Attaque par canal auxiliaire

Pour rappel, une attaque est considérée comme utile dès lors qu'elle présente des performances supérieures à une attaque par force brute. Les attaques par canal auxiliaire sont nombreuses et variées et portent sur différents paramètres. On en distingue deux grandes catégories :

1. Les attaques invasives qui endommagent le matériel (voire le détruisent totalement) :

   Attaque par sondage

   Cette attaque consiste à placer une sonde directement dans le circuit à étudier, afin d'observer son comportement (généralement utilisée dans le cas des bus chiffrés).

2. Les attaques non invasives qui se contentent de procéder à une observation extérieure du système :

   Analyse d'émanations électromagnétiques

   Cette attaque est similaire à la cryptanalyse acoustique mais en utilisant le rayonnement électromagnétique (émission d'ondes, analyse d'une image thermique, lumière émise par un écran, etc.).

   Analyse de consommation

   Une consommation accrue indique un calcul important et peut donner des renseignements sur la clé.

   Attaque par analyse du trafic

   Intercepter des éléments sur la communication entre ses cibles permet de déduire des indices sur leur activité.

   Attaque par faute

   Cette attaque consiste en l'introduction volontaire d'erreurs dans le système pour provoquer certains comportements révélateurs. Ce type d'attaque peut être considérée comme invasive dans certains cas (une impulsion laser peut provoquer des erreurs du matériel[1], etc.).

   Attaque par prédiction de branches

   L'étude des unités de prédiction de branches des nouvelles architectures des processeurs peut donner des informations intéressantes.

   Attaque temporelle

   Cette attaque consiste en l'étude du temps mis pour effectuer certaines opérations.

   Cryptanalyse acoustique

   Cette attaque consiste en l'étude du bruit généré par un ordinateur ou une machine qui chiffre. En effet, le processeur émet du bruit qui varie en intensité et en nature selon sa consommation et les opérations effectuées (typiquement des condensateurs qui se chargent ou se déchargent émettent un claquement facilement mesurable).

Ces attaques peuvent être combinées pour obtenir des informations secrètes comme la clé de chiffrement. Leur mise en œuvre est étroitement liée au matériel ou au logiciel attaqué.

Une attaque basée sur les temps de réponse a été menée par Serge Vaudenay sur TLS/SSL, ce qui a forcé les concepteurs du standard à faire une mise à jour critique. Adi Shamir a montré l'efficacité en pratique de la cryptanalyse acoustique du bruit d'un processeur. Une attaque temporelle sur le cache d'un processeur a été démontrée pour une implémentation d'AES.

Les constructeurs de puces de chiffrement visent à aplanir la courbe de consommation électrique pour dissimuler les opérations sous-jacentes. Des protections et des blindages permettent de limiter le rayonnement en dehors du circuit. Il faut également tenir compte des états impossibles qui ne doivent pas se produire et doivent être traités correctement s'ils venaient à être détectés. Limiter les messages d'erreur et la communication d'informations diverses avec l'extérieur est aussi une solution mais elle pénalise les développeurs et les utilisateurs du système.

Les attaques par canal auxiliaire ont été utilisées dès la Première Guerre mondiale par analyse du trafic des troupes ennemies. Durant l'opération Gold, la CIA a probablement fait appel à des attaques par canal auxiliaire pour pouvoir récupérer des messages en clair sans avoir à déchiffrer le chiffrement russe. Les attaques se basant sur les objets physiques sont assez récentes dans l'histoire.

• Portail de la cryptologie