Le protocole de chiffrement 2G contenait une porte dérobée
La 2G n’était peut-être pas aussi sécurisée qu’espéré. Le protocole 2G est apparu au début des années 90 sur les réseaux mobiles, avant d’être finalement éclipsé par la 3G au début des années 2000. Dans un article publié la semaine dernière par l’université de la Ruhr, à Bochum en Allemagne, des chercheurs allemands, français et danois expliquent que l’algorithme de chiffrement utilisé par le protocole contenait (et contient toujours) une faiblesse dans le chiffrement, qui s’apparente à une portée dérobée.
Cet algorithme de chiffrement, baptisé GEA1, est un algorithme propriétaire introduit en 1998, utilisé par les téléphones portables pour chiffrer et sécuriser les données récupérées sur le web par l’utilisateur. Les chercheurs sont néanmoins parvenus à obtenir une copie du code source de cet algorithme, ainsi que de son successeur, GEA2, et à analyser la sécurité offerte par ces outils de chiffrements.
Selon eux, « GEA-1 est si facile à casser qu’il doit s’agir d’un chiffrement délibérément faible qui a été intégré comme porte dérobée ». Comme l’explique Motherboard, les chercheurs sont parvenus à démontrer une attaque permettant à un attaquant de capturer le trafic chiffré échangé par les appareils utilisant GEA1 et à retrouver la clé utilisée pour chiffrer le trafic. Les chercheurs expliquent que si celle-ci était initialement présentée comme une clé 64 bits, elle était en réalité plus proche de 40 bits, soit un niveau de protection bien en deçà de qui était considéré comme suffisant à l’époque.
Autres temps, autres mœurs
Cet écart a été confirmé par un porte-parole de l’European Techical Standard Institute, l’organisme de standardisation à l’origine du protocole de chiffrement GEA-1 et 2, interrogé par Motherboard : ce chiffrement plus faible aurait été introduit sciemment dans le standard, afin de répondre aux normes encadrant à l’époque l’exportation d’algorithmes de chiffrement trop fort.
Au cours des années 80 et 90, de nombreux pays limitaient volontairement l’usage d’algorithmes de chiffrement en n’autorisant à la vente que des outils dont la taille des clés ne dépassait pas 40 bits, un moyen de s’assurer que les outils de chiffrement forts ne tombent pas aux mains d’adversaires. Plusieurs initiatives contestataires, au cours des années 90, notamment la publication de l’algorithme PGP de Zimmermann, ont permis de faire progressivement évoluer la mentalité sur ces sujets et d’alléger les restrictions pesant sur ces outils.
La découverte des chercheurs est donc un héritage de cette histoire. Les chercheurs précisent que dans les faits, « bien que la vulnérabilité soit toujours présente dans de nombreux téléphones mobiles modernes, elle ne constitue plus une menace significative pour les utilisateurs ». L’ETSI a rapidement proposé un successeur à GEA1, profitant de l’assouplissement des obligations en matière de chiffrement pour corriger les vulnérabilités introduites dans la première version. Les chercheurs ont également analysé ce successeur, baptisé GEA2, et estiment que celui-ci présente également des faiblesses mais que celles-ci n’ont pas été introduites volontairement par ses concepteurs. Depuis, ces algorithmes de chiffrement ont été abandonnés par l’industrie des téléphones portables lors du passage à des protocoles de réseau mobile plus récents, mais de nombreux téléphones intègrent des implémentations de ce protocole pour des questions de rétrocompatibilité.
L’article publié par les chercheurs sur leur analyse des deux algorithmes a été publié sur le web la semaine dernière, et ceux-ci présenteront leurs découvertes à l’occasion de la conférence Eurocrypt en octobre 2021.
