Infos

Open Smart Grid Protocol Alliance va corriger son chiffrement faible

Open Smart Grid Protocol Alliance, critiqué récemment pour la faiblesse de chiffrement de son protocole, va lancer une mise à jour pour les appareils existants, probablement à compter du mois de septembre.

Harry Crijns, secrétaire d’OSGP Alliance aux Pays-Bas, a déclaré que les corrections ont déjà été mises au point et qu’elles font l’objet de test de stress. Il a annoncé également une coopération avec des organes de normalisation comme CENELEC et ETSI en Europe, pour protéger les réseaux et les appareils intelligents.

Le 8 avril, OSGP Alliance a fait état de son plan d’ajout de fonctions de sécurité à son architecture. Cette mise à jour devrait « améliorer les primitives utilisées dans le cadre du chiffrement et de l’authentification, ainsi que la longueur de la clé et les règles et mécanismes d’utilisation et de mise à jour. »

Dans l’article Dumb Crypto in Smart Grids: Practical Cryptanalysis of the Open Smart Grid Protocol« publié le 27 avril, des chercheurs allemands et portugais ont disséqué les faiblesses de chiffrement du protocole.

D’après ces experts, le problème principal tient au fait que le schéma de chiffrement authentifié est fait maison et exposé à plusieurs attaques (l’article en décrit quelques-unes) dont la réalisation ne nécessitent pas de lourds investissements, ni de grands efforts informatiques. L’article et les auteurs critiquent tout spécialement le code d’authentification de message (Message Authentication Code, MAC) appelé OMA Digest.

Philippe Jovanovic et Samuel Neves, les auteurs de l’article, ont indiqué que « cette fonction était très faible et que rien ne permettait de supposer qu’elle offrirait une garantie d’authenticité ». La clé de chiffrement utilisée par le protocole est dérivée de la clé utilisée dans OMA Digest, ce qui constitue une violation de plusieurs principes de sécurité.

Cela fait longtemps que Bruce Schneier, spécialiste du chiffrement, s’exprime contre l’utilisation de ce qu’il appelle un « chiffrement d’amateurs ». Il a écrit dans son blog qu’il ne fallait pas faire confiance à de tels bricolages et qu’un projet qui se respecte doit utiliser uniquement des algorithmes qui ont été soigneusement testés.

« Tous les spécialistes du chiffrement le save, mais pas les autres » écrit Bruce Schneier. « C’est pour cela que nous ne cessons de découvrir des exemples de chiffrement amateur dans des systèmes en service. »

OSGP Alliance, de son côté, défend son propre schéma de chiffrement.

« Il ne faut pas oublier qu’il n’y a eu aucune attaque contre des compteurs intelligents ou des systèmes de distribution intelligents construits selon les spécifications d’OSGP. Les systèmes construits selon ces spécifications intègrent une sécurité à plusieurs niveaux qui a toujours été obligatoire. » peut-on lire dans un communiqué de la société.

Open Smart Grid Protocol assure la communication avec les réseaux intelligents. Il a été développé par l’ Energy Service Network Association (Association des réseaux de distribution, ESNA) et il est devenu en 2012 la norme de l’European Telecommunications Standards Institute (Institut européen des normes de télécommunications, ETSI), d’après l’article.

L’article indique également que la vulnérabilité découverte par Jovanovic et Neves leur a permis de trouver la clé publique assez facilement : 13 requêtes à l’oracle OMA Digest et une complexité temporelle relativement faible dans un cas, et quatre requêtes seulement et une complexité temporelle de 2^25 dans un autre cas.

Adam Crain, expert de renom sur la sécurité des systèmes automatisés de gestion, a déclaré à Threatpost que l’utilisation d’une fonction de hachage d’amateur est « une grave erreur ».

« Les développeurs du protocole auraient du recourir à des algorithmes connus ou même emprunter quelque chose à la liste approuvée par NIST » a déclaré Adam Crain. Dans ce cas, ce sont des chercheurs ont analysé la fonction OMA Digest et ils y ont trouvé des vulnérabilités. Celles-ci peuvent servir à trouver la clé privée en quelques tentatives seulement ».

Auteur: Michael Mimoso

Source: threatpost

Open Smart Grid Protocol Alliance va corriger son chiffrement faible

Votre adresse de messagerie ne sera pas publiée. Les champs obligatoires sont indiqués avec *

 

Rapports

Etude des menaces mobiles en 2016

En 2016, l’augmentation du nombre de trojans publicitaires qui peuvent utiliser les autorisations root s’est maintenue. Sur l’ensemble de l’année, cette menace n’a jamais quitté la tête du classement et rien n’indique que cette tendance va changer pour l’instant.

Spam en 2016

Les flux de spam ont enregistré plusieurs modifications en 2016. La plus marquante d’entre elles a été l’augmentation de la diffusion de ransomwares. Etant donné la disponibilité de ce genre de malware sur le marché noir, il faut s’attendre à ce que cette tendance se maintienne et le volume de spam malveillant va certainement se maintenir en 2017.

Kaspersky Security Bulletin 2016. Rétrospective de l’année. Statistiques globales de l’année 2016

Les tensions et les remous ont été au rendez-vous dans le cyberespace en 2016, depuis les gigantesques réseaux de zombies de l’Internet des objets jusqu’aux campagnes de cyberespionnage ciblées en passant par le vol d’argent, l’hacktivisme et autres pratiques. La rétrospective et les statistiques présentées par Kaspersky Lab fournissent un compte-rendu détaillé. La synthèse, quant à elle, est accessible ici.

Kaspersky Security Bulletin 2016. La révolution du ransomware

De janvier à septembre 2016, les attaques de ransomwares contre des entreprises ont triplé, avec une attaque toutes les 40 secondes. Vu l’explosion des activités du secteur du ransomware en tant que service et le lancement du project NoMoreRansom, Kaspersky Lab a désigné le ransomware comme problématique clé en 2016.

Abonnez-vous à nos emails hebdomadaires

La recherche la plus excitante dans votre boîte de réception