mai 30th, 2010

Jusqu’à présent, le piratage d’un réseau quantique (ou plus exactement du brin QDK d’un réseau quantique) reposait sur des défauts matériel et non sur le principe de fonctionnement même du réseau. Ainsi l’attaque par « aveuglement » de Bob et modification de son régime de fonctionnement. Trois chercheurs de l’Université de Toronto, Feihu Xu, Bing Qi et Hoi-Kwong Lo, sont parvenus à monter une véritable attaque «WIM » (Woman in the middle, Eve étant pas définition et par construction une femme). Le principe de l’attaque est relativement complexe. Il nécessite, comme le décrit avec précision l’article des trois universitaires, l’installation d’un point d’interception situé près des installations d’Eve.

Lors de la création de la clef quantique (QDK), Bob envoie une double impulsion laser. Elle sert non seulement à synchroniser la transmission et d’autre part à générer le photon unique qui sera renvoyé vers Bob. Le coup de « flash laser » est tout d’abord modulé en phase par Eve, puis atténué jusqu’à obtenir le « photon unique » qui servira à la construction de la clef quantique. Ca, c’est ce qui se passe en temps normal. Mais lors de l’attaque imaginée par les chercheurs de l’Université Canadienne, Eve intercepte ce flash laser et lui fait subir un léger décalage temporel. Décalage qui aura pour conséquence de modifier la modulation de phase effectuée par Alice. S’en suit alors une série de comparaisons de la phase du signal par Eve, qui renvoie ou non, selon le résultat, un signal à destination de Bob. L’élégance de la solution consiste surtout à respecter le « Qbit error rate » moyen constaté sur de tels réseaux et imposé par le protocole BB84. Ce Qber est généralement spécifié aux environs de 20% (taux d’erreur généré par le bruit et autres accidents de transmission). Le taux d’erreur généré par l’intervention d’Eve lors de son attaque en « réallocation de phase », précisent les chercheurs, se situe aux environs de 19% et quelques dixièmes, et demeure donc non détecté par Bob. Le réseau semble fonctionner normalement.

L’attaque a été modélisée sur des équipements commerciaux, insistent les trois chercheurs. Et plus précisément sur une plateforme ID Quantique, fabriquée par l’entreprise Helvétique du même nom. Les contremesures permettant d’éviter une telle interception sont d’ores et déjà mises au point, consistant notamment en un resserrement des taux d’erreur admis et un meilleur contrôle des écarts temporels séparant les deux impulsions émises par Bob (mettant ainsi en évidence le décalage temporel induit). Eve, de son côté, pourrait combiner plusieurs types d’attaques avec pour première conséquence l’obtention d’un Qber plus faible encore, et donc plus difficile à détecter.

Google fait coup double en publiant une nouvelle version « stable » de son navigateur Chrome, et d’autre part en ouvrant un service encore expérimental de chiffrement des requêtes effectuées sur son moteur de recherche.

La sortie de Chrome 5 n’est pas révolutionnaire en soi, le programme étant largement et depuis longtemps diffusé en préversion. C’est cependant la première fois qu’une version finale de Chrome est disponible en même temps sous Windows, OS/X et Linux.

La « VPNisation » des requêtes Google, en revanche, provoque quelques soulèvements de sourcils dans la communauté des Webmestres. Si cette fonction limite les risques d’intelligence économique par simple examen des requêtes d’une entreprise (Google conserve son « droit de regard » par construction), elle supprime également toute trace de « référant »… ce qui n’arrange pas la bonne tenue des statistiques des sites visités.

McAfee vient d’annoncer son intention d’acquérir Trust Digital, spécialiste de l’administration/sécurisation des parcs de téléphones « intelligents ». Le montant de la transaction n’a pas été précisé, la finalisation de l’accord devant s’effectuer fin juin. Trust Digital commercialise une plateforme d’administration destinée à étendre les politiques de sécurité de l’entreprise aux flottes de mobiles (iPhone, Android, Windows Mobile, Symbian, Palm…). En toute logique, les produits et techniques de Trust Digital devraient être intégrés dans un premier temps au sein de la gamme Mobile Protect /Mobile Security destinée aux grandes entreprises, opérateurs et fabricants.