ROCA : l’analyse de nos experts

Contexte

En date du 16 octobre, une faille critique baptisée ROCA (« Return Of Coppersmith’s Attack ») a été publiée officiellement.

Elle concerne une faiblesse dans la génération de clés de chiffrement RSA utilisées dans de nombreux équipements de sécurité (token, smartcards, etc.) fabriqués par Infineon Technologies AG.

Le protocole de chiffrement RSA étant largement utilisé, l’impact pourrait être particulièrement important. En effet, un attaquant pourrait accéder à des données protégées en compromettant la clé de chiffrement privée simplement à partir de celle publique.

Y a-t-il une solution ?

La vulnérabilité a été découverte en janvier de cette année et été communiquée à Infineon en février. Un accord de non divulgation de cette faille de 8 mois fût respecté pour permettre aux différents éditeurs de s’organiser.

Par conséquent, la plupart des éditeurs (Microsoft, Google, HP Lenovo, Fujitsu, etc.) proposent d’ores et déjà des correctifs.

En complément, la page https://www.infineon.com/cms/en/product/promopages/tpm-update/ contient des renvois vers les pages de chaque vendeur qui emploie la technologie « TPM » (Trusted Platform Module) concernée par cette vulnérabilité.

Kyos vous recommande donc d’appliquer les patches correctifs au plus vite.

Dans une autre mesure, il est également possible de vérifier si vos clés de chiffrement utilisées sont vulnérables. Les outils sont disponibles ici : https://keychest.net/roca ou https://keytester.cryptosense.com/ .

Qu’est-ce que Kyos propose pour ses clients « Kyos Assist » et « Kyos Serenity » ?

Dans le cadre de son offre de service, Kyos respect un processus strict d’application des mises à jour basée sur ITIL et la grande majorité des systèmes ont d’ores et déjà été patchés.

Nos équipes ont toutefois entamé une vérification sur l’ensemble des infrastructures pour valider le statut des mises à jour.

Que faire maintenant ?

Dès aujourd’hui, Il convient donc d’être réactif. Ces quelques principes de précautions vous permettront d’être plus serein face à ROCA :

  • Appliquer le correctif de sécurité s’il est disponible,
  • Remplacer l’équipement vulnérable par un n’utilisant pas la librairie vulnérable, ou générer des clés de chiffrement sur la base d’une autre librairie (Ex. : OpenSSL),
  • Utiliser un autre algorithme de chiffrement que RSA (Ex. : ECC).

Pour les ordinateurs disposant d’un module « TPM », il est possible d’avoir des informations sur son constructeur en ouvrant une invite de commande (à l’aide d’un compte à privilèges) et exécuter la commande « TPM.MSC ». Si le constructeur est « IFX » ou « Infineon » et « Infineon Technologies AG », le module est très certainement vulnérable.

Vous souhaitez plus de détails sur l’attaque ?

Vous pouvez suivre l’actualité sur les réseaux sociaux avec les hashtags : #ROCA.

Plus de détails sur l’attaque : https://crocs.fi.muni.cz/public/papers/rsa_ccs17