Infos

Des chercheurs mettent en doute la sécurité des bases de données chiffrées

The Register nous apprend qu’un groupe de chercheurs a déployé une attaque contre des systèmes de gestion de bases de données chiffrées comme CryptDB, Cipherbase et Encrypted BigQuery à l’aide de données d’une colonne chiffrée et d’informations auxiliaires accessibles au public. De leurs côtés, les développeurs affirment que l’étude n’est pas valide car les systèmes compromis n’avaient pas été installés conformément aux scénarios recommandés.

Les systèmes de gestion de bases de données chiffrées, dont beaucoup reposent sur CryptBD, utilisent des modes de chiffrement à préservation des propriétés (PPE) comme le chiffrement déterministe (DTE) ou le chiffrement à préservation d’ordre (OPE). Cette technologie, qui n’est pas encore arrivée à maturité, est considérée comme une méthode pour minimiser les pertes suites à des attaques de pirates. A l’heure actuelle, les bases de données chiffrées selon le chiffrement PTE ne sont utilisées nul part, mais des sociétés comme Google, SAP et Microsoft manifestent un intérêt.

Muhammad Naveed, de l’université de l’Illinois, Charles Wright, de l’université d’Etat de Portland et Seny Kamara, de Microsoft Research ont mis en évidence dans leur étude (PDF) les vulnérabilités potentielles de la technologie qui permettraient à des pirates d’extraire des métadonnées, voire plus, des enregistrements dans les bases de données chiffrées.

Les auteurs expliquent comment ils ont organisé une série d’attaques qui ont permis de déchiffrer le contenu de certaines colonnes de bases de données à chiffrement DTE et OPE en utilisant uniquement les données chiffrées des colonnes et des informations auxiliaires accessibles au public. Les auteurs de l’étude ont appliqué l’ensemble des méthodes éprouvées comme l’analyse de fréquence et le tri ainsi que de nouvelles attaques qui reposent sur l’optimisation combinatoire.

L’ensemble des attaques a été évalué de manière empirique à l’aide des données des dossiers médicaux électroniques de vrais patients issus de 200 hôpitaux américains. Les spécialistes du chiffrement ont réussi à extraire certaines données à chiffrement OPE (par exemple, l’âge et la gravité de la maladie) dans plus de 80 % des dossiers de 95 % des hôpitaux. Ils ont également réussi à déchiffrer les données à chiffrement DTE (par exemple, le sexe, la race et la probabilité de décès) de plus de 60 % des dossiers dans plus de 60 % des hôpitaux.

Dans un billet publié sur le sujet dans son blog, Microsoft qualifie cette étude de pas en avant dans la « course à l’armement de la sécurité des bases de données ».

De son côté, Raluca Ada Popa, un des développeurs de CryptDB, affirme que ces résultats ne sont pas valides car les auteurs n’ont pas utilisés correctement les systèmes qui reposent sur CryptDB.

Raluca Ada Popa explique que « les auteurs de l’étude n’ont pas utilisé le système CryptDB en tenant compte de la sécurité. Il existe des manuels de sécurité pour CryptDB : on peut y lire par exemple que si l’administrateur de la base de données souhaite protéger un champ de données (et cela s’applique également à une colonne), il doit signaler ce champ comme ‘important’. Cela permettra à CryptDB de chiffrer le champ à l’aide de méthodes robustes qui résisteront à d’éventuelles attaques, y compris aux attaques réalisées par Naveed et ses collègues. »

CryptDB conseille aux administrateurs d’utiliser le mode OPE uniquement pour les champs les moins importants, par exemple ceux qui contiennent les données d’horodatage.

« Je suppose que cette étude est utile pour améliorer notre compréhension des fuites de données à chiffrement OPE et DTE lorsque l’individu malintentionné possède des informations auxiliaires. Ceci étant dit, les conclusions de l’étude ne sont pas applicables à un système CryptDB utilisé comme il se doit » conclut Raluca Ada Popa.

En guise de réponse, les chercheurs ont déclaré que dans la réalité, CryptDB est utilisé de la même manière que dans leur expérience car si tous les champs sont marqués comme « important », la base de données devient inopérationnelle. Il ne sera possible d’interroger aucun champ. D’après Seny Kamara, une telle base de données n’a aucune raison d’être.

Raluca Ada Popa a riposté en affirmant que CryptDB est capable de traiter les requêtes envoyées aux champs soumis à un chiffrement robuste. « En fait, de 70 à 90 % des champs peuvent être chiffrés à l’aide d’un chiffrement robuste. Cela n’aura aucun impact sur le système » a déclaré Raluca Ada Popa.

Source: The Register

Des chercheurs mettent en doute la sécurité des bases de données chiffrées

Votre adresse de messagerie ne sera pas publiée. Les champs obligatoires sont indiqués avec *

 

Rapports

Etude des menaces mobiles en 2016

En 2016, l’augmentation du nombre de trojans publicitaires qui peuvent utiliser les autorisations root s’est maintenue. Sur l’ensemble de l’année, cette menace n’a jamais quitté la tête du classement et rien n’indique que cette tendance va changer pour l’instant.

Spam en 2016

Les flux de spam ont enregistré plusieurs modifications en 2016. La plus marquante d’entre elles a été l’augmentation de la diffusion de ransomwares. Etant donné la disponibilité de ce genre de malware sur le marché noir, il faut s’attendre à ce que cette tendance se maintienne et le volume de spam malveillant va certainement se maintenir en 2017.

Kaspersky Security Bulletin 2016. Rétrospective de l’année. Statistiques globales de l’année 2016

Les tensions et les remous ont été au rendez-vous dans le cyberespace en 2016, depuis les gigantesques réseaux de zombies de l’Internet des objets jusqu’aux campagnes de cyberespionnage ciblées en passant par le vol d’argent, l’hacktivisme et autres pratiques. La rétrospective et les statistiques présentées par Kaspersky Lab fournissent un compte-rendu détaillé. La synthèse, quant à elle, est accessible ici.

Kaspersky Security Bulletin 2016. La révolution du ransomware

De janvier à septembre 2016, les attaques de ransomwares contre des entreprises ont triplé, avec une attaque toutes les 40 secondes. Vu l’explosion des activités du secteur du ransomware en tant que service et le lancement du project NoMoreRansom, Kaspersky Lab a désigné le ransomware comme problématique clé en 2016.

Abonnez-vous à nos emails hebdomadaires

La recherche la plus excitante dans votre boîte de réception