L’algorithme de chiffrement AES (Advanced Encryption Standard) est la référence utilisée dans un grand nombre de domaines applicatifs depuis une dizaine d’année. Sa présence est notamment très forte dans le monde des communications unifiées, où il est utilisé avec le protocole RTP pour sécuriser les flux media. C’est donc lui qui permet notamment d’assurer la confidentialité des conversations téléphoniques chez la plupart des grands éditeurs.
Son développement a été initié à la fin des années 1990 pour remplacer le DES/3DES qui était considéré comme trop fragile. En effet, non seulement de nombreuses solutions mathématiques avaient été trouvées pour « casser » ces algorithmes, mais en plus, des mises en œuvre pratiques avaient été réalisées avec des résultats plus que probants : la possibilité de déchiffrer les contenus avec du matériel standard et des temps raisonnables.
l’AES est aujourd’hui mis à mal
AES est donc devenu le nouveau standard defacto avec, jusqu’à ce jour, une résistance plus qu’honorable à tous les travaux de recherche. Néanmoins, une équipe de chercheurs (Andrey Bogdanov, Dmitry Khovratovich, Christian Rechberger) semble avoir trouvé une voie prometteuse pour briser sa sécurité. Ces derniers ont réussi à trouver une méthode permettant de réduire par quatre la complexité pour trouver la clé de chiffrement utilisée !
ma conclusion : ne pas tomber dans l’extrême
Doit-on désormais considérer ce dernier comme n’étant plus fiable ? Cela serait sans doute basculer dans l’extrémisme. En effet, bien que la difficulté ait été réduite d’un coefficient quatre, les estimations actuelles montrent qu’il faudrait environ deux milliards d’années pour un milliard de machines, éliminant un milliard de possibilités par seconde, pour identifier la bonne clé. En d’autres mots, le niveau de sécurité d’un AES 128 est plutôt proche d’un AES 126.
Aussi, déclencher un niveau d’alerte élevé ne semble pas d’actualité. Par contre, mettre en œuvre une veille pour suivre les travaux autour de l’AES semble désormais une nécessité. Une fois de plus, il a été démontré que tout algorithme peut être fragilisé, voire brisé. Il n’y a pas d’exception à cette règle, seules des durées plus ou moins longues pour arriver à ce résultat.
Si vous souhaitez avoir le détail complet du travail réalisé sur AES, la publication réalisée sur le sujet peut se trouver ici.
Cédric
Membre actif de la communauté sécurité d'orange Business Services, je suis aujourd'hui en charge, au sein de l'équipe marketing « sécurité », de la bonne prise en compte de la sécurité dans nos offres traitant des communications sur IP, et cela du mode cloud à l'intégré classique. Un large périmètre pour rencontrer des problématiques complexes sur le plan technique comme sur le plan organisationnel. Bref, un océan de motivation pour toute personne qui marche au challenge et à l'envie d'apprendre.