La semaine dernière, des chercheurs montraient comment il était possible de dériver une clé privée depuis une publique si la paire avait été générée par des puces produites chez Infineon depuis au moins 2012, via une bibliothèque spécifique.
Gemalto a confirmé récemment que ses smartcards IDPrime.NET étaient bien concernées, sur une période nettement plus longue. Les chercheurs d’Enigma Bridge ont ainsi contrôlé 11 smartcards de Gemalto, sorties entre 2008 et cette année. Toutes les paires de clés étaient vulnérables. Via des instances Amazon Web Services, ils récupéraient ainsi des clés RSA 1024 en quelques heures, et 2048 en quelques jours.
Gemalto ne communique pas sur le nombre de cartes vendues. Elles sont cependant sur le marché depuis 2004, Ars Technica évoquant « des dizaines ou centaines de millions » de produits écoulés depuis.
Microsoft, qui utilise les smartcards IDPrime.NET depuis le début, a indiqué à nos confrères évaluer actuellement la situation. Ce n’est sans doute pas la dernière annonce du genre, car les puces Infineon sont très répandues depuis une quinzaine d’années.
Commentaires (13)
#1
Elles sont cependant sur le marché depuis 2004, Ars Technica évoquant « des dizaines ou centaines de millions » de produits écoulés depuis.
#2
#3
La direction de Gemalto étant de toute façon maintenantsous contrôle de la NSA (ça avait d’ailleur causé de grosses frictions lors de la prise de contrôle), faut-il encore s’en étonner ? Se laisser des backdoors étant leur marque de fabrique, il faut arrêter de pleurer quand elles finissent par être exploitéees par d’autres.
#4
L’action a quasiment ete divisee par 2 depuis qq mois et etrangement il n’y a pas de baisse brute correspondant a cette nouvelle. Bombe a retardement ?
#5
#6
A quoi servent ces “smartcard” ? Et comment sont-elles présentes dans les pc ?
#7
Il s’agit de smartcard qui permettent d’héberger des certificats x509 (et de lé générer dans certains cas si l’utilisateur/admin souhaite que ce soit la carte qui le fasse). Ces certificats sont ensuite utilisés pour authentifier l’utilisateur pour différentes choses comme par exemple ouverture de session Windows, VPN, chiffrement de mails via S/MIME, etc.
#8
Merci de l’explication
" />
Je voie que ce n’est pas un petit problème du coup…
#9
Bah quand tu t’ennuies à insérer une telle carte dans ton process c’est que t’as vraiment besoin d’une sécurité fiable dans un maximum de cas. Le fait que ses certificats ne valent plus rien met à terre tout le système, qui non seulement doit être modifié pour utiliser une autre carte (qui n’existe pas encore d’ailleurs, si ?), mais également invalide tout ce qu’a produit ce système précédemment (car le certificat n’est plus fiable).
J’imagine quelques cas où c’est juste catastrophique et peut générer une perte considérable…
#10
On montre du doigt Gemalto, mais c’est pas plutôt Infineon qui a merdé grave ?
#11
Le slogan n’est plus “Security to be free” mais “free of security”
#12
#13
C’est aussi mon avis en effet. D’ailleurs sur les cartes de la nouvelle gamme (IDPrime MD qui remplace les .NET) vendue depuis plusieurs années il s’agit toujours de puces Infineon mais Gemalto a créé sa propre librairie crypto ce coup-ci. Dès lors elles ne sont pas concernées par ce problème.
Je serais curieux de voir ce que ça donne chez Oberthur et consorts car Si Gemalto est le seul à communiquer à ce jour et offrir de la transparence ce serait dommage que ça se retourne contre eux.