Honey encryption piege les pirates au niveau du chiffrement

Des pièges sont mis en place en permanence sur Internet afin d'attirer les pirates et d'étudier leurs comportements et leurs tactiques. Ces pièges à pirates sont souvent des ordinateurs ou des infrastructures sans correctifs exposés sur Internet et qui attirent les attaquants dans le but de pouvoir enregistrer leurs actions.

En de rares occasions, ce piège est un leurre intégré aux processus de sécurité. Toutefois, deux experts étudient actuellement la possibilité d'élaborer un outil qui s'inscrirait selon eux parfaitement dans cette deuxième catégorie.

Le projet a été baptisé Honey Encryption et sera lancé officiellement par Ari Juels, ex scientifique principal de RSA Security, et Thomas Ristenpart, de l'université du Wisconsin, à l'occasion de la conférence Eurocrypt qui se tiendra ce printemps à Copenhague. Le concept est le suivant : utiliser Honey Encryption pour tromper un attaquant qui a volé des données chiffrées. L'outil produit un cryptogramme qui, s'il est déchiffré à l'aide d'une clé incorrecte telle que devinée par l'attaquant, propose un mot de passe ou une clé de chiffrement en clair plausible mais incorrect.

Dans le cadre du chiffrement traditionnel, l'attaque qui se trompe n'obtient que du texte illisible. Comme l'a confié Ari Juels à Threatpost : "Avec Honey Encryption, il obtient quelque chose qui ressemble à un contexte réel." L'attaquant ne pourrait jamais identifier la valeur correcte parmi les valeurs plausibles.

Ari Juels explique que ce projet est né de la sécurité des coffres-forts de mots de passe. Des services tels que LastPass, compromis en 2011, permettent aux utilisateurs de sécuriser un nombre de mots de passe à l'aide d'un mot de passe principal ; la synchronisation de ces services se produit souvent dans le nuage. Si un de ces prestataires est victime d'une attaque, l'attaquant peut identifier le mot de passe principal associé à n'importe quel référentiel et extraire ainsi tous les autres mots de passe.

"Nous avons eu l'idée d'explorer la possibilité de chiffrer un coffre-fort de mots de passe telle manière que son déchiffrement donne un résultat plausible s'il était jamais déchiffré à l'aide d'un mot de passe principal erroné" explique Ari Juels.

L'astuce consiste à intégrer dans Honey Encryption la capacité de compréhension de la structure adéquate des messages qu'un système de chiffrement tenterait de récupérer.

"Prenons le cas des cartes de crédit. Nous les comprenons bien. Pour toutes les tentatives et les objectifs, elles ressemblent à un numéro uniforme aléatoire. Il est possible dans ce cas d'élaborer un modèle étroit. Dans le cas d'un coffre-fort, c'est plus compliqué. Il faut modéliser la sélection et le stockage des mots de passe pour un coffre-fort en particulier.

Il faut bien comprendre la construction propre au message ; les clés de chiffrement et les numéros de carte de crédit diffèrent des coffres-forts de mots de passe" explique Ari Juels. "Si vous utilisez un chiffrement ordinaire, il est indépendant vis-à-vis la distribution des messages. Il faut comprendre ce que signifie être plausible et dépendant d'une application pour un message".

Heureusement, des recherches ont été réalisées dans la la sélection des mots de passe et les chercheurs peuvent également tirer des informations d'incidents tels que le vol de 32 millions de mots de passe en clair chez le développeur de jeux RockYou en 2009. Ce genre d'échantillon donne aux chercheurs une bonne compréhension de la manière dont les utilisateurs composent les éléments secrets utilisés en tant que mots de passe, dont le nombre de fois que des mots ou expressions sont réutilisés ou associés en fonction d'un compte en particulier.

Ari Juels poursuit : "Il n'est pas nécessaire que le modèle soit parfait. Si seuls 50 % des tentatives de déchiffrement donnent un résultat plausible, vous parviendrez toujours à surprendre l'attaquant."

http://threatpost.com/honey-encryption-tricks-hackers-with-decryption-deception/103950

Posts similaires

Laisser un commentaire

Votre adresse de messagerie ne sera pas publiée. Les champs obligatoires sont indiqués avec *