D’aprs une quipe de chercheurs, l’algorithme de chiffrement GPRS Encryption Algorithm-1 dispose d’un mcanisme qui permet d’abaisser son niveau de scurit. Il a visiblement t install de manire volontaire.

La technologie mobile des annes 2000 nous revient comme un boomerang en pleine figure. Un groupe de huit chercheurs vient de prsenter une cryptanalyse de l’algorithme de chiffrement GPRS Encryption Algorithm-1 (GEA-1), qui a t dvelopp en 1998 pour scuriser les communications GPRS.

D’aprs les spcifications techniques, ce chiffrement s’appuie sur une cl secrte de 64 bits. Mais les chercheurs ont montr que dans certaines conditions mathmatiques trs particulires, le niveau de scurit n’tait que de 40 bits, ce qui peut facilement tre cass.

Respect des restrictions l’export

Par ailleurs, les chercheurs montrent qu’il est trs difficile de tomber par hasard sur ces conditions trs particulires. Ils en dduisent qu’il s’agit l probablement d’une porte drobe qui a t mise en œuvre de manire volontaire.

Le contexte historique semble leur donner raison. En effet, un rapport technique de l’poque prcisait que le design de GEA-1 devait respecter les restrictions l’export , qui limitaient la force d’un algorithme de chiffrement destin au grand public pour permettre aux services de renseignement d’accder au contenu des communications.

Le rapport ne donne pas plus de prcisions, mais le plafond qui tait couramment utilis dans les annes 1990 tait, justement, de 40 bits. Mais l’origine prcise de cette backdoor — qui l’a implment ? qui tait le donneur d’ordre ? – reste un mystre.


Attaque par rtrogradation

Cette dcouverte n’a pas juste un intrt historique, elle affecte aussi le prsent. Contrairement aux recommandations officielles de l’ETSI (European Telecommunications Standards Institute), beaucoup de terminaux mobiles supportent encore l’algorithme GEA-1.

Les chercheurs ont pu le vrifier sur iPhone XR et 8, Samsung Galaxy S9 ou OnePlus 6 T. En utilisant une fausse station de base, un attaquant pourrait donc rtrograder les communications vers GPRS/GEA-1 et dchiffrer les communications, y compris celles qui ont t changes prcdemment par un algorithme de chiffrement plus rcent.

Certes, la plupart des changes HTTP sont dsormais chiffrs par TLS, donc le contenu reste protg. Mais cela permettrait nanmoins de collecter des mtadonnes comme les requtes DNS, les adresses IP ou les noms de domaine.

Cette attaque ne ncessite qu’un matriel informatique standard et ne reprsente donc aucune difficult.

Les chercheurs ont profit de leur tude pour galement se pencher sur GEA-2. La bonne nouvelle, c’est que ce successeur de GEA-1 n’intgre pas cette porte drobe.

Les experts ont nanmoins trouv un moyen pour le casser dans certaines conditions. Bien qu’une telle attaque soit plus difficile appliquer en pratique, nous pensons que GEA-2 n’offre pas un niveau de scurit suffisamment lev pour les normes actuelles , soulignent les chercheurs, qui estiment que les acteurs de la tlphonie mobile devraient se limiter au support de l’algorithme GEA-3.

C’est dj quasiment le cas pour les oprateurs tlcoms du monde entier. Il faut maintenant que les fabricants de smartphones embrayent le pas.






Source :Etude