrite. Le contenu est fourni seulement pour information.