Des smartphones à l'assaut d'un système cryptographique
Ramasamy Gowthami © Alain Herzog / EPFL 2014
Série d'été - travaux d'étudiants (7). Durant son projet de Master en Informatique, Ramasamy Gowthami a participé à la création d’une app Android permettant à ses utilisateurs de s’allier pour tester le niveau de sécurité d'un code issu de la cryptographie moderne.
La cryptographie moderne n’est pas infaillible. Tous les cryptages, dont les plus connues, comme RSA, ont leurs limites. Comment donc assurer que nos différentes données sont sécurisées ? En fonction du temps et de l’effort de calcul nécessaires pour faire sauter les verrous. En prenant une clé de cryptage suffisamment longue, il devient en effet si coûteux de la trouver que cela ne devient plus réalisable en pratique.
Reconnu pour de nombreuses réussites à son actif dans le domaine de la cryptographie, le laboratoire LACAL d’Arjen Lenstra, à l’EPFL, s’est intéressé à la résolution d’un problème basé sur la cryptographie sur courbes elliptiques mise au point au début des années 1980. Après avoir démontré le manque de sécurité de l'un des sytèmes de cryptage les plus répandus à l’aide de 220 PlayStation 3 en réseau, c’est avec une application destinée aux smartphones que les chercheurs ont décidé de relever ce nouveau défi. «On n’a pas forcément tous un ordinateur sur lequel lancer l’algorithme, et il est difficile d’en rassembler quelques dizaines. En revanche, tout le monde a un smartphone, et lancer l’application devient ludique!» explique Ramasamy Gowthami, une étudiante en master d’informatique qui a participé au développement. C’est en appliquant un très grand nombre de fois un algorithme que le code pourra être te. Pour ce faire, il suffit à l’utilisateur d’ouvrir l’application et d’appuyer sur un bouton. L’app permet également de s’inscrire, de constituer des équipes, de consulter ses statistiques et ainsi de mesurer sa participation dans ce casse inédit.
Malgré sa peur de la partie mathématique du projet, Ramasamy Gowthami ne regrette pas d’avoir choisi de s’y investir pour son travail de master. Elle reconnaît toutefois que la partie de l’implémentation dont elle s’est occupée a nécessité de longues semaines de travail pour parvenir à comprendre l’ensemble du projet. «Etant en charge de l’interface entre les composants du programme, il me fallait avoir une connaissance parfaite de ce que faisaient les différents éléments de l’algorithme», explique-t-elle. «Mon meilleur souvenir? Le moment où j’ai réussi à assembler le tout dans ma tête et où j’ai pu saisir le projet dans son intégralité!».
Pourquoi donc vouloir à tout déjouer la sécurité d'un système de cryptographie jusque là infaillible ? «C’est un travail tout aussi important que la conception de nouveaux systèmes plus performants» précise Ramasamy Gowthami. «Nous savons que les systèmes atteignent leurs limites après un certain temps. Il est important de constamment les évaluer afin de connaître leurs limites et de les adapter s‘ils devaient ne plus être assez sûrs, par exemple en rallongeant la longueur de la clé de cryptage. Peut-être qu’un travail similaire effectué par d'autres laboratoires sur le SSL aurait pu permettre d’éviter le désormais célèbre HeartBleed!»