Google développe une suite d'outils pour tester des implémentations cryptographiques
Google développe une suite d'outils pour tester des implémentations cryptographiques
le projet Wycheproof est open source
Dans le contexte de sécurité actuel, de plus en plus de développeurs et entreprises considèrent le chiffrement des logiciels comme un must. Fort heureusement, il existe des algorithmes développés dans ce but, chacun avec, bien évidemment, ses forces et ses faiblesses. Il existe également de nombreuses bibliothèques qui fournissent ces algorithmes de chiffrement.
Toutefois, travailler avec des bibliothèques de chiffrement reste compliqué. Celles-ci peuvent être très difficiles à implémenter, et les attaquants sont en général à la recherche d’implémentations cryptographiques faibles. D’après Google, « en cryptographie, les erreurs subtiles peuvent avoir des conséquences catastrophiques », et pourtant, « les erreurs dans les bibliothèques de logiciels de chiffrement open source se répètent trop souvent et restent inconnues pendant trop longtemps. »
Si les ingénieurs logiciels peuvent corriger et éviter les bogues avec les tests unitaires, Google dit avoir constaté que de nombreux problèmes cryptographiques peuvent être résolus par les mêmes moyens. À travers un projet baptisé Wycheproof, Google a donc publié une suite pour aider les développeurs à tester des implémentations cryptographiques. Open source et disponible sur GitHub, Wycheproof est une suite de tests de sécurité qui vérifient les faiblesses connues des bibliothèques de logiciels de chiffrement. Wycheproof fournit en fait aux développeurs « une collection de tests unitaires qui détectent des faiblesses connues ou qui vérifient les comportements attendus d'un algorithme de chiffrement ».
Dans un billet de blog, Google explique que ses cryptographes ont étudié la littérature et mis en œuvre les attaques les plus connues. Ce qui permet au projet Wycheproof de fournir des tests pour la plupart des algorithmes de chiffrement, y compris les plus utilisés, notamment RSA, AES-GCM, AES-EAX, l'échange de clés selon le protocole de Diffie-Hellman, les courbes elliptiques de Diffie-Hellman (ECDH) et DSA.
À travers Wycheproof, Google a développé plus de 80 tests pour des attaques cryptographiques courantes, ce qui a permis à la firme de Mountain View de découvrir plus de 40 vulnérabilités, y compris un problème où la clé privée des algorithmes DSA et ECDHC, qui sont largement utilisés, a pu être récupérée dans des circonstances spécifiques. Google a informé les fournisseurs des bibliothèques de chiffrement concernés pour la correction de ces vulnérabilités.
Passer les tests Wycheproof ne signifie pas toutefois qu'une bibliothèque est sécurisée et ne présente pas de défauts. Cela veut simplement dire qu’une implémentation cryptographique est juste protégée contre les attaques en question. Les développeurs ne doivent donc pas considérer la suite comme exhaustive ou capable de détecter toutes les faiblesses, car de nouvelles faiblesses sont toujours découvertes et divulguées.
Les chercheurs de Google espèrent que, en publiant cette suite de tests, les développeurs et utilisateurs pourront tester les implémentations cryptographiques qu'ils créent ou utilisent. Les tests lancés jusqu'ici sont écrits en Java, mais les chercheurs de Google travaillent pour les convertir en vecteurs de test afin qu'ils puissent être portés facilement vers d'autres langages de programmation.
Source : Google, GitHub
Et vous ?
Qu’en pensez-vous ?
Répondre avec citation
Partager