Le piratage des cartes à puce est une menace pour les données privées des
particuliers et pour la qualité des services des opérateurs (téléphonique, banque, monétique, billetique, accès conditionnels). Pour lutter contre ce fléau, l'Institut Télécom a lancé une grande opération de recherche via un concours public appelé DPA Contest. Organisé par les chercheurs de Télécom ParisTech, c’est la deuxième édition cette année qui est en train de s’achever (fin du concours le 31 octobre).
Pendant 12 mois, des équipes de recherche du monde entier ont été appelées à étudier la sécurité d'un algorithme de chiffrement, l'AES (Advanced Encryption Standard), largement utilisé dans les systèmes embarqués tels que les cartes à puce.
Comprendre les attaques pour mieux se défendre
Ce concours de cryptologie vise à recueillir des codes d'attaques sur des mesures de canaux auxiliaires. Ces mesures sont des signaux faibles, se manifestant physiquement comme des fluctuations sur l'alimentation ou un rayonnement électromagnétique, qui fuient de façon incontrôlable du cœur même du circuit cryptographique.
Pour le besoin du concours, l’équipe de chercheurs de Télécom ParisTech, dirigée par Jean-Luc Danger, a réuni en nombre conséquent (plusieurs millions de mesures) de telles émanations. Le but de ce concours est d'en extraire au plus vite la clé secrète de l'algorithme AES (Advanced Encryption Standard).
L'objectif de cette démarche repose sur un constat très simple : il est illusoire de chercher à se protéger si l'on n'a pas compris pourquoi on est vulnérable. Ainsi, ce concours permet-il dans un premier temps de cataloguer divers stratégies d'attaque. Les participants sont bien entendu invités à détailler leurs exploits.
Vers un diagnostic méthodique de la sécurité des cartes à puces
Mais la réelle spécificité de cette seconde édition du DPA contest réside dans la richesse des "benchmarks". En effet, dans un deuxième temps, les organisateurs analysent dans les moindres détails les forces et faiblesses de chaque attaque. Pour bien comprendre les attaques, différents critères de succès et de performance ont été définis et sont calculés de façon exhaustive. Ces critères permettent également de comparer les attaques entre elles. En plus du classement des attaques entre elles, ces critères permettent donc de rôder une méthodologie de diagnostique sécuritaire.
Effectivement, les outils de caractérisation développés à l'Institut Télécom permettront à l'avenir de tester la qualité des contre-mesures face à ces attaques.
Ce travail a été réalisé de concert par Guillaume Duc et Sylvain Guilley de Télécom ParisTech et l'équipe de cryptologues de l’Université catholique de Louvain.
Une mobilisation internationale aussi bien publique que privée
Plus d'une vingtaine d’attaques ont été soumises depuis le début du concours et les tactiques employées sont très variées, comme en témoigne la vitesse d'exécution des attaques : de 1 à 100 ! Il est notable de remarquer que la sécurité des cartes à puce mobilise aussi bien industriels qu'académiques, et que les contributions sont vraiment internationales. La problématique de la sécurité des composants est donc réellement un terrain d'entente pour de multiples collaborations. Et de nombreux projets de recherche approfondissant notamment les parades aux attaques utilisent d’ailleurs les données du DPA Contest comme une plateforme de référence au-delà même du concours.
Fin du concours le 31 octobre et présentation des résultats en février 2011
La présentation des résultats du concours 2010 aura lieu les 24 et 25 février 2011 en Allemagne lors du workshop international COSADE qui réunira chercheurs de tous horizons sur le sujet du « secure design » (http://cosade2011.cased.de/). L’équipe de Télécom ParisTech publiera à cette occasion un document de synthèse du concours et lancera l’édition 2011.
Un pas de plus avec l'aide des partenaires Japonais dès 2011
Pour la 3e édition en 2011, les Japonais, qui étaient déjà présents au concours en 2010, proposeront d’ajouter au volet mathématique habituel un volet « physique » lié à la captation des signaux compromettants.
Les équipes japonaises ont notamment développé une carte d'évaluation des fuites d'information des calculs cryptographiques, nommée SASEBO et d’ores et déjà diffusée auprès des équipes académiques qui participe au DPA Contest 2010 pour leurs expérimentations. L'idée est de permettre aux équipes intéressées de soumettre également des acquisitions de courants ou de rayonnements compromettants.
Le DPA Contest prendra ainsi une nouvelle dimension dans la communauté scientifique.
IMPORTANT : FIN DU CONCOURS le 31 octobre 2010.
Plus d'information sur http://www.dpacontest.org/v2/
Contact presse : Pleon
Célia Casabianca - +33 (0)1 53 32 62 06 – celia.casabianca@pleon.com
Esla Portal - +33 (0)1 53 32 64 66 – elsa.portal@pleon.com
Institut Télécom
Jérôme Vauselle - +33 (0)1 45 81 75 05 – jerome.vauselle@institut-telecom.fr
A propos de l’Institut Télécom www.institut-telecom.fr
L’Institut Télécom est un organisme d’enseignement supérieur et de recherche en sciences et technologies de l'information et de la communication. Il regroupe les grandes écoles Télécom ParisTech, Télécom Bretagne, Télécom SudParis et Télécom Ecole de Management ainsi que deux filiales Télécom Lille1 et Eurecom soit 5550 étudiants, 650 enseignants-chercheurs et 950 doctorants, post-docs et sabbatiques. Acteur européen de référence dans son domaine, l'Institut Télécom constitue depuis 2008 un réseau d’écoles associées : Télécom Saint-Etienne, ENSPS (Strasbourg), ENSEIRB-MATMECA (Bordeaux), Sup’Com Tunis (Tunisie) et l’INP-ENSEEIHT (Toulouse). Tourné vers l'innovation, l’Institut Télécom a été labellisé Institut Carnot avec sa filiale Eurecom en 2006 pour la qualité de sa recherche partenariale et crée plus de 50 start-up par an dans ses incubateurs.
A propos de Télécom ParisTech www.telecom-paristech.fr
Télécom ParisTech forme des ingénieurs à innover et entreprendre dans le numérique. L’Ecole a sans cesse innové depuis sa création en 1878 : invention du mot télécommunications, développement d’un enseignement à la carte en master et d'un écosystème d'innovation originaux, ouverture sociale, partenariats internationaux, mise au point d'un incubateur devenu l’incubateur de ParisTech.... L’Ecole forme aussi des docteurs et sa recherche est évaluée d'excellence internationale.
Ecole de l’Institut Télécom, Télécom ParisTech est membre fondateur de ParisTech qui regroupe douze des plus prestigieuses grandes écoles françaises.